Journal La crypto ça sert plus à rien de toute façon

Posté par  (site web personnel) .
Étiquettes :
25
8
août
2014

Ah, 'nal, nous sommes perdus.

Moi qui pensais pouvoir chiffrer mes données en toute tranquillité. Je n'écris pas mon mot de passe sur un post-it. Ce n'est pas un mot de passe réutilisé. Ce n'est pas un mot de passe facilement devinable, et en plus il est long.

"Ah", tu te dis, "tu chiffres/déchiffres sur ta machine de travail ? Tu sais très bien qu'il faut une machine séparée, avec un airgap pour être sûr. C'est le minimum".

Et bien non, ce n'est plus le minimum. Je vais te la faire courte: on est mal.

Des chercheurs de l'université de Tel Aviv ont montré qu'il était possible de voir ce que le CPU faisait avec n'importe lequel des moyens suivants:

  • Mesurer les variations de potentiel du chassis avec une sonde
  • Mesurer les variations de potentiel au bout du câble ethernet branché sur la machine
  • Mesurer les variations de potentiel du chassis avec la main
  • Mesurer les émanations électromagnétiques avec une antenne posée dans le secteur
  • Mesurer les variations dans le courant électrique à la prise

Et quand je dis mesurer, c'est une pauvre pince croco branchée sur un téléphone même pas dernier cri.

Résultat ? Je te le donne en mille: les chercheurs ont réussi à récupérer des clés de déchiffrement RSA 4096 bits et ElGamal 3092 bits. C'était censé être solides ces machins là.

Ah au fait, c'est eux qui ont montré qu'il était possible de faire la même chose juste en mettant un micro et en écoutant le bruit que fait la machine. GnuPG semble avoir été patché depuis pour éviter cette attaque… qu'en est-il des autres ? Qu'en est-il de, par exemple, OpenSSL linké dans à peu près tous les serveurs web qui pensent sécuriser les données et informations des utilisateurs ?

Je pensais pas être parano, mais avec des trucs comme ça, je sais plus quand je peux rentrer mon mot de passe en paix.

Note: Ce contenu est placé sous licence CC0

  • # Suggestion de correction

    Posté par  . Évalué à 10.

    La crypto sert a rien => Le hardware c'est encore plus troué que le software

    Please do not feed the trolls

    • [^] # Re: Suggestion de correction

      Posté par  . Évalué à 10.

      Et surtout, on ne sait pas quel microcode la NSA à intégré au puces CISC, ou quel cablage au RISC. Qui va vérifier ce que fait l'unité de chiffrement et ce que fait la carte réseau Intel, avant de le passer au switch linksys au routeur CISCO (tous backdoorés par la NSA ? Quand certains leurs montrent les backdoor, plutôt que de les corriger, ils ont tendance à mettre un masque devant, laissant penser, qu'on va pas s'en sortir avec eux. Sans parler des scanneurs d'écran (à distance) et clavier qui sont répandus depuis au moins 20 ans.

      Ils parlent de El Gamal, mais d'après wikipedia : son algo (qui est peut-être bien indépendamment de ses implémentations) « est la base du système DSA standardisé par le NIST ». donc même problème qu'avec RSA, c'est bien de faire des algos efficaces, mais quand on a des services secret qui implémente des versions avec porte dérobée pour les standards, ça sert plus à rien.

      Donc, de toute façon, c'est un système avec backdoor pas la peine de décodeurs matériels, il suffit de connaître la backdoor (aller la chopper à la NSA ?). NIST & RSA (la société, pas le trio de l'algo et l'algo) sont obligés de demander gentiment à la NSA avant de normaliser l'implémentation d'un algo de crypto. Et comme le rappelle DJ. Bernstein (l'auteur de qmail & co), ils nous filent même pas certains infos à propos de la création de leurs courbes elliptiques (laissant supposé qu'elles sont toutes trouées, pas uniquement celles ou c'est déjà démontrées). Du coup, il a fait crée un nouvel algo ed25519, qui a en plus l'avantage d'être plus efficace (donc de consommer moins de ressources).

      Sous OpenSSH, Utiliser ed25519 plutôt que RSA/DSA/ECDSA (pas confondre avec edDSA), il est déjà implémenté, une inclusion dans un RFC est en cours dans deux brouillons de l'IETF (réellement international et indépendant) pour pouvoir enregistré des empreintes de la clé publique du serveur SSH dans les DNS (via une extension de SSHFP), et ainsi de vérifier l'authenticité de la clé avant de l'accepté lors du premier accès (nécessite l'utilisation de DNSSEC pour être efficace).

      Using ED25519 in SSHFP Resource Records
      http://tools.ietf.org/html/draft-moonesamy-sshfp-ed25519

      Et il y a déjà un autre brouillon de RFC est en cours pour l'accepter dans TLS (utilisé par HTTPS par exemple), en attendant il faut faire avec les passoires…

      Curve25519 for ephemeral key exchange in Transport Layer Security (TLS)
      http://tools.ietf.org/html/draft-josefsson-tls-curve25519

      Pour rappel, DJ. Bernstein à passé 2 concours pour voir ses algos retenus aux niveaux nationaux. Un refusé aux US, un accepté en Europe (ecrypt.eu.org). Bon, il semble un peu remonté contre son gouvernement, notamment sur le fait d'avoir le droit à un peu de vie privée, ce qui doit les fâcher.

