Il n'y a aucune mention de AES-GCM dans le document en question… leur recommandation c'est AES-CBC avec CBC-MAC.
Est-ce que tu as lu le document que tu cites?
Fail!
Pourquoi ? Tu ne penses sérieusement pas qu'un truc comme ça est fait à la one again par quatre gus dans un garage sans supervision de personne du niveau kivabien ?
C'est mon experience en tant que professionnel dans le milieu, oui.
J'ai explique que l'IV c'est en grande partie quelque chose qui ne change pas… et la partie qui change (32bits) c'est un frame-counter. En lisant le reste de la spec, il est loin d'etre clair que la clef change avant que le compteur repasse par la case zero; Je ne me souviens plus non plus s'il (re)commence a zero ou pas a chaque fois qu'il perd le jus… dans tous les cas c'est sub-optimal.
La propriete d'un IV en crypto c'est 'que sa valeur ne doit pas etre predictible pour un adversaire au moment de l'operation de chiffrement'. La ce n'est clairement pas le cas… c'est au mieux un 'nonce'/sel.
Y'a pas mal de details… y compris sur la crypto. J'avais trouve mieux a l'epoque (genre toute la spec, une douzaine de PDFs avec des centaines de pages)… mais je ne retrouve pas le lien ni mes notes.
Au final c'est clairement pas brillant: AES-128 GCM … avec un IV qui est tout sauf un IV; 96bits total dont seulement 32bits qui changent… et c'est un frame-counter. Fail!
>en oubliant de préciser que ce n'est que partiellement, comme si c'était anodin)
C'est anodin; Le service est gratuit: tu soumets un job ... et il sera fait quand ton tour viendra dans la queue. Qu'il y ait 256 processeurs ou pas ne changera rien au fait que tu n'as pas l'acces exclusif aux ressources!
Encore une fois, le portail est publique: que ce soit "nous" qui lancions des taches non-blender sur le cluster ou ton voisin qui lance son job de rendu, ca ne change rien au fait que *TON* job ne tournera que quand ce sera son tour.
Il y a deja 520 utilisateurs enregistres... tu partages deja les processeurs avec eux.
> Quelques temps plus tard tu affirmes que finalement c'est fait sur le temps libre de la grappe de calcul
Benh... oui. Et si t'avais regarde les stats, tu verrais que y'a quand meme beaucoup de temps libre.
>Ah déjà ça sent le coup de communication bien comme j'aime. Informations incomplètes et/ou biaisée et arguments "on est là pour vous aider, promis".
Heuh, a partir du moment ou le service est mis *gratuitement* a disposition et sans contre partie, je ne vois pas le probleme.
>Il n'empêche que derrière "we wish to understand the needs of Blender users and to improve the portal" il y a bien un but. Ce n'est pas juste pour écrire un article sur Wikipedia ou pour se faire plaisir.
Ah bon? A ce que je sache, la ferme de rendu blender doit etre le seul projet du labo qui n'a pas de financement!
> "to improve the portal" pour quoi faire ?
Benh le portail ne sert pas qu'a faire du rendu blender... Regardes le site du labo si les activites annexes t'interessent... Tu y trouveras des informations "completes" (pour autant que ca existe) par opposition au journal que j'ai poste ici.
Il est écrit nulle part que le cluster en question est dédié a la rendering farm...
On a d'autre applications qui l'utilisent... et le scheduler gère les priorités. Vu que l'on est très loin de l'utiliser a 100% et que ces machines doivent rester up 24h/24 ... on met a disposition les ressources que l'on n'utilise pas. Pourquoi faut-il tout le temps que les gens voient le mal partout?
C'est justement ce genre de retour que l'on attend:
Quelle taille font tes images? combien de temps faut-il par frame? Quel moteur de rendu utilises-tu? Ces images, c'est personnel/professionnel/pour un projet libre? As tu deja utilise les services d'une "rendering farm"?
Comme tu t'en doutes surement toutes les limites évoquées sont des "soft-limits"...
- Images fixes ou animées ? Limite de résolution ?
Les deux... aucune limite spécifique concernant la resolution... si ce n'est que les fichiers .blend uploadés sont limités a 100Mo
- Limite de temps de calcul : par image ? par job soumis ?
600 frames max et 5mins par frame pour les comptes standards (sera ajusté en fonction de la disponibilité du service dans le futur)
- Limite de nombre de CPU par job ? de RAM ?
Hmmm, chaque "frame" est rendue sur un noeud du cluster et a 5mins pour s'exécuter:
64 machines avec :
o 2 x AMD Opteron 2218 (2.6 GHz, 4 cores per node)
o 4GB memory
o 20Gbps Infiniband
- Moteurs de rendus : YafRay, Yaf(a)Ray, SunFlow, Kerkythea, Indigo sont-ils disponibles ?
Pas pour l'instant... mais c'est une des choses que l'on peut faire :) Il y a deja eu des demandes pour YafaRay
- OS ? (impact éventuel sur la disponibilité de certains renderers)
SLES10/Linux/amd64
- Quel moyen de soumettre / récupérer des données.
Via le portail (http)
- Licence / termes d'utilisation des données fournies et des images / vidéos calculées chez vous.
La je ne peux pas paraphraser ce qui est écrit sur le site ouaibe (il n'y a que la license en anglais qui a une valeur legale)... Mais en gros les donnees vous appartiennent toujours et on s'engage a ne pas les publier ni meme a y acceder sauf en cas de probleme technique
- Durée (approximative) prévisionnelle de disponibilité du service : en gratuit ? en payant ?
C'est une des questions pour laquelle je n'ai pas de reponse: ca dependera de l'usage qui est fait du portail...
