Attaques d'entropie : Exploitation des failles dans la génération de nombres aléatoires
Un article de blog sur cr.yp.to révèle une faille critique dans la génération de nombres aléatoires : les attaques d'entropie. L'idée reçue veut que le hachage de plusieurs sources d'entropie améliore l'aléatoire, mais l'auteur démontre que si une seule source est compromise, les attaquants peuvent manipuler la sortie du hachage et contrôler les nombres aléatoires générés. Cela représente une menace significative pour les systèmes cryptographiques qui dépendent de l'aléatoire, comme DSA et ECDSA, permettant aux attaquants de voler des clés privées. EdDSA, grâce à sa génération de signature déterministe, offre une résistance accrue. L'article préconise de minimiser les sources d'entropie et d'utiliser des approches cryptographiques déterministes pour atténuer les risques liés à l'ajout constant de nouvelle entropie.