dimanche 07 septembre

Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Articles précédents : Articles

Liens connexes

Le communiqué (625 hits)

Dépêche modérée par

penso

Articles : Cryptographie : un pas en avant, deux pas en arrière

Posté par Pedro. Modéré le 18 septembre 2002.

La FIL se félicite de l'autorisation en France du logiciel GnuPG mais déplore les mesures prises, dans la foulée, à l'encontre de la libre utilisation d'outils de cryptographie.

Paris, 17 septembre 2002. La Fédération Informatique et Libertés se félicite de l'autorisation administrative délivrée par le Secrétariat Général du Gouvernement (DCSSI) au chapitre français de la Free Software Foundation Europe pour la fourniture, l'importation, l'exportation, et l'utilisation du logiciel de cryptographie GnuPG.

Cependant, la FIL ne peut que déplorer le fait que, dans la foulée, le gouvernement ait officialisé la création d'un "Centre Technique d'Assistance" dont la mission est de mettre au clair les informations chiffrées. Dans la mesure où les travaux de ces "briseurs de codes" sont couverts par le secret défense et qu'ils n'auront pas de "caractère juridictionnel et ne sont susceptibles d'aucun recours", la FIL s'inquiète de voir poindre des dérives judiciaires et s'étonne que les droits de la défense puissent ainsi être entravés.

NdM: je mets le reste du communiqué en lien, il est un peu long.

Le communiqué (625 hits)

> Lire les commentaires (31 commentaires, moyenne: 9,6).

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

casseurs de clefs

Posté par kael () le 18/09/2002 à 09:12. (lien). Évalué à 33.

ca me fait penser a l'entrée resente de la france dans le classement des 500 machine les plus balaise. http://www.top500.org(...)
la machine est estampillée recherche et est localisée au cea mais en fouillant un peu on peu voir que en fait la plus part du temps machine sera utilisé par les services secrets.. inutile de dire ce qu'il en feront ...

[^]Re: casseurs de clefs

Posté par let antibarbie = xp <- xp - 1 (page perso, ) le 18/09/2002 à 09:30. (lien). Évalué à 24.
Ben voila, au moins, c'est officiel. De toutes façons je pense qu'ils se seraient pas privé de le faire (en secret ou non). S'il en va de la "sureté de l'état"... m'enfin chuis persuadé qu'avec de la crypto + sténo on peut toujours faire passer des messages impossibles a dechiffrer... quelle que soit la puissance utilisée pour tenter de déchiffrer le message.

Alors tout ca pour koi ? pour intercepter des messages de terroristes amateurs, ptet.

Je me demande s'ils embauchent des ingénieurs, tiens...
- [^]Re: casseurs de clefs
  
  Posté par kael () le 18/09/2002 à 09:48. (lien). Évalué à 14.
  ca c'est clair qu'on pourra toujours envoyer des messages en clair du genre : les carottes sonts cuites !! et contre ca la crypto ne peut RIEN
  d'ailleur c'est une forme de one time padding qui est la seul methode de cryptage vraiment fiable. la seul faille vient de l'echange prealable des codes et de leurs eventuelle conservation avant utilisation.
  - [^]Re: casseurs de clefs: HOWTO stegano et one time padding
    
    Posté par free2.org (page perso, ) le 18/09/2002 à 12:25. (lien). Évalué à 17.
    En complément de la remarque précédente, j'explique ici un peu 2 termes barbares:
    
    ONE TIME PADDING: utilisation unique de chaque octet d'une clé aléatoire privée. Si vous gravez entèrement un CD avec des octets aléaoires (par exemple issus de /dev/random) et que vous donnez une copie de ce CD à un interlocuteur: vous pouvez alors encrypter chauque octet des messages échangés avec cet interlocuteur, en leur additionnant un octet du CD crypté. Une fois utilisé, un octet du CD clé ne sera plus jamais utilisé.
    On peut alors facilement démontrer que si /dev/random est un bon générateur aléatoire ALORS il sera toujours impossible de décrypter les messages échangés si on a pas accès au CD clé.
    
    STEGANOGRAPHY: cacher des données dans des documents ou fichiers annodins. Une des méthodes les plus employées consiste à remplacer le "bruit" d'un fichier son/video/image (les parasites aléatoires de ce fichier) par des octets pseudo-aléatoires issus d'un algo de cryptage (le one time padding peut très bien convenir), des techniques permettent de préserver un certain nombre de statistiques caractéristisques du bruit afin de géner la détection de cette manipe:
    http://www.outguess.org/(...)
- [^]Re: casseurs de clefs
  
  Posté par Rin Jin (page perso, ) le 18/09/2002 à 10:06. (lien). Évalué à 23.
  De toutes façons je pense qu'ils se seraient pas privé de le faire (en secret ou non). S'il en va de la "sureté de l'état"...
  