Je ne vois pas en quoi un protocole UDP est plus dur a identifié qu'un TCP ? Il est très facile d'identifier des protocoles de jeux video qui recourt massivement à l'UDP. D'autant plus si cela ce passe sur des ports exotiques, beaucoup d'entreprises et sûrement de FAI doivent monitorer tous ce qui sort de l'ordinaire afin de détecter d'éventuelles attaques, botnets, etc.
UDP est stateless et la majorité des protocoles l'utilisant sont chiffrés (car il est facile de spoofer des paquets).
Bon exemple les jeux vidéos: tu connais beaucoup de jeux en ligne qui ne chiffrent pas ?
La question n'est pas de se connecter mais d'identifier le trafique et sa nature. Un FAI, la passerelle de l'université, de l'entreprise ou n'importe qui sur la route peut détecter le trafique sans avoir a se connecter.
S'il y a une signature quelconque qui rend le traffic identifiable oui. Là toute la question est de savoir quelle est la signature...
Question de stratégie, 20 connexions sur un port exotiques sont elles plus discrétisent que 200 connexions qui miment une protocole P2P ?
Je pense qu'il y a des idées a tirer des botnets qui sont assez fort pour camoufler leurs trafiques et leurs réseaux de command and controle.
Skype utilise communément 20 connexions simultanées en UDP si ton noeud devient un "super-noeud". Skype est chiffré... c'est un candidat idéal si on veut faire de la stéganographie.
La majorité des botnets utilisent TCP, c'est beaucoup plus simple (ils sont rarement décentralisés).
Je ne suis pas en train de dire que freenet n'est pas identifiable au niveau réseau... mais toutes les techniques que tu donnes là sont vouées à l'échec.
Pour identifier les donnés qui transite, oui pour détecter et bloquer le trafiques je n'en suis pas aussi sur. Tu parts de l'idée que l'attaquent veut s'en prendre aux donnés, ce qui me semble être un scénario assez peut probable. C'est tellement plus simple de tous récupérer en claire âpres une bonne descente de police.
La seule technique que je connaisse pour identifier freenet de manière "propre" n'a pas été citée.
Tant que l'on est dans un état de droit et que la présomption d'inocence reigne on ne peut pas t'envoyer la police comme ça. Le jour où on ne le sera plus il faut espérer que suffisament de gens fassent tourner un noeud freenet pour que les cibler aléatoirement ne soit pas viable.
cela semble intéressant, mais est-ce qu'il existe un moteur de recherche pour le contenu de freenet, ou bien c'est impossible à faire ?
Non ce n'est pas impossible... mais il faut que quelqu'un de motivé indexe pour toi le contenu et publie son index.
Je vois qu'il existe le projet "librarian" qui semble pouvoir indexer un site existant (donc c'est à faire par le webmaster), mais autrement, cela serait bien de pouvoir accéder à ce qui existe déjà sans le connaître par avance. Par exemple un Chinois pourrait faire une recherche sur tous les sites freenet concernant son pays, il ne sera sans doute pas (plus que moi) intéressé par la "blacklist" des stars du showbiz s'étant "compromises" à offrir leur soutien au président français.
On a des annuaires qui catégorisent le contenu; ça remplit globalement la même fonction... Les moteurs de recherche n'ont pas toujours existés sur internet... Enfin si mais à une époque ils étaient si peut performants que tout le monde utilisait des annuaires (comme yahoo).
De plus, est-ce qu'il est possible d'utiliser le système en place pour surfer de manière anonyme ? Même exemple que plus haut, si freenet fonctionne différemment de Tor par exemple, un Chinois pourra l'utiliser pour visiter des sites internet existant, sans utiliser un autre logiciel, qui sera d'ailleurs peut-être bloqué dans son pays.
Non il n'y a pas de "pont" entre freenet et internet. Il n'est pas possible pour un chinnois de visiter un site internet existant sauf si celui-ci a déja été inséré sur freenet.
3) Non le protocole n'est pas sensible aux attaques man in the middle; comme tout protocole d'échange de clef qui se respecte, on utilise une variante d'un echange Diffie Helman
Heu je te suis pas. http://en.wikipedia.org/wiki/Diffie-Hellman#Authentication
In the original description, the Diffie-Hellman exchange by itself does not provide authentication of the communicating parties and is thus vulnerable to a man-in-the-middle attack.
Du coup il faut authentifier les personnes avec lesquels on parle, ce qui n'est pas forcement simple si tu considère qu'il peut y avoir plein de personnes compromises tout autour de toi.
4) Non, un noeud freenet ne peut pas être port-scanné même de manière active. Il n'y a pas de message de rejet dans le protocole; si les noeuds ne se comprennent pas ils s'ignorent
Oui mais qu'est ce qui déclenche le fait qu'il se comprenne. Comment 2 clients officiels font pour établir une connection ?
Ils connaissent leur identités et clefs publiques respectives *avant* de communiquer ensemble. Dans le cas du "darknet" il faut échanger une référence et dans le cas de l'opennet c'est automatique... Seul les "seednotes" (noeuds d'introduction) de l'opennet sont identifiables avec un scan actif. Mais ça sert à rien vu qu'ils sont déjà connus.
Et comment tu connais les noeuds authentifié au départ
Pour l'opennet une liste est téléchargée durant l'installation (http://downloads.freenetproject.org/alpha/opennet/seednodes.(...) )par l'installeur.
En ce qui concerne le darknet, c'est toi, l'utilisateur qui est sensé faire la vérification "offband" de l'identité des personnes avec lesquelles tu échanges la référence de ton noeud.
Donc il suffit au FAI de faire du phishing sur ce serveur pour fourni une liste de nodes toutes corrompues.
