Humeur : vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Posté par free2.org (page perso, ). Modéré le 10 mars 2003.
![[en]](../images/en.png)
site officiel TCPA (633 hits)-
nouveaux liens de la FAQ TCPA (465 hits)
![[fr]](../images/fr.png)
URL permanente «vérifications sur tcpa» (2007 hits)
> Lire la dépêche (150 commentaires, moyenne: 2,2).
Vous avez demandé le commentaire #182211.
Run by 
Cette page a été générée par Templeet en 0.061s (dont 0.0061 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Pour le gun c'est normal qu'on aie accès uniquement aux randoms valides, un bon module de sécurité jette les premiers tirés puis passe quelques algos comme MonteCarlo histoire de vérifier que l'analogique marche toujours nickel, inutile d'être parano là (pour plus d'info sur ces guns cf spec FIPS 140).
Pour la clé racine, ça ressemble pas à une clé de fab permettant une personnalisation mais à une clé qui vous dépossede : ce n'est pas votre clé ! vous n'avez plus de contrôle sur votre PC ! vous payez un truc que vous croyez être votre PC et qu'on détourne en fait comme plateforme DRM, vous payez vos chaines !
Bref, si vous avez besoin de crypto, achetez un lecteur PINPad et des cartes à puces !
En plus si c'est sécuritaire comme du EAL4, le code doit être dispo à l'évaluateur dans le sens où à partir d'EAL4 le code est sensé résister à des divulgations, donc que des hackers puissent le lire ne doit plus être un danger, donc selon les CC à partir de 4 on devrait pouvoir faire le forcing sur l'accès au code sans que ça casse les CC... or là on cache tout... vous en concluez...
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
que c'est pas très clair. Tu sembles être un spécialiste de cryptographie, ce que malheureusement, peu de lecteurs de linuxfr.org sont.
Pourrais tu expliquer plus en détail ce dont tu parles ?
ex: "EAL4", les "CC", le "gun", "clé de fab", "lecteur PINPad", etc.
Ou à défaut, peux-tu nous indiquer un site qui documenterait tout cela ?
Merci ;-)
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
euh... les CC j'ai déjà expliqué ça sur http://linuxfr.org/comments/175211.html(...)
un gun c'est un générateur de nombres aléatoires, basé sur une source analogique de bruit blanc.
une clé de fabriquation c'est une clé insérée lors de la fabriquation d'un chip lors des permiers tests usine et que seul le fabriquant connait, mais elle sera desactivée plus tard par la pose d'un verrou lors de la personnalisation du chip et remplacée par une clé générée en interne ou descendue par un canal sécurisé. le principe de base c'est une clé par phase de vie, avec un proprio par phase de vie. dans le cas du TCPA on dirait que ça marche pas comme ça du tout, autrement dit la clé reste propriété du fournisseur ce qui est inacceptable.
un PINPad c'est un lecteur de cartes à puce avec écran clavier histoire de ne pas taper le PIN sur un PC (imaginez un B.O....)
un site ? nan, dommage, c'est tout éparpillé...
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
vous en concluez...
que le code inclus n'est pas censé résister à la divulgation, donc qu'il n'est pas aussi bon que ça, donc que des problémes de sécurité vont survenir, donc qu'on ne pourra pas intervenir sur le code défaillant pour y remédier, donc qu'on va régresser sur le plan de la sécurité, donc que c'est de la bouse ????
J'ai bon, m'sieur?
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Oui, tu as bon.
Il va y avoir regression du point de vue securité, mais par contre du point de vue business, c'est un gros progrès. En langage commercial, cela donnera:
"Voici TCPA-2.0, encore plus performant et sécurisé que la version précédente! TCPA-2.0 est optimisé pour l'architecture Zogtel Brolium-6".
Et il te faudra traduire: la version 1.0 était vérolée a mort, voici un truc qui fonctionne a peu pres. Mais vous êtes obligés de changer toute votre machine Brolium-5.
La société qui a inventé le procédé pour le software s'étant fait un pognon monstre, y a pas de raison qu'on applique pas la recette au hardware...
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Ohh ce sera mieux que ca, ca donnera des conférence a la mode Microsoft :
"ok, avant on etait pas totalement secure, notre but était de sortir le produit pour le public. Mais maintenant on est complétement orienté sécurité cette version 2.0 est vraiment une petite merveille, nous avons beaucoup appris des erreurs du passé ..etc". A incrémenter de version en version comme pour le discours depuis win 95 ..
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Oui.