  A vrai dire, ce n'est pas le fait que le gouvernement (l'armée, le président, ce que vous voulez, je m'en fous) puisse casser des clefs facilement qui me génent. Aprés tout, il pourrait être nécessaire dans un avenir plus ou moins proche de casser des clefs (en cas de guerre par exemple), et dans ce cas, être capable de le faire n'est pas forcément un mal.
  Ce qui me géne, c'est qu'on en arrive à craindre que ce soit nos messages qui soit décodé juste parce qu'ils sont codés*, que le simple fait de coder (ie: fermer l'envellope IRL) fasse de nous des espions au services des terroristes musulmans chinois du FBI au yeux de l'état.
  J'ai de plus en plus l'impression que nous sommes tous des suspect en puissance et ça me géne.
  
  * Si la police ou autre cassait les clefs de messages provenant de gens qu'ils suspectent fortement, pour avoir plus de preuves, je ne serais pas géner, mais s'ils le font pour vérifier, sans que vous n'ayez été suspecté auparavant de quelque chose, là c'est grave. Qui a dit Crimepensée?
  
  --
  "On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone
  - [^]Re: casseurs de clefs
    
    Posté par Jean-Yves B. () le 18/09/2002 à 10:12. (lien). Évalué à 14.
    Ce n'est pas illogique. Le comportement « chiffrer les messages » n'est pas dans la norme actuellement, du coup il peut être intéréssant de savoir pourquoi.
    
    C'est statistique comme approche finalement. On a une échantillon dont seulement une faible part est criminelle. Curieusement, on a un autre échantillon dont seulement une faible part chiffre ses messages. C'est le gag classique de la planche à clous, on ne voit que ceux qui dépassent ...
    - [^]Re: casseurs de clefs
      
      Posté par Space_e_man () le 18/09/2002 à 11:00. (lien). Évalué à 11.
      Je comprenais et partage l'opinion de rinjin et je ne m'attendais pas à comprendre un avis opposé. Mais je comprends ton idée. Néanmoins, je pense avoir trouvé la faille. Le problème est donc, selon moi, le changement.
      En effet, il nous est de plus en plus conseillé de se protéger. Mais la protection est pour l'instant suspecte. Ajoutons à cela une atmosphère de chasse aux sorcières et je m'explique alors l'observation de la frustration proche du délire et de la convulsion de tout un chacun pris entre deux feux !
      Depuis le |1 cèp(lol)eutan(bzzz)bbereu (héhé ;), je vie un vrai cauchemar psychique en tant que "libre penseur"(est-ce possible?).
      (PS: de moins en moins de machine(IP) me permettent de posté ici !? Cela s'apparente à quelques problèmes techniques...)
      - [^]Re: casseurs de clefs
        
        Posté par Jean-Yves B. () le 18/09/2002 à 12:02. (lien). Évalué à 5.
        Note : je n'ai absolument pas donné mon avis sur la question, j'ai juste fait une remarque.
        
        C'est ainsi pour tout depuis toujours. Le changement est un risque, le risque est toujours moins bien vu que le conservatisme mais si ce risque s'avère payant, il y aura adoption de masse.
    - [^]Re: casseurs de clefs
      
      Posté par Bruno Muller (Jabber id, page perso, ) le 18/09/2002 à 11:21. (lien). Évalué à 15.
      Si j'etais un terroriste, je chercherai à passer inaperçu, à me fondre dans la masse, à être dans la norme ; donc je crypterai poâ...
      
      Mais, bon, je dis ça, juste parce que ça me paraît pas illogique...
- [^]Re: casseurs de clefs
  
  Posté par Olivier (page perso, ) le 18/09/2002 à 10:38. (lien). Évalué à 14.
  D'autant que rien ne peut empécher une personne de dissimuler des données à travers un protocole quelconque. ICMP est exemple parmis d'autres ...
  Un simple "ping" sur une machine est très innocent, ca ne gènère pas beaucoup de trafic (sauf les attaques par DOS), et pourtant on peut mettre plein de choses dans son champ "data" (jusqu'à 64kb par paquet). Quand à intercepter, stocker et contrôler tout les paquets ICMP, je doute que les FAI ou les organismes compétants s'y amusent ...