Pour l'opennet, oui ... sauf que le fichier est signé et qu'il ne peut donc pas être altéré par le FAI (sauf si l'installeur est lui aussi modifié).
It establishes an encrypted connection with the node, without initially being routable.
Elle est ou l'authentification ? Le noeud d'entré m'a l'air d'accepter des connections de n'importe qui.
Oui les seednotes acceptent toutes les connections... mais elles ne routent pas de traffic et ne sont nécessaires que pour l'opennet.
Qu'on se comprenne bien: l'opennet est blocable, pas facilement (vu que tout noeud peut être/devenir seednode) mais il est blocable... Le darknet ne l'est pas.
Le protocole de Freenet est chiffré, a priori rien ne permet de l'identifier.
Sauf qu'avant d'être chiffré, il y a une initialisation pour se mettre d'accord sur le chiffrement.
- Cet échange est il commun, de tel sorte que l'on ne puisse pas reconnaître freenet.
- Est il sensible à des attaques man in the middle.
- Un FAI qui connait les gens qui parle en chiffé ne peut il pas essayer de lancer une connection de type freenet sur ces machines et suivant la réponse déterminer si freenet tourne dessus.
Alors, dans l'ordre:
1) Non il n'y a pas de négociation en clair (il y a deux niveaux de chiffrement: une couche d'obfuscation et une "vrai" couche de crypto)
2) Non les clefs de la couche d'obfuscation ne sont pas fixes (sauf en opennet ou celles des seednodes sont publiques)
3) Non le protocole n'est pas sensible aux attaques man in the middle; comme tout protocole d'échange de clef qui se respecte, on utilise une variante d'un echange Diffie Helman
4) Non, un noeud freenet ne peut pas être port-scanné même de manière active. Il n'y a pas de message de rejet dans le protocole; si les noeuds ne se comprennent pas ils s'ignorent
Ensuite même si le flux est crypté, celui-ci à quand même des caractéristiques. A la louche :
- il ne sort pas sur des ports standard (pas https, ssh, ...)
- Tu émets des connections chiffré, mais tu en acceptes aussi ( ca pue le p2p : 90 % des gens ne font pas serveur)
- nombre de connection vers ta machine
1) Le fait qu'on utilise pas des ports standards est aussi une des caractéristiques qui font que le protocole est difficile à identifier. Là tu cites deux protocoles qui utilisent TCP, nous on utilise UDP.
2) Tu n'acceptes que les connections venant de noeuds "authentifiés"; pas les connections venant de n'importe qui! (cf http://wiki.freenetproject.org/OpennetDesign )
3) Un noeud freenet n'établit pas plus de 20 connections vers d'autre noeuds... Les logiciels de p2p classique en ont plusieur centaines!
Je ne suis pas en train de dire que freenet n'est pas identifiable au niveau réseau... mais toutes les techniques que tu donnes là sont vouées à l'échec.
Et puis je serais un gouvernement de type chinois j'interdirais toutes les connections chiffrés que je ne sais pas casser.
Ca c'est un autre débat... et c'est là qu'interviennent les transports stéganographiques :)
Par contre comme populaire est parfois incompatible avec la qualité d'un document, y-a-t il un moyen de protection des fichier faiblement demandé pour leur éviter de disparaître ?
Il suffit de demander à y accéder ou de le réinsérer régulièrement
Va convaincre le gouvernement Chinoix, Nord-coréen, Emirats Arabes Unis...
Freenet n'a pas été initialement développé dans ces pays. J'imagine donc que, au moins pour les intentions initiales, la vocation de freenet s'applique plutôt aux pays occidentaux où, tu le soulignes bien, le problème de la liberté d'expression se pose tout à fait différemment.
Non freenet a une vocation beaucoup plus large... Et où as tu vu que freenet était développé en europe ? Le project-leader est aux states, je suis en corée, ...
se connecter (...) directement aux noeuds de ses amis
Hum, comment fait un tibétain qui n'a pas d'ami dans Freenet ? Enfin, disons qu'il ne veut pas mouiller ses amis dans ses affaires de publication de documents top secrets. De mémoire, il faut échanger son IP avec des inconnus sur IRC en clair. Je ne comprend pas trop comment cette étape peut garantir l'anonymat justement. Est-ce que le gouvernement chinois ne pourrait se débrouiller pour inscrire les tibétains à leur réseau pour faciliter l'espionnage ?
L'idée est que tu as des rapports sociaux avec tes amis... donc que tu échanges déjà régulièrement des données avec eux. Que ce soit par email, skype, un jeu vidéo quelconque, ... ce sont des transferts de données récurents qui ne paraissent pas forcément anormaux si le gouvernement fait une analyse de flux sur les données que tu envoies à ton FAI.
À ce que j'ai compris, on dessine manuellement le routage : les paquets ne passent que par nos soit disant « amis ».
Il se trouve que les réseaux sociaux (le fait de se connecter à ses amis) produit une topologie sur laquelle il est facile de router des informations efficacement (Small_world_network).
Or si tous nos amis sont des espions, ne peuvent-ils pas mesurer le temps de réponse pour certaines données, et donc savoir si on a la donnée en cache, voir même si on est à l'origine du document ?
Hmm, il y a plusieur choses qui entrent en jeux ici:
1) Si tous tes amis sont des espions oui bien sûr ton anonymat est compromis. D'un autre coté, si toi même, humain passant les tests de Turing n'est pas capable de te connecter à des gens qui ne sont pas des espions, comment penses tu que Freenet (programme du monde des machines ;)) puisse ?
