Vigil@nce - Blowfish, Triple-DES : algorithmes trop faibles, SWEET32
septembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une session TLS/VPN avec un algorithme
Blowfish/Triple-DES, et mener une attaque de deux jours, afin de
déchiffrer des données.
Produits concernés : Fedora, OpenSSL, openSUSE Leap, SSL
(protocole).
Gravité : 1/4.
Date création : 25/08/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Les algorithmes de chiffrement symétrique Blowfish et Triple-DES
utilisent des blocs de 64 bits.
Cependant, s’ils sont utilisés en mode CBC, une collision se
produit après 785 GB transférés, et il devient possible de
déchiffrer les blocs avec une attaque qui dure 2 jours.
Un attaquant peut donc créer une session TLS/VPN avec un
algorithme Blowfish/Triple-DES, et mener une attaque de deux
jours, afin de déchiffrer des données.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Blowfish-Triple-DES-algorithmes-trop-faibles-SWEET32-20473