Journal De la distribution des clefs OpenPGP

Posté par (page perso) . Licence CC by-sa
52
11
mai
2017

Introduction

Un problème fréquemment rencontré avec OpenPGP est celui de la distribution des clefs publiques : comment Alice peut-elle transmettre sa clef publique à Bob, étape préalable indispensable à toute communication sécurisée ?

Depuis les premières versions de PGP, plusieurs méthodes ont été élaborées pour tenter de résoudre ce problème. Cet article les passe en revue.

Les serveurs de clefs

La première méthode, la plus connue et celle historiquement associée au monde OpenPGP, consiste à enregistrer la clef auprès d’un serveur (...)

Journal PrivateBin sécurise vos partages de texte en version 1.1

18
26
déc.
2016
Ce journal a été promu en dépêche : PrivateBin sécurise vos partages de texte en version 1.1.

PrivateBin est un service libre de pastebin, qui permet d'héberger et de partager des données textuelles. Sont supportés le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d'en reparler, voyons un peu ce qu'est PrivateBin et quelles en sont les fonctionnalités-clefs.

Un panier sécurisé pour vos partages de texte

Né des cendres de Zerobin, qui a déjà été présenté en dépêche il y a quelques années, PrivateBin met l'accent sur (...)

Journal Gfsecret, le secret réparti en pratique

Posté par (page perso) . Licence CC by-sa
48
4
sept.
2016

Jour’Nal,

Dans un précédent journal sur la gestion des clefs OpenPGP, je mentionnais en passant la possibilité « d’utiliser une méthode de secret réparti pour partager la clef privée en m fragments, dont n sont nécessaires pour reconstituer la clef complète ».

J’aimerais revenir sur cette méthode pour présenter les outils que j’ai développé pour la mettre en œuvre.

Un peu de théorie : le partage de secret d’Adi Shamir

Il existe plusieurs méthodes de partage de secret, celle qui nous intéresse (...)

Forum Linux.embarqué Cryptsetup: help !!!

Posté par . Licence CC by-sa
0
4
avr.
2016

Bonjour,

Je souhaiterais installer cryptsetup sur une cible ARM avec un linux sans biensur utiliser apt-get ou autre programme d'installation.
Pour ce faire J'ai déjà cross compilé sur mon hôte avec l'option arm-linux-gnueabihf, libgpg-error, libgcrypt, lvm2 et pour finir cryptsetup. La compile s'est bien passée, j'ai donc cryptsetup disponible sur mon hôte.

Maintenant je me trouve bloqué pour passer a l'étape suivante qui consiste a exécuter cryptsetup depuis ma cible.
Auriez vous une idée ? Quelles sont les autres étapes nécessaires ?

(...)

Journal première sortie de "DAFT Allows File Transfers"

12
2
fév.
2016

Chers lecteurs,

J'ai le plaisir d'annoncer la première sortie de DAFT (v0.0.1).

https://github.com/UnixJunkie/daft

DAFT est un outil en ligne de commande pour transférer des fichiers de manière sécurisée, par exemple pendant une expérience computationnelle distribuée. C'est le compagnon idéal (pour les fichiers) de logiciels tels que PAR ou GNU parallel. PAR est un outil pour bouger efficacement ses données quand il n'y a pas de système de fichier distribué d’installé sur les noeuds. PAR ne nécessite pas de droits root (...)

Journal Où mettre son archive de mots de passe ?

25
25
jan.
2016

Bonjour Nal,

Depuis peu, j'utilise des gestionnaires de mots de passe qui utilisent un format de fichier commun, et qui me permettent donc de partager la même archive aussi bien à la maison qu'au travail. Maintenant, le problème, c'est que cette archive des mots de passe, je dois la partager. J'ai pour l'instant quelques solutions en tête, et j'aimerais savoir ce que vous, mes moules paranoïaques préférées, vous faites ou feriez…

Les solutions actuelles sont :

  1. Stocker l'archive de mots de (...)

Forum général.général Stellar, p2p pour transfert de monnaies, mieux que Bitcoin ?

0
22
déc.
2015

Salut,

J'ai récemment lu un article qui critiquait Bitcoin et plaçait plus d'espoir dans Stellar (principalement pour transférer de l'argent avec un coût minimum). En avez-vous déjà entendu parler, avez-vous un avis, des critiques, des réserves, des raisons d'être intéressés ?

Forum général.général Y a-t-il des cryptographes dans la salle? Stockage de mots de passe

Posté par . Licence CC by-sa
1
25
oct.
2015

Bonjour tout le mode,

Une idée m'est venue pour le stockage de mots de passe. Je ne suis absolument pas un expert en sécurité, et je me suis donc dit que d'autres personnes l'avaient eue avant moi, mais que comme elle n'était pas répandue, c'est qu'il doit s'agir d'une mauvaise idée.