2) Mesurer le temps de réponse ne sert à rien. Freenet fonctionne comme une table de hashage distribuée ayant de nombreux niveaux de cache; Ni la latence ni le débit de téléchargement ne peuvent te donner des données utiles. De plus, tu ne connais pas forcément les amis de tes amis: ton amis peut avoir des données dans son cache local car un de ses amis a demandé à son noeud de les forwarder; ça n'implique pas que l'amis que tu connais et auquel tu es connecté ait accédé aux données lui même (plausible deniability).
3) Non, il n'est pas possible d'intérroger un "cache" à distance: Nous utilisons deux niveaux de cache pour le stockage (stockage long-terme et 'cache' réel)
>>java n'est pas fondalementalement plus lent que le que le C"
>pour moi fondamentalement il l'est. Le C est compilé (qui plus peut l'etre avec des options de compil specialement étudiée) et le java non. Mais dans la pratique tu as raison: cela dépend des développeurs :)
heuh... Le java est pre-compilé (transformé en bytecode) et ensuite "optimisé" à l'exécution (JIT & co)... Toutes les optimisations que tu peux avoir lors d'une compilation sont transposables au bytecode... Sauf qu'en C tu peux plus optimiser à la volée après vu qu'il n'y a pas de machine virtuelle.
Tu n'as certainement pas lu le lien que j'ai mis dans mon message...
Il est clair que toute machine virtuelle introduit un "overhead"... et que comparé a du code natif parfait il sera plus lent...
La question c'est combien de temps peux-tu consacrer à optimiser/debugger ton code ? Si la réponse est "pas beaucoup" alors il n'est pas évident que ce soit plus rapide sans machine vituelle... Pour te donner un exemple, on a des parties de freenet écrit en assembleur (pour la crypto)... on a "vraiment" optimisé une section critique du code... pas le reste.
>Ce qui me pose problème par exemple c'est la gestion cpu et mémoire - des developpeurs on reussit a faire utiliser 500 mo de mémoire à leur jvm pour l'affichage du suivi de 40000 transferts par exemple - peut etre n'utilisent ils pas correctement le GC ?
Des gens qui savent pas coder codent dans tous les languages... dont le java, oui.
>De plus je trouve l'acces fichier en java lourd en terme de code par rapport a ce qui se fait en C et donc en terme de perf je me dis que ca peut avoir un impact sur les perf ?
Gnih??? parse-error.
En quoi la "lourdeur du code" (j'interprète: de la syntaxe) peut-elle avoir un impact quelconque sur les perfs ?
>1) l'exploitation des ipc en java... d'apres mes connaissance actuelle elles ne sont tous simplement pas exploitable ?
Heuh, si tu connais le C et pas le java .... oui t'iras plus vite à coder en C.
Java c'est un language de haut niveau, tu ne manipules pas les IPCs directement... prenont un exemple : la synchronisation: c'est fait à base de moniteurs (java <=1.4) et uniquement de moniteurs.
>2) l'exploitation des memoire flash... j'ai vu ici ou la des developpement java à ce propos, mais malheuresement aucun tutorial d'implementation par exemple....
Je suis dévelopeur freenet et je confirme que c'est *vieux* :)
Viens sur #freenet (irc.freenode.net) pour en discuter si tu veux...
Tout dépend de la taille des messages à echanger, leur nombre, ...
Et non, java n'est pas fondalementalement plus lent que le C, surtout pour faire ce genre de choses. La JVM met un temps certain à se charger... mais si ton programme est bien écrit elle n'est chargée qu'une seule fois.
Je recommande la lecture de http://www-128.ibm.com/developerworks/java/library/j-jtp09275.html?ca=dgr-jw22JavaUrbanLegends
[^] # Re: spec fonctionelle
Posté par nextgens (site web personnel) . En réponse au journal Compteur communicant. Évalué à 5.
Il n'y a aucune mention de AES-GCM dans le document en question… leur recommandation c'est AES-CBC avec CBC-MAC.
Est-ce que tu as lu le document que tu cites?
C'est mon experience en tant que professionnel dans le milieu, oui.
[^] # Re: spec fonctionelle
Posté par nextgens (site web personnel) . En réponse au journal Compteur communicant. Évalué à 1.
J'ai explique que l'IV c'est en grande partie quelque chose qui ne change pas… et la partie qui change (32bits) c'est un frame-counter. En lisant le reste de la spec, il est loin d'etre clair que la clef change avant que le compteur repasse par la case zero; Je ne me souviens plus non plus s'il (re)commence a zero ou pas a chaque fois qu'il perd le jus… dans tous les cas c'est sub-optimal.
La propriete d'un IV en crypto c'est 'que sa valeur ne doit pas etre predictible pour un adversaire au moment de l'operation de chiffrement'. La ce n'est clairement pas le cas… c'est au mieux un 'nonce'/sel.
# spec fonctionelle
Posté par nextgens (site web personnel) . En réponse au journal Compteur communicant. Évalué à 4.
Ils ont publie la spec fonctionelle:
http://www.erdf.fr/sites/default/files/documentation/ERDF-CPT-Linky-SPEC-FONC-CPL.pdf
Y'a pas mal de details… y compris sur la crypto. J'avais trouve mieux a l'epoque (genre toute la spec, une douzaine de PDFs avec des centaines de pages)… mais je ne retrouve pas le lien ni mes notes.
Au final c'est clairement pas brillant: AES-128 GCM … avec un IV qui est tout sauf un IV; 96bits total dont seulement 32bits qui changent… et c'est un frame-counter. Fail!
# Bien sur!
Posté par nextgens (site web personnel) . En réponse au message Cas d'utilisation : N'autoriser que firefox à sortir sur les ports HTTP(S). Évalué à 2.
Salut Feth!
Je viens de faire un post a ce propos sur mon blog:
http://florent.daigniere.com/posts/2015/07/application-firewalling-with-netfilter/
Les firewalls applicatifs c'est une tres mauvaise idee. Ca sert pas a grand chose… mais oui c'est possible.