[^]Re: casseurs de clefs

Posté par Foxy (page perso, ) le 21/09/2002 à 12:36. (lien). Évalué à 1.
la machine est estampillée recherche et est localisée au cea mais en fouillant un peu on peu voir que en fait la plus part du temps machine sera utilisé par les services secrets.. inutile de dire ce qu'il en feront ...

Quand tu dis "fouiller un peu", tu pourrais citer tes sources car effectivement on peut supputer qu'une partie du temps machine du CEA servira au cassage de crypto... mais j'aimerais trouver des sources valides sur ce fait.

Ca m'étonnait aussi...

Posté par Cvreer Genzb () le 18/09/2002 à 09:19. (lien). Évalué à 10.

...qu'il ya ait pas déjà un service pareil parmi la tétrachiée de différents services officiels "chargés de la sécurité du territoire".
Apres moi la question que je me pose c'est combien y aura-t-il de personnes affectées à ce service, quel seront leur moyens ? (si c'est 2 gars et 3 486 (meme si c'est des 486 DX :-)) leurs possibilités seront limitées et y'aura pas trop à s'inquiéter)

Et puis apres tout, s'ils ont ouvert ce service, c'est une raison de plus pour utiliser systématiquement GPG et la cryptographie à l'échelle industrielle, ils nous disent clairement: "Vazy, crypte, m'en fout moi, j'ai des zakers qui vont me déplomber tous les mots de passe, meme pas peur !"

N'importe quoi ...

Posté par Jean-Yves B. () le 18/09/2002 à 09:25. (lien). Évalué à 28.

Après avoir rapidement lu le communiqué, ce que tu aurais dû mettre en avant ce n'est pas le fait que le gouvernement se permette de faire du déchiffrement (ça, c'est normal) mais plutôt que les backdoors et tiers de « confiance » sont encouragés (ce qui est Mal®).

[^]Re: Backdoor

Posté par let antibarbie = xp <- xp - 1 (page perso, ) le 18/09/2002 à 09:44. (lien). Évalué à 12.
Heureusement les soft libres/open source et notre cher GNU/Linux, ont plus de chance d'être épargnés par ces abominations de backdoor... (et des virus des chinois du fbi).

N'empeche que c'est vraiment n'importe koi d'encourager ces pratiques malhonnêtes a l'encontre des citoyens.

Au sujet des tiers-de-confiance... ben ca par contre oui c'est nécessaire.. pour les gestions de certificats. Et un tiers de confiance public et gratuit (la poste ? -heu non ptet pas, le ministere de l'interieur ?) serait surement pas plus mal.

--
sed -e 's/sténo/stégano/' dans mon post plus haut.
- [^]Re: Backdoor
  
  Posté par Jean-Yves B. () le 18/09/2002 à 09:56. (lien). Évalué à 10.
  Attention, je ne parlait pas de CA qui signe les certificats (style PKI classique) mais de tiers qui possède un double de tes clefs.
  À partir du moment où plusieurs entités ont accès à la même clef (99% des cas ?), il n'y a plus de traçabilité, plus de confiance possible.
  
  Bref, rien ne vaut la transmission d'info de la main à la main :)

[^]Cha va pas ?

Posté par Moby-Dik () le 18/09/2002 à 21:46. (lien). Évalué à 1.
ce que tu aurais dû mettre en avant ce n'est pas le fait que le gouvernement se permette de faire du déchiffrement (ça, c'est normal)

Comment ça, c'est normal ?! C'est normal si c'est sur commission rogatoire, dans le cadre d'une enquête judiciaire, et en prévenant le suspect. Ca ne l'est pas si ça se fait en catimini, comme une écoute téléphonique.

presque faux problème

Posté par ianux (Jabber id, page perso, ) le 18/09/2002 à 09:38. (lien). Évalué à 28.

de toute façon, le but de la crypto n'est pas de rendre un document inviolable, mais de le protéger le plus longtemps possible jusqu'à ce que l'information qu'il renferme devienne obsolète. Sachant qu'en temps de guerre l'obsolescence d'une info est entre l'heure et la journée, on souhaite bien du courage aux maitres du monde americano-parano qui, grace à leurs ordinateurs quantiques, réussissent à péter une clefs de 1024 bits avant que celle-ci soit générée.
Blague à part, c'est sans fin, plus on cryptera, plus on essaiera de nous décrypter, et c'est celui qui commence qui garde une longueur d'avance...