    • [^] # Re: Suggestion de correction

      Posté par  (site web personnel) . Évalué à 2.

      Ouais mais ça le faisait moins, sur le coup.

    • [^] # Re: Suggestion de correction

      Posté par  . Évalué à 7.

      Le hardware matériel c'est encore plus troué que le software logiciel.

  • # De l'interprétation des résultats de recherche par le grand public...

    Posté par  . Évalué à 10.

    Je ne sais pas pourquoi on a toujours tendance à mettre en veille notre cerveau et notre esprit critique pour sombrer dans l'alarmisme lorsqu'il s'agit de science ou de recherche. Un étude scientifique montre qu'il suffit de préfixer n'importe quelle phrase par une "une étude scientifique" pour que les gens y adhérent sans conditions.

    Pour les attaques qui seront présentées dans le papier CHES 2014, il y a quand même énormément de conditions à remplir pour que les attaques fonctionnent. Il faut quasiment avoir un accès physique à la machine et du matos pro pour une partie des attaques. Disons qu'avec un accès physique à ma machine, il y a bien plus simple comme attaque pour me piquer ma clé GPG. Certes il y a bien cette attaque de mesure du potentiel à l'extremité d'un cable ethernet avec un téléphone. L'attaque fonctionne en laboratoire sur un cable de 10m, mais est-ce qu'elle fonctionne en condition réelles, c'est à dire dans un amas de cable de 100m, dans un environnement plus bruité ? Est-ce qu'elle fonctionne toujours s'il y a flashplayer en train de décoder une vidéo youtube pendant qu'enigmail décode les mails que tu m'envoies ? Il faut bien faire la distinctions entre conditions de laboratoire et conditions réelles.

    Par exemple, il est évident que les datacenters ne sont pas du tout concernés par ces attaques (d'ailleurs les auteurs ne le revendiquent pas). Si t'arrives à aller poser ta main/une pince croco sur un de mes serveurs, il est évident qu'il y a un bien plus gros problème que le fait qu'il soit possible de lire ma clé OpenPGP.

    Les mêmes remarques s'appliquent à l'attaque utilisant les informations acoustiques. Elle ne fonctionne plus si l'environnement est bruyant, l'attaquant a besoin d'être proche de la machine attaquée etc.

    Je ne suis pas en train de dire que ce ne sont pas des résultats intéressants, ni même qu'il est inutile de se protéger contre ces attaques de manière logicielle, juste que ça reste des expériences de recherche faites dans un labo bien loin de rendre la crypto inutile en pratique.

    Il faut raison garder. D'un autre côté, on est vendredi. D'un autre côté je marche dedans si je veux.

    • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

      Posté par  (site web personnel) . Évalué à -10. Dernière modification le 08 août 2014 à 23:37.

      Comment demultiplexe les signaux? Car il y as plusieurs frequences, et des milliers de signaux par fréquence…
      Ensuite les transistor c'est des électrons qui passe sur l'atome d'as cote ce qui crée un barrière électromagnétique… donc pas de bruit…
      Bref, j'y croi pas. Apres un petit ARM bien blinder (principe d'une cage de farade), de tout façon ça n'émet rien. Mais toujours prendre des precaussions pour le hardware contenant des donnes sensibles, des protections phisique, … car si un voleur par avec, tu peu avoir crypte tout les donnees du monde, tu n'as plus les donnees. Tant la faille hardware usb parait plus crédible. Et les failles dans les drivers usb et les serveur tcp sont un réalité, voir grsec pour plus de sécurité.

      Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

    • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

      Posté par  . Évalué à -1.

      Un étude scientifique montre qu'il suffit de préfixer n'importe quelle phrase par une "une étude scientifique" pour que les gens y adhérent sans conditions.

      La science est la nouvelle religion. C'est magique.

      • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

        Posté par  . Évalué à 10.

        Les messages privés ayant disparu de linuxfr il y a quelques années, n'ayant pas d'autres moyen de te contacter, je suis contraint de répondre à un de tes commentaires.

        Nous ne sommes pas sur twitter, et les commentaires sur dlfp peuvent sans aucun problème dépasser les 140 caractères. Tes commentaires sont en majorité des petites phrases, n'apportant à peu près rien à la discussion, ce qui permet par ailleurs d'utiliser le bouton inutile à bon escient (chose rare si on en croit les détracteurs du système de notation).

        Tu as des choses qui peuvent être interessantes à dire, je l'ai lu dans certains commentaires, mais dans ce cas, merci de construire tes propos, et surtout de ne pas diviser tes propos en 25 commentaires d'une phrase quand ils peuvent avoir une cohérence dans un seul commentaire. Il n'y a pas de concours de nombre de commentaires sur linuxfr, même si tu semble vouloir y participer, ton nombre de commentaire par rapport à ta date d'inscription est impressionnant, mais le contenu de ces commentaires est très faible.