[^] # Re: J’en pense…
Posté par nextgens (site web personnel) . En réponse au journal Créons le free software bug tracking day !. Évalué à 2.
C'est parce que tu t'y prends mal.
Utilises the bug-tracker de ta distribution!
[^] # Re: Hum
Posté par nextgens (site web personnel) . En réponse au journal Sauvegarde données utilisateurs et serveurs. Évalué à 2.
http://subversion.tigris.org/
Avec tortoiseSVN si c'est dans un environment windows.
# DropBox
Posté par nextgens (site web personnel) . En réponse au message Recherche sauvegarde en ligne. Évalué à 1.
http://www.getdropbox.com/downloading
Sinon y'a https://www.backblaze.com/ qui est vraiment pas cher; mais pas de client open-source pour l'instant.
[^] # Re: Le vrai but ?
Posté par nextgens (site web personnel) . En réponse au journal Accès gratuit a une ferme de rendering blender (250 CPUs!). Évalué à 10.
C'est anodin; Le service est gratuit: tu soumets un job ... et il sera fait quand ton tour viendra dans la queue. Qu'il y ait 256 processeurs ou pas ne changera rien au fait que tu n'as pas l'acces exclusif aux ressources!
Encore une fois, le portail est publique: que ce soit "nous" qui lancions des taches non-blender sur le cluster ou ton voisin qui lance son job de rendu, ca ne change rien au fait que *TON* job ne tournera que quand ce sera son tour.
Il y a deja 520 utilisateurs enregistres... tu partages deja les processeurs avec eux.
> Quelques temps plus tard tu affirmes que finalement c'est fait sur le temps libre de la grappe de calcul
Benh... oui. Et si t'avais regarde les stats, tu verrais que y'a quand meme beaucoup de temps libre.
>Ah déjà ça sent le coup de communication bien comme j'aime. Informations incomplètes et/ou biaisée et arguments "on est là pour vous aider, promis".
Heuh, a partir du moment ou le service est mis *gratuitement* a disposition et sans contre partie, je ne vois pas le probleme.
>Il n'empêche que derrière "we wish to understand the needs of Blender users and to improve the portal" il y a bien un but. Ce n'est pas juste pour écrire un article sur Wikipedia ou pour se faire plaisir.
Ah bon? A ce que je sache, la ferme de rendu blender doit etre le seul projet du labo qui n'a pas de financement!
> "to improve the portal" pour quoi faire ?
Benh le portail ne sert pas qu'a faire du rendu blender... Regardes le site du labo si les activites annexes t'interessent... Tu y trouveras des informations "completes" (pour autant que ca existe) par opposition au journal que j'ai poste ici.
[^] # Re: Le vrai but ?
Posté par nextgens (site web personnel) . En réponse au journal Accès gratuit a une ferme de rendering blender (250 CPUs!). Évalué à 10.
On a d'autre applications qui l'utilisent... et le scheduler gère les priorités. Vu que l'on est très loin de l'utiliser a 100% et que ces machines doivent rester up 24h/24 ... on met a disposition les ressources que l'on n'utilise pas. Pourquoi faut-il tout le temps que les gens voient le mal partout?
Pour les stats d'utilisation:
http://ganglia.ngs.wmin.ac.uk/
[^] # Re: Merci ...
Posté par nextgens (site web personnel) . En réponse au journal Accès gratuit a une ferme de rendering blender (250 CPUs!). Évalué à 5.
Quelle taille font tes images? combien de temps faut-il par frame? Quel moteur de rendu utilises-tu? Ces images, c'est personnel/professionnel/pour un projet libre? As tu deja utilise les services d'une "rendering farm"?
Comme tu t'en doutes surement toutes les limites évoquées sont des "soft-limits"...
[^] # Re: Merci ...
Posté par nextgens (site web personnel) . En réponse au journal Accès gratuit a une ferme de rendering blender (250 CPUs!). Évalué à 10.
- Images fixes ou animées ? Limite de résolution ?
Les deux... aucune limite spécifique concernant la resolution... si ce n'est que les fichiers .blend uploadés sont limités a 100Mo
- Limite de temps de calcul : par image ? par job soumis ?
600 frames max et 5mins par frame pour les comptes standards (sera ajusté en fonction de la disponibilité du service dans le futur)
- Limite de nombre de CPU par job ? de RAM ?
Hmmm, chaque "frame" est rendue sur un noeud du cluster et a 5mins pour s'exécuter:
64 machines avec :
o 2 x AMD Opteron 2218 (2.6 GHz, 4 cores per node)
o 4GB memory
o 20Gbps Infiniband
- Moteurs de rendus : YafRay, Yaf(a)Ray, SunFlow, Kerkythea, Indigo sont-ils disponibles ?
Pas pour l'instant... mais c'est une des choses que l'on peut faire :) Il y a deja eu des demandes pour YafaRay
- OS ? (impact éventuel sur la disponibilité de certains renderers)
SLES10/Linux/amd64
- Quel moyen de soumettre / récupérer des données.
Via le portail (http)
- Licence / termes d'utilisation des données fournies et des images / vidéos calculées chez vous.
La je ne peux pas paraphraser ce qui est écrit sur le site ouaibe (il n'y a que la license en anglais qui a une valeur legale)... Mais en gros les donnees vous appartiennent toujours et on s'engage a ne pas les publier ni meme a y acceder sauf en cas de probleme technique
- Durée (approximative) prévisionnelle de disponibilité du service : en gratuit ? en payant ?
C'est une des questions pour laquelle je n'ai pas de reponse: ca dependera de l'usage qui est fait du portail...
