vendredi 16 mai
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

: Un petite analyse critique de « l'affaire » de la NSAKEY

Posté par djrom (page perso, ). Modéré le 30 novembre 2002.
Un article sur le site uZine (portail communautaire de publication sur Internet) propose une intéressante analyse de l'affaire de la fameuse NSAKEY, qui aurait été une backdoor intégrée par la NSA à l'interface de programmation cryptographique de NT4.
Il rassemble plusieurs sources, et essaye de déméler la vérité, qui paraît bien difficile à saisir.

Note du modérateur : ce sujet étant souvent revenu sur le tapis dans les commentaires, et même s'il est un peu hors sujet ici, j'ai accepté cette dépêche. L'accès au code source aurait permis de trancher la question (un des intérêts du logiciel libre dans le domaine de la sécurité).

> Lire la dépêche (33 commentaires, moyenne: 1,8).  

Vous avez demandé le commentaire #153274.

Re: Un petite analyse critique de « l'affaire » de la NSAKEY

Posté par Gniarf () le 30/11/2002 à 21:41. (lien). Évalué à 2.

L'accès au code source N'aurait PAS permis de trancher la question.

au plus, il aurait permis de recompiler les bouts de code d'origine douteuse afin de les remplacer, ou aurait pu faciliter le rétro engineering (décompilage) du code à vérifier.

les différentes affaires récentes de sources contaminées (tcpdump, ...) auraient dû relativiser ce que permet l'accès aux sources :

si suite à un moment d'égarement ou un acte de malveillance, une distribution Linux de type Red Hat ou Mandrake fournissait un utilitaire vérolé, ce n'est pas l'accès aux sources génériques de cet utilitaire qui va permettre de découvrir le problème.

--
Windows has no users. It has hostages.

  • [^]Re: Un petite analyse critique de « l'affaire » de la NSAKEY

    Posté par Pascal Terjan (Jabber id, page perso, ) le 30/11/2002 à 21:52. (lien). Évalué à 1.

    L'accès aux sources du paquet peut etre par contre, non ?

    • [^]Re: Un petite analyse critique de « l'affaire » de la NSAKEY

      Posté par Éric (Jabber id, page perso, ) le 30/11/2002 à 23:31. (lien). Évalué à 2.

      Si est seulement si le binaire a bien été compilé avec ces sources là.
      Faut pas prendre les gens pour des idiots, ils sont toujours capable de bidouiller les sources avant de te les donner.
      Ou en inversant : ils ont pu bidouiller légerement les sources avant de compiler le binaire officiel et ne pas reporter le bidouillage dans l'archive des sources.

      L'accès aux sources n'est une sécurité contre les backdoor/failles cachées intentionnellement _que_ si tu peux certifier que ca a bien été compilé avec les sources que tu as en main (bref, que c'est toi qui a compilé), que tu as les sources de toute la chaine (compilo par exemple, et que là aussi tu peux certifier la correspondance entre les sources que tu as et le binaire)

      [^]Re: Un petite analyse critique de « l'affaire » de la NSAKEY

      Posté par Gniarf () le 01/12/2002 à 00:11. (lien). Évalué à 1.

      au mieux, les sources du paquet (ou un paquet de sources) peuvent reconstruire le logiciel concerné, mais pas d'être assuré que les binaires du logiciel sont bien ce qu'on veut me faire croire.

      et qu'on ne me parle pas de signature MD5, ça n'apporte ici qu'une sensation de confiance, potentiellement indue.

      --
      Windows has no users. It has hostages.
Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0458s (dont 0.0044 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.