        Je fais parti des gens qui prennent plaisir à lire dlfp en grande partie grâce au commentaire, et je prends plaisir à lire une discussion rempli d'avis contradictoire avec une vrai argumentation. Le fait de lire des choses avec lequel je ne suis pas d'accord ne me procure aucun déplaisir, au contraire. Par contre lire du contenu vide de toute idée, et vide de toute réflexion m'en procure beaucoup, sinon j'irai lire twitter.

        • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

          Posté par  (site web personnel) . Évalué à -8. Dernière modification le 09 août 2014 à 21:32.

          Résumé (enfin meme pas trop : il n'y a aucune perte d'information, c'est plutôt de la compression) : tu veux dire "peut-être rigolo mais fait plus long s'il te plait, j'ai du mal à comprendre" (tu remarqueras que ça rentre dans moins de 140 caractères)

        • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

          Posté par  . Évalué à 5.

          ce qui permet par ailleurs d'utiliser le bouton inutile à bon escient (chose rare si on en croit les détracteurs du système de notation).

          C'est subjectif ça. Personnellement, j'ai plussé (il paraît qu'on dit pertinenter ici parce qu'on se la pète un peu) parce que j'ai trouvé sa remarque intéressante; et sa concision fait parti de son intérêt.

          Est-qu'on ne se comporte pas vis à vis de la science de la même manière que vis à vis des religions ? On écoute aveuglément les scientifiques au lieu d'écouter aveuglément les curés…
          Finalement, peut-être que cette courte phrase n'était pas totalement dénuée de sens et de réflexion ? Personnellement, j'admire les gens qui arrivent à faire passer des idées de manières concise, quand je commence à réfléchir, j'ai à peine posé une idée que j'ai déjà rédigé deux paragraphes.

          Bon après, je n'ai pas lu tous les commentaires keyser.dyson (mes remarques ne s'appliquent qu'au commentaire ci-dessus), et j'imagine que ça peut en effet devenir désagréable les courtes interventions interrompant une discussion…

          • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

            Posté par  . Évalué à 5. Dernière modification le 09 août 2014 à 21:58.

            C'est subjectif ça. Personnellement, j'ai plussé (il paraît qu'on dit pertinenter ici parce qu'on se la pète un peu) parce que j'ai trouvé sa remarque intéressante; et sa concision fait parti de son intérêt.

            Je n'ai pas dit que ce n'était pas subjectif. Le fait de considérer quelque chose comme pertinent est subjectif. Je veux juste dire que j'ai répondu à la question, j'ai cliqué sur inutile, car je trouve ce contenu inutile, pas parce-que je suis en désaccord.

            Finalement, peut-être que cette courte phrase n'était pas totalement dénuée de sens et de réflexion ? Personnellement, j'admire les gens qui arrivent à faire passer des idées de manières concise, quand je commence à réfléchir, j'ai à peine posé une idée que j'ai déjà rédigé deux paragraphes.

            C'est justement le problème ici. J'ai plein d'arguments sous la main que je proposerai où que j'aimerai lire qui confirme que la science est interprétée par une partie de la société comme une croyance religieuse. J'ai aussi nombre d'argument qui permettent de dire que la science est fondamentalement différente de la religion, par la manière dont elle est construite. Mais que répondre à ce commentaire ? Ce commentaire peut-il être l'amorce d'une discussion interessante ou est-il un bon mot ? Je n'ai rien contre les bons mots si ils proviennent de personnes qui contribuent par ailleurs à des discussions, ou si le bon mot en lui même a la capacité d'ouvrir une discussion interessante.

            Bon après, je n'ai pas lu tous les commentaires keyser.dyson (mes remarques ne s'appliquent qu'au commentaire ci-dessus), et j'imagine que ça peut en effet devenir désagréable les courtes interventions interrompant une discussion…

            Tu as saisi l'essentiel de mon message. Comme indiqué, je répondais à keyser.dyson de manière générale sous un de ses commentaires n'ayant pas le moyen de faire autrement.

            • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

              Posté par  . Évalué à -9.

              Descends de ton escabeau.

              Fais ce que tu veux. Si tu veux cliquer. Cliques.

              Personnellement, je ne donne ni de "bons points" ni de "mauvais points" aux gens. Je ne fais pas ça. Je n'utilise pas cette fonction.

              Pour moi, ça tire tout le monde vers le bas. Je préfère parler du fond des choses.

              Chacun a le droit de penser et croire ce qu'il veut. Au passage, c'est dans la déclaration des droits de l'homme.

              Tu peux juger qui tu veux et penser ce que tu veux.

              Pour ce qui est de la science, je pense qu'elle a remplacé la religion au moins dans les pays occidentaux.

              Il y a déjà eu des conséquences au "scientisme" durant la dernière guerre mondiale.

              La science est surtout une accumulation de connaissances. Elle a une méthode simple aussi. Elle permet des choses extraordinaires mais elle ne suffira pas a régler les problèmes de l'humanité.

