La fonction aléatoire de Windows n'est pas si aléatoire

Published: 14/11/2007 @ 14:18:14: By zion In "Sécurité"

Une équipe de cryptographes israéliens de l'université d'Haifa ont réussi à mettre à jour l'algorithme de Microsoft pour la fonction de cryptage

CryptGenRandom proposée dans Windows 2000 et ses successeurs.

En réalité d'après les chercheurs, la fonction n'est pas aussi aléatoire qu'on le dit sur papier. Moyennant quelques calculs, il serait même possible à l'avance de déterminer le nombre qui sera réellement généré par la fonction ce qui met un peu à mal le système. Pour rappel, le SSL ainsi que d'autres protocoles se basent sur le fait que ce nombre est totalement aléatoire.

L'équipe d'Haifa demande à Microsoft de publier son code au plus vite afin qu'ils puissent y apporter des améliorations.

Intégration de la carte d'identité él... »« La PS3 va pouvoir bientôt lire du DivX

Links

Windows random number generator is so not random (767 Clicks)

Cryptanalysis of the Random Number Generator of the Windows Operating System (296 Clicks)

More news in this category

Comments

adhes: La fonction aléatoire de Windows n'est pas si aléatoire

comment on fait pour générer un nombre *totalement* aléatoire ?

By adhes, Published 14/11/2007 @ 18:36:00

zion: La fonction aléatoire de Windows n'est pas si aléatoire

adhes> Seuls les israéliens peuvent le dire :petrus:

By zion, Published 14/11/2007 @ 18:37:33

kortenberg: La fonction aléatoire de Windows n'est pas si aléatoire

Tu prends un nombre aléatoirement puis tu prends le suivant.

Il n'y a jamais de totalement aléatoire. Le but est plutôt d'avoir des nombres peu prévisible. Tu peux, par exemple, te baser sur le temps pris par une action d'un utilisateur.

By kortenberg, Published 14/11/2007 @ 19:11:34

z3r0: La fonction aléatoire de Windows n'est pas si aléatoire

les mouvements de souris ... c'est pas mal non plus

By z3r0, Published 15/11/2007 @ 04:38:48

antp: La fonction aléatoire de Windows n'est pas si aléatoire

Pour autant qu'il y en ait (sur un serveur c'est pas garanti :grin:

)
Mais si on prend des infos des process en cours (uptime, occupation mémoire, etc.) on doit pouvoir générer des nombre assez aléatoires, non ?

Last Edition: 15/11/2007 @ 09:49:30

By antp, Published 15/11/2007 @ 09:48:50

users_user-179.html: La fonction aléatoire de Windows n'est pas si aléatoire

GnuPG se base soit sur des entrées clavier/souris soit les accès au disque dur, je pense.

By users_user-179.html, Published 15/11/2007 @ 10:10:43

didix: La fonction aléatoire de Windows n'est pas si aléatoire

Et CryptGenRandom se baserait sur les accès de WindowsUpdate alors ?

:dehors:

By didix, Published 15/11/2007 @ 10:14:55

blietaer: La fonction aléatoire de Windows n'est pas si aléatoire

Entropie des interruptions des drivers aussi...

Enfin ce serait aussi prévisible, dixit MISC.
Mais eux c'est vraiment des arach'
ou des paranos.

Sous pingouin, la variable d'envirronement $RANDOM est epoustouflante.

By blietaer, Published 15/11/2007 @ 11:37:51

Poire: La fonction aléatoire de Windows n'est pas si aléatoire

Il y a des puces dédiées pour générer des nombre aléatoire.
Je sais qu'Intel bossait dessus il y a quelque temps.

Sinon je sais aussi qu'il y a un truc avec la radioactivité.

By Poire, Published 15/11/2007 @ 15:03:40

cauet: La fonction aléatoire de Windows n'est pas si aléatoire

C'est pitetre pour ça que RAND() de MySQL puducul.. il doit se baser sur la souris ou les mouvements webcam je sais pas.. mais sur les serveurs ca te renvoie assez souvent le même :oh:

By cauet, Published 16/11/2007 @ 02:00:41