Le paradoxe c'est qu'il y a un gros push marketing sur les EAL4, qui sont un niveau où la menace que le code soit connu par n'importe qui est considérée comme possible et donc devant être absolument contrée, surtout par la crypto dans les faits. Donc une logique plus proche du logiciel libre que proprio...
Si c'est EAL4 ils devraient pouvoir mettre le code au grand jour sans avoir à trembler, en plus coté proprio ils sont sensés être protégés par leurs brevets. Or ils ne le font pas. Ca protège pas les brevets ? C'est pas du vrai EAL4 ? :)
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Bon je passe sur l'enormité du troll qu'est cette news, je suis trop fatigué par mon boulot actuel pour me lancer dans un autre longue argumentation.
Pour la solution du PINPad, ou des lecteurs de smartcard, je veux bien ce serait une solution qui consillerit tout le monde, mais le probleme est que les lecteur standar ne sont pas securisé car il ne gere pas le padding, et ceux qui sont fiable sont proprio.
De plus la plus part de ces systeme coutes aussi chers qu'un processeur actuel ( 400E ), alors que tout l'interet de TCPA c'est que ce soit un standar sur le papier et dans les faits ( on a pas besoin d'un autre Betamax, qui bien que superieur n'a pas trouver son filon du fait de produit trop chers et peut courant ).
Bref, si vous avez besoin de crypto, achetez un lecteur PINPad et des cartes à puces !
Si on s'interesse qu'a ce qui font déjà usage du cryptage alors ca n'a plus d'interet.
En plus si c'est sécuritaire comme du EAL4, le code doit être dispo à l'évaluateur dans le sens où à partir d'EAL4 le code est sensé résister à des divulgations, donc que des hackers puissent le lire ne doit plus être un danger, donc selon les CC à partir de 4 on devrait pouvoir faire le forcing sur l'accès au code sans que ça casse les CC... or là on cache tout... vous en concluez...
Troll ... ta smartcard et ton pinpad c'est pour sa puissance des calcul que tu l'utilise ? non, c'est pour proteger tes clées de plus les algo son standar connue et publique RSA SHA AES on etait bien plus etudiés et attaqué que EAL4.
Il relève de la responsabilité du lecteur de contrôler, par tous moyens, l'adéquation du message à ses besoins et de s'assurer qu'il ne causera pas de dommages aux personnes et aux biens.
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Bon ok, je vais de ce pas donner ma dem à ma DRH, pasque là je suis plus dans le coup...
Plus sérieusement :
tu peux m'expliquer ton histoire de padding ? j'ai pourtant bossé sur des tas de lecteurs et pourtant je ne comprend pas...
400 Euros ? tu achetes des modeles plaqués or ou quoi ? même aux banques on les vendait 3 fois moins chers...
l'interêt de TCPA ? courcircuiter les cartes à puce de conception française.
ensuite je crois que sur les clés tu te trompes, elles ne sortent __JAMAIS__ de la carte donc c'est bien sur la puissance de calcul de la carte qui est utilisée, et des cartes on en trouve en 8/16/32 bits avec ou sans accelerateurs cryptos. Quand aux algos, euh une carte c'est un CPU avec ROM/EEPROM donc on code l'algo qu'on veut...
plus etudiés et attaqué que EAL4 euh, ça veut rien dire ça, à part que tu n'ais rien compris aux CC (/o\ pas taper). EAL/CC c'est pas un algo, c'est une méthodologie et une librairie de critères sécuritaires...
YOU are a troll !
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
"t'es un troll!" "vi mais toi t'es rien qu'un fud" "m'en fout moi j'utilise pas kde ispèce de noob" "tu veux la voir la longueur de ma clé ? tu risque de plus marcher après..."
et après on voit des critiques de /. et de ses échanges mais non j'insiste que sur ce point la france ne joue pas de son particularisme culturel et présente une similitude certaine ^^
'fin bon c'est avec ce type de super thread que j'en arrive à voir mes jeankevin-like m'expliquer que tcpa est le nouveau système anti piratage qui sera intégré à longhorn.... :/
"courcircuiter les cartes à puce de conception française"
malheureusement ce secteur se court-circuite déjà tout seul (gemplus) alors c'est peut-être pas l'argument contre tcpa le plus aboutit :p
[^]Re: vérifications sur TCPA: je refuse d'avoir des puces et des softs TCPA dans mon ordinateur
Gemplus est loin d'être le plus gros portefeuille de brevets en la matière, et tu regardes trop la télé, le reportage de Capital, hum hum...
Pour le reste de ton post, je t'y renvoie.