--
radio ianux

Efficacité des services secrets

Posté par Antoine J. (Jabber id, ) le 18/09/2002 à 11:48. (lien). Évalué à 8.

Il faudra un jour que les services secrets se rendent compte que pour avoir des informations il faut mouiller la chemise et aller chercher les chercher sur le terrain. Mais c'est sûr que c'est plus facile de trouver des volontaires pour boire des cafés pendant que la machine passe les mails à la moulinette que pour aller camper en Afganistan dans des grottes obscures avec, pour se nourrir, une poignée de riz et un demi-litre d'eau par jour et sans voir une femme pendant des années. En plus il paraît qu'il faut apprendre des langues étrangères vachement exotiques c'est tout de même plus facile de décoder des messages chiffrés.

Il faut qu'ils arrêtent de croire que les ordinateurs peuvent tout faire à la place des humains.

Ah ! mais on me signale dans l'oreillette que le but ultime n'est peut-être de combattre le terrorisme.

[+] [^]Re: Efficacité des services secrets

Posté par Sendell (page perso, ) le 18/09/2002 à 12:23. (lien). Évalué à -3.
Sans parler de l'absence de la déspé en Afghanistan... !
- [+] [^]Re: Efficacité des services secrets
  
  Posté par Antoine J. (Jabber id, ) le 18/09/2002 à 12:33. (lien). Évalué à -4.
  Il me semblait bien qu'il y avait un "h" quelque part d'ailleurs s/n'est peut-être/n'est peut-être pas/ dans mon commentaire précédent.
  
  -1 car aucun intérêt

[+] [^]Re: Efficacité des services secrets

Posté par _seb_ () le 18/09/2002 à 12:31. (lien). Évalué à -5.
Moi je suis pour boire du café tous les jours, de retrouver ma p'tite femme tous les soirs et de voir ma fiche de paye avec les primes de fin de mois parce que mon ordinateur à bien travailler. Ca me dérange pas. Au contraire ça me permet d'apprendre des langues exotiques (J ou Lua par exemple).

Bon c'est vrai, je décrypte pas les messages postés.

Ok -1 , je sors ------->[]

[+] [^]Re: Efficacité des services secrets

Posté par Aleksey I. Neznakomyi () le 18/09/2002 à 17:08. (lien). Évalué à -1.
Tout ne se passe pas derrière des machines. Par exemple, la DGSE effectue de nombreuses opérations sur le terrain.

-1

Mal, mal mal

Posté par TSelek () le 18/09/2002 à 12:20. (lien). Évalué à 15.

Je bosse dans un secteur où la crypto est reine, or jusqu'à peu j'étais bien content de voir que GnuPG avait enfin une autorisation de la DCSSI. Depuis j'ai changé d'avis :

1/ j'étais fier de pouvoir faire un peu de pub pour GnuPG en remplacement de PGP. Et paf voila-t-y pas que je tombe sur deux authentiques dinos qui bossent avec le DCSSI depuis bien avant même que ça s'appelle le SCSSI et qui rigolent bien quand je leur dis que GnuPG a enfin l'agrément du DCSSI ! Pour eux c'est clair, si GnuPG a l'agrément c'est qu'il est "cassé". Bon, parano habituelle je me dis. Sauf que...

2/ vu sur un post plus haut, la France rentre dans le top 500. De plus toutes les machines ne sont pas dans le top 500 ! Surtout celles auquelles on pense dans ce contexte !

3/ le CTA... ça se précise !

Bon, je ne sais plus sur quel pied danser... J'ai l'impression qu'il y a des gens à la FIL qui ont le même souci que moi.

J'ajoute, vu les références au dessus à la stégano et autres astuces, que PGP est une référence en milieu professionel... On se rapelle d'Echelon et des affaires associées ?

[^]Re: Mal, mal mal

Posté par Jean-Yves B. () le 18/09/2002 à 12:32. (lien). Évalué à 4.
Les PGP et autres ont été effectivement « cassés » sous condition plus d'une fois.
Cela dit, ce n'est pas parce qu'un truc a été cassé que tout le monde peut le faire.
À propos de gnupg, il me semble qu'il reste pour l'instant plus rentable et facile de craquer la machine sur laquelle se trouvent les clefs que de chercher à résoudre la quadrature du cercle en ayant intercepté un seul message.