[^] # Re: Et pour les gens qui veulent utiliser autre chose que tor
Posté par nextgens (site web personnel) . En réponse au journal OVH: "Mais on vous répète qu'un serveur loué ne vous appartient pas !". Évalué à 6.
En quoi est-ce différent?
http://freenetproject.org
[^] # Re: darknet
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7.0 édition "Darknet" disponible!. Évalué à 2.
UDP est stateless et la majorité des protocoles l'utilisant sont chiffrés (car il est facile de spoofer des paquets).
Bon exemple les jeux vidéos: tu connais beaucoup de jeux en ligne qui ne chiffrent pas ?
La question n'est pas de se connecter mais d'identifier le trafique et sa nature. Un FAI, la passerelle de l'université, de l'entreprise ou n'importe qui sur la route peut détecter le trafique sans avoir a se connecter.
S'il y a une signature quelconque qui rend le traffic identifiable oui. Là toute la question est de savoir quelle est la signature...
Question de stratégie, 20 connexions sur un port exotiques sont elles plus discrétisent que 200 connexions qui miment une protocole P2P ?
Je pense qu'il y a des idées a tirer des botnets qui sont assez fort pour camoufler leurs trafiques et leurs réseaux de command and controle.
Skype utilise communément 20 connexions simultanées en UDP si ton noeud devient un "super-noeud". Skype est chiffré... c'est un candidat idéal si on veut faire de la stéganographie.
La majorité des botnets utilisent TCP, c'est beaucoup plus simple (ils sont rarement décentralisés).
Je ne suis pas en train de dire que freenet n'est pas identifiable au niveau réseau... mais toutes les techniques que tu donnes là sont vouées à l'échec.
Pour identifier les donnés qui transite, oui pour détecter et bloquer le trafiques je n'en suis pas aussi sur. Tu parts de l'idée que l'attaquent veut s'en prendre aux donnés, ce qui me semble être un scénario assez peut probable. C'est tellement plus simple de tous récupérer en claire âpres une bonne descente de police.
La seule technique que je connaisse pour identifier freenet de manière "propre" n'a pas été citée.
Tant que l'on est dans un état de droit et que la présomption d'inocence reigne on ne peut pas t'envoyer la police comme ça. Le jour où on ne le sera plus il faut espérer que suffisament de gens fassent tourner un noeud freenet pour que les cibler aléatoirement ne soit pas viable.
[^] # Re: moteur de recherche et surf internet anonyme
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7.0 édition "Darknet" disponible!. Évalué à 3.
Non ce n'est pas impossible... mais il faut que quelqu'un de motivé indexe pour toi le contenu et publie son index.
Je vois qu'il existe le projet "librarian" qui semble pouvoir indexer un site existant (donc c'est à faire par le webmaster), mais autrement, cela serait bien de pouvoir accéder à ce qui existe déjà sans le connaître par avance. Par exemple un Chinois pourrait faire une recherche sur tous les sites freenet concernant son pays, il ne sera sans doute pas (plus que moi) intéressé par la "blacklist" des stars du showbiz s'étant "compromises" à offrir leur soutien au président français.
On a des annuaires qui catégorisent le contenu; ça remplit globalement la même fonction... Les moteurs de recherche n'ont pas toujours existés sur internet... Enfin si mais à une époque ils étaient si peut performants que tout le monde utilisait des annuaires (comme yahoo).
De plus, est-ce qu'il est possible d'utiliser le système en place pour surfer de manière anonyme ? Même exemple que plus haut, si freenet fonctionne différemment de Tor par exemple, un Chinois pourra l'utiliser pour visiter des sites internet existant, sans utiliser un autre logiciel, qui sera d'ailleurs peut-être bloqué dans son pays.
Non il n'y a pas de "pont" entre freenet et internet. Il n'est pas possible pour un chinnois de visiter un site internet existant sauf si celui-ci a déja été inséré sur freenet.
[^] # Re: Java ?
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7.0 édition "Darknet" disponible!. Évalué à 1.
Heh, il vaut mieux porter la jvm sur ton architecture qui n'en a pas encore que de recoder chaque application ;)
[^] # Re: darknet
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7.0 édition "Darknet" disponible!. Évalué à 3.
http://wiki.freenetproject.org/FreenetZeroPointSevenSecurity
3) Non le protocole n'est pas sensible aux attaques man in the middle; comme tout protocole d'échange de clef qui se respecte, on utilise une variante d'un echange Diffie Helman
Heu je te suis pas. http://en.wikipedia.org/wiki/Diffie-Hellman#Authentication
In the original description, the Diffie-Hellman exchange by itself does not provide authentication of the communicating parties and is thus vulnerable to a man-in-the-middle attack.
Du coup il faut authentifier les personnes avec lesquels on parle, ce qui n'est pas forcement simple si tu considère qu'il peut y avoir plein de personnes compromises tout autour de toi.
On utilise une variante authentifiée et résistante aux DoS (Just Fast Keying) http://people.csail.mit.edu/canetti/materials/jfk.pdf
4) Non, un noeud freenet ne peut pas être port-scanné même de manière active. Il n'y a pas de message de rejet dans le protocole; si les noeuds ne se comprennent pas ils s'ignorent
Oui mais qu'est ce qui déclenche le fait qu'il se comprenne. Comment 2 clients officiels font pour établir une connection ?
Ils connaissent leur identités et clefs publiques respectives *avant* de communiquer ensemble. Dans le cas du "darknet" il faut échanger une référence et dans le cas de l'opennet c'est automatique... Seul les "seednotes" (noeuds d'introduction) de l'opennet sont identifiables avec un scan actif. Mais ça sert à rien vu qu'ils sont déjà connus.