              Certaines personnes tirent partie de leur position sociale pour dire des choses sans qu'on puisse les contester car ils ont les bons "bout de papier" avec les "bons tampons".

              Tout et tout le monde peut être contesté. Il faut toujours répondre sur le fond.

              J'ai ma vision du monde, de l'histoire, de la science et des religions. Je ne suis en colère. Les choses s'expliquent simplement.

              • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

                Posté par  . Évalué à 4. Dernière modification le 11 août 2014 à 17:43.

                La graisse a été rajoutée.

                Personnellement, je ne donne ni de "bons points" ni de "mauvais points" aux gens. […] Pour moi, ça tire tout le monde vers le bas. Je préfère parler du fond des choses.

                La remarque sur le système de karma de dlfp n'était qu'un point de détail dans mon commentaire initial. Quand à parler du fond des choses… as-tu bien lu ce que je te reproche ? Je te reproche, à tort ou à raison, de ne pas développer tes idées et de t'en tenir à des petites phrases qui n'apporte que très peu au « fond des choses ».

                je pense qu'elle a remplacé la religion au moins dans les pays occidentaux

                Là tu assènes tes opinions, mais tu ne les argumentes pas (un peu dans la suite, mais c'est ridicule). Non pas que je pense que tu ai tord, en fait je suis partagé entre comment je perçois la science et comment je perçois les gens qui perçoivent la science sur laquelle je travaille (je n'ai pas d'avis sur les domaines hors de ma compétence), mais je pense que nous donner ton opinion sans justification est d'un inintérêt maximal.

                Pour lire des flux de commentaires où les gens donne leurs opinions, sans argumentations, et sans débat constructif autour d'icelles, il suffit d'aller lire les commentaires des sites de presse en ligne, en particulier au niveau national par exemple Le Monde ou Le Figaro.

                • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

                  Posté par  . Évalué à -6.

                  Tu ne comprends pas.

                  Je ne partage pas les idées des journaux que tu cites.

                  Ces journaux diffusent la pensée dominante des élites.

                  Je ne fais que la résumer ou la synthétiser.

                  Je suis contre la hiérarchie. Tous les hommes ont le droit de parler, de sentir libres ou de circuler.

                  Je dresse un tableau. Il faut le prendre comme il est.

                  On ne peut faire des calculs avec la pensée. Tu peux dresser une liste pour/contre quand tu ne sais pas quoi choisir mais ça ne t'informera pas sur la nature des choses.

                  Ce qui est important est d'avoir une vision qui prend en compte la réalité.

                  Le déni protège mais il empêche de regarder les choses comme elles sont.

                  Tu as forcément un avis sur tout comme tout le monde mais tu ne le dévoilera pas car tu crains probablement d'être en défaut.

                  Les émotions ne tuent pas. Ce n'est pas grave. Il faut se tromper. On peut apprendre en se trompant et en prenant des risques.

                  Celui qui ne prend pas de risque, il ne lui arrivera rien mais il n'avancera pas.

                  • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

                    Posté par  . Évalué à 5.

                    Ah. Maintenant je doute. Je me demande si c'était une bonne idée de te suggérer de faire mes réponses plus longues. Il serait agréable que tes réponses plus longues aient une cohérence, et une argumentation. Car là j'ai l'impression qu'il n'y en a toujours pas. Je vais développer.

                    Tu ne comprends pas.

                    Bien. Est-ce le résumé de ton message ? En tout cas, je n'ai pas compris ce que je ne comprenais pas suivant ton propos.

                    Ces journaux diffusent la pensée dominante des élites.

                    As-tu lu mon commentaire ? Je n'ai parlé de ces journaux que pour mentionner le niveau de reflexion de leurs fils de commentaires.

                    Je ne fais que la résumer ou la synthétiser.

                    Il dit qu'il ne voit pas le rapport.

                    Je suis contre la hiérarchie. Tous les hommes ont le droit de parler, de sentir libres ou de circuler.

                    Il dit qu'il ne voit pas le rapport.

                    Je dresse un tableau. Il faut le prendre comme il est.

                    Il dit qu'il ne voit pas le rapport. Je m'arrête là parce que toutes tes autres affirmations mériteraient la même réponse, excepté celle-ci :

                    Tu as forcément un avis sur tout comme tout le monde mais tu ne le dévoilera pas car tu crains probablement d'être en défaut.

                    Oh non, je n'ai du avis que sur ce que j'ai des connaissances suffisantes pour avoir un avis. Je fais tout pour m'abstenir d'avoir un avis avant d'acquérir les connaissances permettant de le forger, sinon l'acquisition des connaissances se ferait de manière biaisé. Bien entendu, il m'arrive d'échouer, mais le moins souvent possible j'espère.

                    Tu parles d'un crainte d'être mis en défaut, je ne l'ai pas, ou très peu. Pour moi l'essentiel est l'existance de l'assurance d'être mis en défaut si j'ai à l'être. Je refuse que la possiblilité d'être mis en défaut de m'exprimer, de débattre et d'avancer, et j'aime évoluer avec l'assurance d'être mis en défaut si j'ai tort, et ne pas rester dans mes erreurs. Après c'est un biais de mon activité je pense, mais être mis en défaut ne me procure aucun déplaisir si je suis mis en défaut par une argumentation raisonnée, et pas par des affirmations construites sans logique, comme ce que tu assène dans le message auquel je réponds.