Alors voilà, on connaît quelques méthodes de stockage des mots de passe, par ordre croissant de sécurité:

  1. en dur dans le code (!)
  2. en clair dans une DB
  3. sous (...)

Journal Séminaire "Carte à puce et cryptographie : je t'aime, moi non plus"

Posté par . Licence CC by-sa
19
31
août
2015

Bonjour à tous,

Le séminaire d'Histoire de l'Informatique et du numérique reprend le jeudi 17 septembre à 14h30, dans l'amphi C "Abbé Grégoire" du Cnam à Paris.

Ce séminaire est organisé par François Anceau, Ancien professeur titulaire de chaire au Cnam, collaborateur bénévole au LIP6, Pierre Mounier-Kuhn, historien, CNRS, université Paris-Sorbonne, et Isabelle Astic, responsable des collections informatique et réseaux au Musée des arts et métiers.

En lien avec l'exposition "Carte à puce. Une histoire à rebonds", cette première séance (...)

Journal Les solutions cryptographiques aujourd'hui : le simple et le compliqué

Posté par (page perso) . Licence CC by-sa
12
12
juin
2015

Bonjour Nal,

C'est vendredi, alors c'est un bon jour !

La cryptographie, c'est compliqué, et sa mise en œuvre est un champs de mines. C'est bien beau tout ça, mais on est en droit d'en attendre quoi aujourd'hui ?

Je vous propose de voir ce qui est simple et ce qui ne l'est pas, d'un point de vu centré sur l'utilisateur.

Chat entre deux personnes (anonyme)

C'est un terrain connu, et l'idée même est déjà utilisée par les réseaux informatiques. OTR est (...)

Journal Voilà comment inciter 25% des internautes à chiffrer leurs mails

17
10
juin
2015

Titre racoleur assumé.

J’étais en train de répondre au journal qui traite de comment on pourrait obtenir une solution de chiffrement accessible à tous quand je me suis dit qu’un journal serait peut-être plus approprié pour mettre en avant ma réflexion sur le sujet.

La question est intéressante, donc prenons le temps d’y réfléchir.

Réflexion

Le chiffrement, qu’il soit symétrique ou asymétrique nécessite des clés de chiffrements.

La possession de ces clés assure la confidentialité, l’intégrité et parfois l’authentification des (...)

Forum général.cherche-logiciel Plateforme de mail chiffrés - Protonmail

Posté par . Licence CC by-sa
2
5
mai
2015

Bonjour à tous !!

Je suis à la recherche d'une plateforme de mail à installer sur serveur debian ou centos par exemple qui soit en fait une plateforme de mail chiffré comme proton (https://protonmail.ch/) . Avant proton y avait déjà Proofpoint qui proposait une solution identique mais payante !

Moi ce que je cherche c'est l'équivalent en open-source !

ça doit forcément exister… Une solution qui s'intégre avec postfix ou autres… Mais j'ai du mal à le trouver !

Aidez-moi ! :)

Merci (...)

Journal Truecrypt 7.1a déclaré relativement sûr

43
2
avr.
2015

Le 13 mars 2015, Open Crypto Audit Project a rendu son rapport concernant l'audit de sécurité démarré sur Truecrypt 7.1a, en version Windows..

Trois ingénieurs ont travaillé sur ce projet, en regardant la majeur partie du code source, et ils ont trouvé 4 vulnérabilités, dont 2 de haute sévérité. La revue de sécurité a également utilisé des exemples, et en déboguant de manière spécifique.

Je vous encourage à lire le rapport qui ne fait que 21 pages pour plus (...)

NSA - À propos de BULLRUN

45
5
fév.
2015
Sécurité

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

"Imitation Game" : la vie d'Alan Turing sur grand écran

Posté par (page perso) . Édité par Benoît Sibaud. Modéré par Yvan Munoz. Licence CC by-sa
33
3
jan.
2015
Culture

Déjà sorti dans les salles obscures anglo-saxonnes et bientôt à l'écran en France (28 janvier), le film "The Imitation Game" (Imitation Game en France et « Le jeu de l'imitation » au Québec, une référence au Test de Turing) retrace la vie d'Alan Turing, et plus spécialement son implication à Bletchley Park pour décrypter les messages de l'armée allemande chiffrés avec la machine Enigma durant la seconde guerre mondiale.

Comme tout film historique et biographique, un certain nombre de points ne sont pas exacts, mais le travail réalisé est tout à fait honorable et permet de montrer l'importance de la cryptographie durant la seconde guerre mondiale, et la situation pour les homosexuels en Angleterre (qui conduira à la castration chimique de Turing). Plusieurs prix et nominations ont été accordés aux acteurs (en particulier à Benedict Cumberbatch qui joue le rôle de Turing), au scénario et à l’œuvre dans son ensemble.