Et comment tu connais les noeuds authentifié au départ
Pour l'opennet une liste est téléchargée durant l'installation (http://downloads.freenetproject.org/alpha/opennet/seednodes.(...) )par l'installeur.
En ce qui concerne le darknet, c'est toi, l'utilisateur qui est sensé faire la vérification "offband" de l'identité des personnes avec lesquelles tu échanges la référence de ton noeud.
Donc il suffit au FAI de faire du phishing sur ce serveur pour fourni une liste de nodes toutes corrompues.
Pour l'opennet, oui ... sauf que le fichier est signé et qu'il ne peut donc pas être altéré par le FAI (sauf si l'installeur est lui aussi modifié).
It establishes an encrypted connection with the node, without initially being routable.
Elle est ou l'authentification ? Le noeud d'entré m'a l'air d'accepter des connections de n'importe qui.
Oui les seednotes acceptent toutes les connections... mais elles ne routent pas de traffic et ne sont nécessaires que pour l'opennet.
Qu'on se comprenne bien: l'opennet est blocable, pas facilement (vu que tout noeud peut être/devenir seednode) mais il est blocable... Le darknet ne l'est pas.
[^] # Re: darknet
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7.0 édition "Darknet" disponible!. Évalué à 10.
Sauf qu'avant d'être chiffré, il y a une initialisation pour se mettre d'accord sur le chiffrement.
- Cet échange est il commun, de tel sorte que l'on ne puisse pas reconnaître freenet.
- Est il sensible à des attaques man in the middle.
- Un FAI qui connait les gens qui parle en chiffé ne peut il pas essayer de lancer une connection de type freenet sur ces machines et suivant la réponse déterminer si freenet tourne dessus.
Renseignes toi un petit peut avant de dire des conneries :)
Pour info, j'ai mentoré quelqu'un qui travaillait sur cette partie du code l'été dernier (http://code.google.com/soc/2007/freenet/appinfo.html?csaid=B(...) ).
Alors, dans l'ordre:
1) Non il n'y a pas de négociation en clair (il y a deux niveaux de chiffrement: une couche d'obfuscation et une "vrai" couche de crypto)
2) Non les clefs de la couche d'obfuscation ne sont pas fixes (sauf en opennet ou celles des seednodes sont publiques)
3) Non le protocole n'est pas sensible aux attaques man in the middle; comme tout protocole d'échange de clef qui se respecte, on utilise une variante d'un echange Diffie Helman
4) Non, un noeud freenet ne peut pas être port-scanné même de manière active. Il n'y a pas de message de rejet dans le protocole; si les noeuds ne se comprennent pas ils s'ignorent
Ensuite même si le flux est crypté, celui-ci à quand même des caractéristiques. A la louche :
- il ne sort pas sur des ports standard (pas https, ssh, ...)
- Tu émets des connections chiffré, mais tu en acceptes aussi ( ca pue le p2p : 90 % des gens ne font pas serveur)
- nombre de connection vers ta machine
1) Le fait qu'on utilise pas des ports standards est aussi une des caractéristiques qui font que le protocole est difficile à identifier. Là tu cites deux protocoles qui utilisent TCP, nous on utilise UDP.
2) Tu n'acceptes que les connections venant de noeuds "authentifiés"; pas les connections venant de n'importe qui! (cf http://wiki.freenetproject.org/OpennetDesign )
3) Un noeud freenet n'établit pas plus de 20 connections vers d'autre noeuds... Les logiciels de p2p classique en ont plusieur centaines!
Je ne suis pas en train de dire que freenet n'est pas identifiable au niveau réseau... mais toutes les techniques que tu donnes là sont vouées à l'échec.
Et puis je serais un gouvernement de type chinois j'interdirais toutes les connections chiffrés que je ne sais pas casser.
Ca c'est un autre débat... et c'est là qu'interviennent les transports stéganographiques :)
[^] # Re: darknet
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7.0 édition "Darknet" disponible!. Évalué à 3.
Il suffit de demander à y accéder ou de le réinsérer régulièrement
[^] # Re: darknet
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7.0 édition "Darknet" disponible!. Évalué à 7.
[^] # Re: Freenet et éthique
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7-rc1 est disponible. Évalué à 3.
Freenet n'a pas été initialement développé dans ces pays. J'imagine donc que, au moins pour les intentions initiales, la vocation de freenet s'applique plutôt aux pays occidentaux où, tu le soulignes bien, le problème de la liberté d'expression se pose tout à fait différemment.
Non freenet a une vocation beaucoup plus large... Et où as tu vu que freenet était développé en europe ? Le project-leader est aux states, je suis en corée, ...
[^] # Re: Comment fonctionne l'anonymat ?
Posté par nextgens (site web personnel) . En réponse à la dépêche Freenet 0.7-rc1 est disponible. Évalué à 10.
Hum, comment fait un tibétain qui n'a pas d'ami dans Freenet ? Enfin, disons qu'il ne veut pas mouiller ses amis dans ses affaires de publication de documents top secrets. De mémoire, il faut échanger son IP avec des inconnus sur IRC en clair. Je ne comprend pas trop comment cette étape peut garantir l'anonymat justement. Est-ce que le gouvernement chinois ne pourrait se débrouiller pour inscrire les tibétains à leur réseau pour faciliter l'espionnage ?
L'idée est que tu as des rapports sociaux avec tes amis... donc que tu échanges déjà régulièrement des données avec eux. Que ce soit par email, skype, un jeu vidéo quelconque, ... ce sont des transferts de données récurents qui ne paraissent pas forcément anormaux si le gouvernement fait une analyse de flux sur les données que tu envoies à ton FAI.
À ce que j'ai compris, on dessine manuellement le routage : les paquets ne passent que par nos soit disant « amis ».