          • [^] # Re: De l'interprétation des résultats de recherche par le grand public...

            Posté par  . Évalué à -4.

            … sa concision fait parti de son intérêt.

            C'est comme ça que je le voyais aussi. Ce n'est pas de moi. Je l'ai lu ou entendu.

            Ca colle bien à la réalité du monde occidental en tout cas.

            … j'ai à peine posé une idée que j'ai déjà rédigé deux paragraphes.

            Il faut partir de la fin et rajouter des précisions par la suite (en début de post). Je fait comme ça.

  • # Va falloir manger sainement

    Posté par  . Évalué à 10.

    ont montré qu'il était possible de faire la même chose juste en mettant un micro et en écoutant le bruit que fait la machine

    Il faudra donc éviter de manger des chips en décodant son courriel. Ou alors fermer les volets.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # ayant une formation d'électricien électronicien...

    Posté par  . Évalué à 2.

    certes pas du niveau d'un chercheur mais :
    j'y crois pas trop à cette histoire, je vais quand même lire la source après ce commentaire.

    Disons que mon détecteur de supercherie s'est enclenché dès le début de la liste

    Pour l'instant je dirais "propagande anti chiffrement" ou simple canular.

    Sinon c'est "différence de potentiel" (tension), à moins qu'on ne parle pas de la même chose ou que la définition française(ou pas) a changé entre temps.

    • [^] # Re: ayant une formation d'électricien électronicien...

      Posté par  . Évalué à 10.

      Non, ce n'est pas un canular ni de la propagande, l'équipe de recherche qui publie ces résultats est reconnue. Ils avaient notamment déjà fait du bruit (!) en publiant un attaque d'extraction de clé RSA utilisant le bruit acoustique émis par les processeurs. Ce résultat avait été publié dans une excellent conférence, donc il n'y aucun doute à avoir sur le sérieux de leurs travaux.

      Décidément entre les théories du complot et l'alarmisme, on aura eu toutes les réactions. Est-ce qu'on ne peut pas juste admettre que la crypto c'est bien, ça apporte une sécurité mais que ce n'est pas infaillible dans 100% des cas. Un peu comme une serrure quoi. Ça apporte de la sécurité, ça empêche n'importe qui de rentrer chez moi mais évidemment avec un appareil de radiographie à rayons X, un spécialiste en lockpicking, c'est possible de fabriquer une clé qui la déverrouille.

      • [^] # Re: ayant une formation d'électricien électronicien...

        Posté par  . Évalué à 0. Dernière modification le 09 août 2014 à 00:18.

        Alors c'est l'article qui a été taillé trop à la "troll" parce qu'on était dredi…car savoir ce que fait un ordi avec un simple voltmètre je dis foutaise.

        Ce que j'ai lu sur les soc par rapport à l'observation de puissance qu'ils utilisent par contre ça me semble crédible.

        edit, je confirme ils utilisent du matos pas à la portée de tout le monde et une analyse assez poussée, bref peut-être que c'est faisable mais c'pas facile. Mais bon fallait bien troller hein !

        • [^] # Re: ayant une formation d'électricien électronicien...

          Posté par  . Évalué à 3.

          car savoir ce que fait un ordi avec un simple voltmètre je dis foutaise.
          L'attaque comprend deux volets :
          1. mesure de données physique avec un oscilloscope évolué ou pas trop (ça ajoute du bruit, s'il ne l'est pas).
          2. envoi de messages choisis avec des particularités pour que l'opération de chiffrement fasse fuir le plus d'info possible sur le canal mesuré.

          Comme ils disent sur le site, il est impossible de mesurer un phénomène qui se passe au GHz (fréquence processeur) avec des données qui fuient au kHz (variations de tension). Par contre, avec des messages choisis et uniquement pour du chiffrement asymétrique, les opérations de chiffrement prennent quelques millisecondes et l'information qui fuit devient exploitable.

          À noter qu'ils ont attaqué du RSA-4096 et non pas du 2048, les opérations de chiffrement étant plus de deux fois plus rapides dans le cas 2048 (et la sécurité face aux meilleures attaques algorithmiques sur RSA inférieure) ! Il est probable que la vitesse du calcul était trop forte pour que leur attaque passe.

      • [^] # Re: ayant une formation d'électricien électronicien...

        Posté par  . Évalué à 3. Dernière modification le 09 août 2014 à 00:30.

        Cela a t-il été reproduit ? Autant pour la mesure du son que de ce qui passe sur la masse d'un lappy(ici un châssis métallique, ça aide)

        Je vois pas le mal à être sceptique vis à vis de certaines études, c'est pas comme si des études bidons n'existaient pas(résultats arrangés etc).

        Peu importe que cette équipe soit connue, ça ne valide pas plus leurs études.

        • [^] # Re: ayant une formation d'électricien électronicien...

          Posté par  . Évalué à 4. Dernière modification le 09 août 2014 à 01:05.

