Le 05/01/2018 à 12:00, Jonathan bartoua Schneider a écrit :

Hello,

Même si les passwords sont chiffrés(*) en mémoire, la clef de déchiffrement est sûrement aussi en mémoire.

Erf, pardon pour le crypt(3), j'essaie de faire gaffe pourtant mais ça m'a échappé.

Keepass ne te donne pas un password chiffré que tu déchiffres toi même, le déchiffrement est fait par le CPU qui a la méthode de déchiffrement.

J'avais un doute justement. J'ai commenté l'info sur sourceforge, on va voir ce que répondent les devs.

Julien

Jonathan (*) http://www.bortzmeyer.org/cryptage-n-existe-pas.html

Le 5 janvier 2018 à 11:31, Julien Escario <escario@azylog.net mailto:escario@azylog.net> a écrit :

Bonjour la liste,
C'est calme, tout le monde doit être, comme moi, bien occupé à saisir le
contexte et les implications de meltdown et spectre (pour le dernier, c'est vite
fait : y'a rien).

Sachant que Ubuntu n'a pas publié de kernel patché et que Debian n'en fournit
encore que pour Stretch, je me posais la question de savoir ce que ca impliquait
pour deux outils que nous utilisons massivement : ssh-agent et keepassxc.

Je n'ai pas trouvé l'info précise pour keepassxc mais les devs de keepass ont
confirmé que les mots de passe étaient stockés cryptés en mémoire donc ca semble
pas mal safe de ce côté là (si keeepassx et keepassxc fonctionnent selon le même
principe).

Pour ssh-agent, c'est peut être plus compliqué : est-ce que quelqu'un sait si
les clés sont stockées cryptées ou pas en mémoire ? J'avais lu qu'elles étaient
stockées dans un espace mémoire 'protégé' qui interdisait à d'autres applis de
venir dumper le contenu mais vu que la faille permet de le faire en demandant
directement au kernel, comment vous évaluez le risque ?

Merci,
Julien (qui retourne finir son brief sur la question pour son équipe)
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

-- bartoua est votre ami