Il se trouve que les réseaux sociaux (le fait de se connecter à ses amis) produit une topologie sur laquelle il est facile de router des informations efficacement (Small_world_network).
Or si tous nos amis sont des espions, ne peuvent-ils pas mesurer le temps de réponse pour certaines données, et donc savoir si on a la donnée en cache, voir même si on est à l'origine du document ?
Hmm, il y a plusieur choses qui entrent en jeux ici:
1) Si tous tes amis sont des espions oui bien sûr ton anonymat est compromis. D'un autre coté, si toi même, humain passant les tests de Turing n'est pas capable de te connecter à des gens qui ne sont pas des espions, comment penses tu que Freenet (programme du monde des machines ;)) puisse ?
2) Mesurer le temps de réponse ne sert à rien. Freenet fonctionne comme une table de hashage distribuée ayant de nombreux niveaux de cache; Ni la latence ni le débit de téléchargement ne peuvent te donner des données utiles. De plus, tu ne connais pas forcément les amis de tes amis: ton amis peut avoir des données dans son cache local car un de ses amis a demandé à son noeud de les forwarder; ça n'implique pas que l'amis que tu connais et auquel tu es connecté ait accédé aux données lui même (plausible deniability).
3) Non, il n'est pas possible d'intérroger un "cache" à distance: Nous utilisons deux niveaux de cache pour le stockage (stockage long-terme et 'cache' réel)
Plus d'infos sur http://wiki.freenetproject.org/FreenetZeroPointSevenSecurity
C'est pour cette raison que l'"opennet" (mode hybride) a été implémenté.
Comment fonctionne ce mode ? Est-ce simplement une automatisation de l'étape d'inscription du mode darknet ?
Là je te renvois à la doc :) Oui le mode opennet choisira des "amis" pour toi.
http://wiki.freenetproject.org/OpennetDesign
http://wiki.freenetproject.org/OpennetAttacks
[^] # Re: freenet
Posté par nextgens (site web personnel) . En réponse au message Debat langage pour implementation de systèmes répartie. Évalué à 1.
>pour moi fondamentalement il l'est. Le C est compilé (qui plus peut l'etre avec des options de compil specialement étudiée) et le java non. Mais dans la pratique tu as raison: cela dépend des développeurs :)
heuh... Le java est pre-compilé (transformé en bytecode) et ensuite "optimisé" à l'exécution (JIT & co)... Toutes les optimisations que tu peux avoir lors d'une compilation sont transposables au bytecode... Sauf qu'en C tu peux plus optimiser à la volée après vu qu'il n'y a pas de machine virtuelle.
Tu n'as certainement pas lu le lien que j'ai mis dans mon message...
Il est clair que toute machine virtuelle introduit un "overhead"... et que comparé a du code natif parfait il sera plus lent...
La question c'est combien de temps peux-tu consacrer à optimiser/debugger ton code ? Si la réponse est "pas beaucoup" alors il n'est pas évident que ce soit plus rapide sans machine vituelle... Pour te donner un exemple, on a des parties de freenet écrit en assembleur (pour la crypto)... on a "vraiment" optimisé une section critique du code... pas le reste.
>Ce qui me pose problème par exemple c'est la gestion cpu et mémoire - des developpeurs on reussit a faire utiliser 500 mo de mémoire à leur jvm pour l'affichage du suivi de 40000 transferts par exemple - peut etre n'utilisent ils pas correctement le GC ?
Des gens qui savent pas coder codent dans tous les languages... dont le java, oui.
>De plus je trouve l'acces fichier en java lourd en terme de code par rapport a ce qui se fait en C et donc en terme de perf je me dis que ca peut avoir un impact sur les perf ?
Gnih??? parse-error.
En quoi la "lourdeur du code" (j'interprète: de la syntaxe) peut-elle avoir un impact quelconque sur les perfs ?
>1) l'exploitation des ipc en java... d'apres mes connaissance actuelle elles ne sont tous simplement pas exploitable ?
Heuh, si tu connais le C et pas le java .... oui t'iras plus vite à coder en C.
Java c'est un language de haut niveau, tu ne manipules pas les IPCs directement... prenont un exemple : la synchronisation: c'est fait à base de moniteurs (java <=1.4) et uniquement de moniteurs.
>2) l'exploitation des memoire flash... j'ai vu ici ou la des developpement java à ce propos, mais malheuresement aucun tutorial d'implementation par exemple....
C'est pas propre au language ça.
# freenet
Posté par nextgens (site web personnel) . En réponse au message Debat langage pour implementation de systèmes répartie. Évalué à 1.
Viens sur #freenet (irc.freenode.net) pour en discuter si tu veux...
Tout dépend de la taille des messages à echanger, leur nombre, ...
Et non, java n'est pas fondalementalement plus lent que le C, surtout pour faire ce genre de choses. La JVM met un temps certain à se charger... mais si ton programme est bien écrit elle n'est chargée qu'une seule fois.
Je recommande la lecture de http://www-128.ibm.com/developerworks/java/library/j-jtp09275.html?ca=dgr-jw22JavaUrbanLegends
# Là.
Posté par nextgens (site web personnel) . En réponse au journal Enregistrement Soirée Big Brother sur Arte. Évalué à 5.
uggc://jjj.qnvylzbgvba.pbz/ivqrb/k2olou_ovt-oebgure-frphevgr-yvoregr-ploref
# le bios!
Posté par nextgens (site web personnel) . En réponse au journal Le PIC d'AMD en déstockage. Évalué à 1.
http://pair.offshore.ai/pic/
http://www.gensw.com/pages/stories/amdpicst.htm
http://www.gensw.com/pages/prod/fwapp/bootsec.htm