          J'avais lu un jour qqe part une histoire d'espionnage entre la france et la grande bretagne. En gros l'ambassadeur français envoyait des messages chiffrées au gouvernement français via une ligne branchée directement sur un équipement qui déchiffrait à la volée.
          Les anglais s'était branché sur la ligne et écoutaient non pas le message chiffré, mais tout bas le bruit éléctromagnétique émis par le décodeur et qui contenait le message en clair.
          Donc ça ne me semble pas completement absurde de refaire ce genre de chose avec l'éléctronique moderne, même si effectivement, si un attaquant a accés physiquement à la machine, il y a probablement bien d'autres attaques plus réalistes et simples à mettre en oeuvre.

          • [^] # Re: ayant une formation d'électricien électronicien...

            Posté par  . Évalué à 10.

            C'est antédiluvien, et pourtant on n'a toujours pas mis en pratique la seule mesure raisonnable face à ce problème : ne pas avoir de relations diplomatiques ni commerciales avec les perfides Anglais.

        • [^] # Re: ayant une formation d'électricien électronicien...

          Posté par  . Évalué à -2.

          Est-ce qu'ils ont recherché leur clé dans le signal ou le contraire?

          Le deuxième est plus difficile.

      • [^] # Re: ayant une formation d'électricien électronicien...

        Posté par  . Évalué à 3. Dernière modification le 09 août 2014 à 21:15.

        Mouai, de ce que j’ai compris, l’astuce est toujours la même : ça vient des variations de l’alimentation du CPU, qui impactent soit sur le bruit (des condensateurs surtout de ce que j’ai compris), soit sur le potentiel de la masse. Ça m’a l’air crédible, bien qu’assez étonnant. Du moins on peut trouver une explication : par exemple un condensateur c’est basiquement deux plaques chargées. À fortiori la différence de potentiel induit une force entre les deux plaques, et lorsque le potentiel varie, la force varie, donc les plaques bougent, faisant vibrer les plaques du condensateur, le condensateur lui-même amplifiant le signal, on se retrouve avec un bruit suffisant pour être capté.

        Comme ça me vient à l’esprit une question conne : ils ont bien utilisé des portables (?) mais qu’en est-il d’une tour ? Parce que l’alim. des CPU, et ils le disent, est conçue dans les portables pour varier en fonction de l’utilisation (et à fortiori il y a aussi toute la partie logicielle du noyau qui régit pas mal de choses…), et peut-être qu’en revenant à une alimentation plus homogène on n’a plus ce problème. Pure spéculation de ma part.

        Ceci dit y’a un truc qui me gêne dans l’article (parcouru en diagonale je l’avoue), c’est comment ils font pour identifier le signal qui correspond au décryptage. Parce qu’en condition de laboratoire on le sait d’avance vu qu’on le lance soit-même, mais dans la réalité, l’ordinateur va faire des tas d’opérations dans la journée. Et identifier le bon signal parmi une floppée d’autres est une tâche qui me semble en soi un véritable défi. Parce que leurs exemples sont un peu bidons : on passe du “on fait tourner des ADD en boucle, on fait tourner des MULT en boucle, ça se voit super bien”, à “on lance un truc de crypto, et comme on sait à l’avance que le signal reçu est un truc de crypto, y’a juste à identifier précisément le moment où Gnupg entre dans la partie cruciale de son algo”. Dans leur papier il manque juste l’étape “on a un signal durant lequel l’utilisateur a lancé firefox (avec du SSL, donc du crypté…), a écrit une lettre dans word, a consulté ses mails dont un mail parmi les mails chiffrés est celui de l’attaquant (indispensable si je ne m’abuse!), a regardé une vidéo, etc.” : débrouillez-vous pour savoir quand a été consulté le (bon) mail chiffré. Ça m’est d’avis que ça doit être coton à faire. Et si avec ça en renvoyant dix fois le mail pour avoir un bon signal/bruit, vous mettez pas la puce à l’oreille de la cible…

        Y’a pas besoin de s’alarmer, ils parlent de contre-mesures, déjà mises en place, alors que la démonstation de la dangerosité de l’attaque en condition réelle n’est pas faite pour moi (ai-je loupé quelque chose?).

        Toute façon pour finir, histoire d’être moins dans le technique : ceux qui sont intéressés par l’espionnage informatique n’en ont rien à faire des mots doux envoyés à votre maîtresse ou votre amant… la protection de la vie privé c’est juste de la foutaise, il est question ici d’enjeux liés à l’espionnage industriel, politique, etc.

        • [^] # Re: ayant une formation d'électricien électronicien...

          Posté par  . Évalué à 1.

          les bobines peuvent aussi faire du bruit.

        • [^] # Re: ayant une formation d'électricien électronicien...

          Posté par  . Évalué à 10.

          Ça m'étonnerait que les plaques vibrent à la fréquence de travail du CPU. Ou alors faudra dire à tous les gens qui bossent sur des filtres RF électromécaniques qu'ils ont gaspillé des années de recherche: un simple condo faisait le boulot.

