GnuPG se corrige… enfin

Werner Kock, auteur de GnuPG, renforce la sécurité de GnuPG et Libgcrypt en publiant une mise à jour qui corrige une faille datant de 18 ans. Le problème venait du générateur de nombre aléatoire. Mais d’après lui, les clés générées ne seraient pas vulnérables, qu’elles soient en RSA, DSA ou Elgamal.

De plus, des développeurs se sont aperçus que des clés publiques appartenant à des mainteneurs du noyau Linux auraient été contrefaites. Certaines de ces clés servaient notamment à signer des mises à jour du noyau. Cela serait dû à la possibilité de créer des identifiants trop court. Même s’il ne semble pas y avoir eu de conséquences néfastes, ces clés ont été révoquées et remplacées par de nouvelles.

GnuPG est un système de chiffrement très utilisé et primordial pour la sécurité mais qui, jusqu’à peu, manquait de moyens pour être maintenu comme correctement.

Liens :

 L’annonce de la correction par Werner Kock
 Le site de GnuPG