La parano c'est bien, ça sert à agir en prenant les pires hypothèses mais ça ne doit pas empecher d'agir.
- [^]Re: Mal, mal mal
  
  Posté par TSelek () le 18/09/2002 à 13:25. (lien). Évalué à 7.
  Bien sur !
  D'ailleurs un des derniers bugs^Wfailles de Windows en matière de crypto reposait sur la couche inférieure à la lib crypto qui elle était nickel... Fausse sécurité. Mieux vaut être parano. D'ailleurs c'est le métier qui nous rend comme ça, comme quoi.
  
  A propos de GnuPG, tu bosses au CTA ? Moi j'avance rien, ni dans un sens ni dans l'autre, l'exemple du DES nous a bien montré qu'il nous faudra au moins 10 ou 20 ans avant de connaitre le fin mot de l'histoire.
  - [^]Re: Mal, mal mal
    
    Posté par Jean-Yves B. () le 18/09/2002 à 13:31. (lien). Évalué à 0.
    Non, je me contente « comme tout le monde » de lire les rapports de sécu sur bugtraq et les chroniques de schneier.
    
    -1, </mavie>
- [^]Parano stérile
  
  Posté par Moby-Dik () le 18/09/2002 à 14:25. (lien). Évalué à 4.
  Les PGP et autres ont été effectivement « cassés » sous condition plus d'une fois.
  
  Ah bon ?? Il y a eu des bugs (corrigés) dans l'implémentation de certaines fonctionnalités, par contre pour ce qui est des algorithmes.... Tu as des références ?
  - [^]Re: Parano stérile
    
    Posté par Jean-Yves B. () le 18/09/2002 à 14:46. (lien). Évalué à 5.
    Je parlais des bugs en effet, car personne ne met jamais à jour, c'est bien connu. Il y a eu des histoires de raccourcis possibles avec certains types d'attaques à texte choisi. Les algos, eux, n'ont pas l'air menacés pour l'instant ...
    - [^]Re: Parano stérile
      
      Posté par Moby-Dik () le 18/09/2002 à 21:55. (lien). Évalué à 3.
      Il y a eu des histoires de raccourcis possibles avec certains types d'attaques à texte choisi.
      
      Oui, j'ai vu ça, ça nécessite quand même une participation active de la victime : on lui envoie le message à déchiffrer modifié d'une certaine manière, le déchiffrement de sa part ne donne que du gloubiboulga et on espère qu'elle renvoie le dit gloubiboulga en clair ("qu'est-ce que c'est que ce document que tu m'as envoyé ?"), ce qui permet alors de déduire le texte clair originel. D'autre part, si je me souviens bien, la compression qui est effectuée par défaut sur les messages rend l'attaque caduque.
      
      Pour la mise à jour, j'ose espérer que les gens qui utilisent sérieusement GPG/PGP font gaffe aux annonces de trous.... ;-))

[+] Trop tard ...

Posté par Bestel Xavier (page perso, ) le 18/09/2002 à 12:39. (lien). Évalué à -1.

D'après vous, si le DCSSI autorise GnuPG, ça veut dire quoi ?
Bah oui. Ca veut dire qu'ils savent probablement le casser.

[^]Re: Trop tard ...

Posté par Caeies () le 18/09/2002 à 12:55. (lien). Évalué à 5.
ou qu'ils veullent le faire croire ;)
Car dans l'histoire (presque une guerre), l'intox est aussi importante que l'info ... ça me rapelle le double code ça ... 2 messages totalement opposés que l'on transmet cryptés, comme ça même si il est cassé, y a une chance sur 2 de se planter :)

Bon sur ces paroles joyeuses, cherchons un stage (en crypto ? pk pas...)

--
Akpomvi <=== 1 à celui qui décrypte ce message :)

Revenir en haut de page

Articles précédents : Articles

Liens connexes

Dépêche modérée par

Articles : Cryptographie : un pas en avant, deux pas en arrière

casseurs de clefs

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs: HOWTO stegano et one time padding

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs

[^]Re: casseurs de clefs

Ca m'étonnait aussi...

N'importe quoi ...

[^]Re: Backdoor

[^]Re: Backdoor

[^]Cha va pas ?

presque faux problème

Efficacité des services secrets

[+] [^]Re: Efficacité des services secrets

[+] [^]Re: Efficacité des services secrets

[+] [^]Re: Efficacité des services secrets

[+] [^]Re: Efficacité des services secrets

Mal, mal mal

[^]Re: Mal, mal mal

[^]Re: Mal, mal mal

[^]Re: Mal, mal mal

[^]Parano stérile

[^]Re: Parano stérile

[^]Re: Parano stérile

[+] Trop tard ...

[^]Re: Trop tard ...