          Ici, ce qu'ils arrivent à repérer d'après leur résultats, c'est plutôt les perturbations sur la masse. Du coup ils voient plutôt du bruit à certaines fréquences, et suivant la fréquence, ils savent corréler l'opération sur le CPU. Ils font une analyse spectrale du signal (spectre(bruit) = f (temps)).

          Les résultats doivent être hautement variables en fonction du matériel.

          Je ne sais pas non plus comment ils feraient pour distinguer les opérations de déchiffrement de toute autre application lancée sur l'ordi, surtout si tout se fait en parallèle sur plusieurs cœurs.

          Et sur GnuPG, je ne saurais dire: est-ce que l'exécution démarre par une séquence d'opérations identifiables comme une signature?

          Mais outre la liste des requis assez longue, il n'est pas dit que tous les processeurs auront la même signature, ni que les différents modes de gestion d'énergie ne s'en mêlent pas aussi.

  • # Mais ...

    Posté par  . Évalué à 4. Dernière modification le 09 août 2014 à 00:32.

    Sur ma machine à moi, je ne tourne pas que un logiciel pour chiffrer/déchiffrer.
    Juste avec GNOME3 + mon IDE + une compilation/la blockchain bitcoin à vérifier, ça doit faire pas mal de bruit.
    Je veux dire, l'attaquant ne connait probablement pas l'ordre dans lequel c'est truc sont ordonné dans l'ordonnanceur, non ?

    • [^] # Re: Mais ...

      Posté par  . Évalué à 4. Dernière modification le 09 août 2014 à 02:00.

      Le problème, c'est que même si il ne sait pas ce qu'il récupère, il peut éventuellement récuperer de l'info.

      Dans un cas idéal par exemple, si il peut parfaitement reconstruire toutes les opérations faites par le CPU, il lui suffit d'extraire une suite binaire, et après de tester toutes les séquences de cette suite pour voir si ça correspond à la clef. Il peut même tester des sous-séquences en considérant qu'il a un morceau de la clef. Bref toute information récupérée qui permet de réduire l'espace de recherche par rapport à une recherche exhaustive est une faille potentielle.

      C'est un peu le même problème pour la lecture de la RAM, tu récupère tout comme une brute, et après tu cherches à découper pour trouver les morceaux qui correspondent à des clef privées de chiffrement. Même si on ne sait pas où sont les données, cette recherche est infiniment moins coûteuse qu'une recherche exhaustive dans l'espace des clefs.

      • [^] # Re: Mais ...

        Posté par  . Évalué à 3.

        Il faudrait quand même voir si quand tu as plusieurs cœurs qui font des opérations différentes, tu n'as pas des interférences.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Mais ...

          Posté par  . Évalué à 2.

          En plus, ayant plusieurs cœurs, les tâches les plus lourdes changes régulièrement de cœur. Cela ne rend pas l'attaque un peu compliquée ?

        • [^] # Re: Mais ...

          Posté par  . Évalué à 1.

          Acoustic shielding.

          Proper acoustic shielding, using acoustic absorbers and sound-proof enclosures, would attenuate the signals, thereby reducing the attacker’s signal-to-noise ratio and thus making the attack’s cost or time. However, this raises costs in design and in air circulation for cooling. In particular, laptop cooling fan vent holes are typically a prolific source of emanations, and cannot be easily blocked. We also observe that the external “power brick” power supplies of some laptops also seem to exhibit computation-dependent acoustic emanation, and thus likewise require engineering attention and mitigation.

          Noisy environment.

          One may expect that placing the machine in a noisy machine will foil the attack. However, the energy of noise generated in a typical noisy environment (such as outdoors or a noisy room) is typically concentrated at low frequencies, below 10kHz. Since the acoustic leakage is usually present well above this rage, such noises can be easily filtered out during the data acquisition process using a suitable high-pass filter (as we did in our experiments). Also, the signal would be observe during any pauses in ambient noise (e.g., music). Note also that the attacker may, to some extent, spectrally shift the acoustic signal to a convenient notch in the noise profile, by inducing other load on the machine (see below). Thus, a carefully-designed acoustic noise generator would be required for masking the leakage.

          Parallel software load.

          A natural candidate countermeasure is to induce key-independent load on the CPU, in hope that the other computation performed in parallel will somehow mask the leakage of the decryption operation. Figure 28 demonstrates the difference in the frequency spectra of the the acoustic signature of the second modular exponentiation during our attack resulting from applying a background load comprised of an infinite loop of ADD instructions being performed in parallel. As can be seen from Figure 28, background load on the the CPU core affects the leakage frequency by moving it from the 35–38kHz range to the range of 32–35kHz. In fact, this so called “countermeasure” actually might help the attacker since the lower the leakage frequency is the more sensitive microphone capsule can be used in order to perform the attack (see Section 5.4).

          Cipher text randomization.

          One countermeasure that is effective in stopping our attack is RSA ciphertext randomization. […] In this case, the value sent to the modular exponentiation routine is completely random, thus preventing our chosen cipher text attack. This countermeasure has a nontrivial cost, since an additional modular exponentiation is required (albeit with the exponent e, typically small). Also, it does not affect key distinguishability, which is independent of the ciphertext.

          Modulus randomization.

          Another standard side-channel countermeasure, which may help against both key distinguishing and key extraction, is to randomize the modulus during each exponentiation. […]

          Cipher text normalization.

          […] This observation yields an immediate countermeasure to our attack. […] This too foils our key recovery attack (but not
          key distinguishing).

          • [^] # Re: Mais ...

            Posté par  . Évalué à 5.

            Justement, ça me semble complètement débile d'ajouter uniquement des ADD en parallèle. Je pense qu'il est plus logique d'avoir des trucs avec un peu plus d'entropie comme une compilation ou des chiffrements avec plusieurs clefs en même temps.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Mais ...

              Posté par  . Évalué à 4.

              Une autre perturbation qui peut y avoir, c'est la préemption, il faut voir si le changement de processus est facilement détectable.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Tremblez, damoiseaux...

    Posté par  . Évalué à -5.

    Car sachez que les algorithmes basés sur la factorisation des nombres premiers, sera bientôt outrageusement dépassée par les ordinateurs quantiques.

    Donc, d'ores et déjà, regardez l'avenir - on parle sur du moyen terme, 5 à 10 ans - http://en.wikipedia.org/wiki/Post-quantum_cryptography

    • [^] # Re: Tremblez, damoiseaux...

      Posté par  (site web personnel) . Évalué à 10. Dernière modification le 09 août 2014 à 08:57.

      Donc, d'ores et déjà, regardez l'avenir - on parle sur du moyen terme, 5 à 10 ans

      Il y a 5-10, on parlait déjà des ordinateurs quantiques dans 5-10 ans.
      Comme Kubrick imaginait qu'on aurait une base sur la Lune et qu'on voyagerai entre les planètes en… 2001. J'attend toujours.

      Surtout que pour les ordinateurs quantiques, il y a toujours des doutes sur la puissance finale + on peut augmenter la taille de clé (et le nombre d'itération bcrypt) + forward secrecy, donc?

      • [^] # Re: Tremblez, damoiseaux...

        Posté par  . Évalué à -4.

        Skynet est bon dans 10 ans.

      • [^] # Re: Tremblez, damoiseaux...

        Posté par  . Évalué à 0.

        Heu. Que je sache, on est arrivé à la limite depuis un bout de temps. Et si le double-quadruple-etc. cœur s’est imposé précisément à l’époque qu’on disait être celle de la fin de la techno. silicium, c’est bien parce qu’il y a une raison… non ?

        • [^] # Re: Tremblez, damoiseaux...

          Posté par  . Évalué à 0.

          La limite de quoi ?
          Le multicoeur s'impose parce qu'il y a de la place sur les puces (le degré de miniaturisation rendant un coeur unique, même complexe, de plus en plus petit). C'est pour ça aussi qu'on peut intégrer de plus en plus de fonctions différentes (GPU, etc.).

          • [^] # Re: Tremblez, damoiseaux...

            Posté par  . Évalué à 8.

            Le multi-coeur s'impose parce qu'on est arrivés au taquet en terme de fréquence…

            • [^] # Re: Tremblez, damoiseaux...

              Posté par  . Évalué à -1.

              Dire "le multi-coeur s'impose parce qu'on est arrivés au taquet en terme de fréquence", c'est supposer qu'il y a un ou exclusif entre ces évolutions technologiques. Ce n'est pas le cas : ainsi on a le multicoeur et le GPU intégré et des instructions vectorisées plus puissantes et les accélérations dédiées à la crypto et des caches de plus en plus gros et tout le reste.

              D'ailleurs un constructeur comme IBM a longtemps combiné multicoeur et montée en fréquence.

              • [^] # Re: Tremblez, damoiseaux...

                Posté par  (site web personnel) . Évalué à 6.

                C'est un OU exclusif en pratique : les constructeurs sont partis sur du multi coeur (et de la vectorisation, car certes on a eu MMX mais c'est resté longtemps qu'à ça) uniquement parce qu'ils n'arrivaient plus à monter en fréquence (le plus simple : pas besoin de faire changer les gens de méthode, les vieux programmes sont accélérés etc…), quasi toutes les ressources étaient dédiées à la montée en fréquence. Tu ne trouves pas étonnant qu'on parle de GPU intégré, multicoeur, AVX-512 qui monte énormément, "que" maintenant où ça fait des années que les fréquences ne montent plus?

              • [^] # Re: Tremblez, damoiseaux...

                Posté par  . Évalué à 4.

                C'est exclusif mais ce n'est pas un ou. Avant le taquet on pouvait peut-être faire les deux mais plus aujourd'hui.

                On peut peut-être aussi s'interroger sur ce qu'il va se passer quand le nombre de coeur sera conséquent (de l'ordre du nombre de processus voire du nombre de threads). Y aura-t-il un intérêt à augmenter le nombre de coeur ? Comment progresser ensuite ? Va-t-on intégrer la mémoire ? Le disque dur ? Va-t-on dédier de la mémoire à chaque coeur ? Va-t-on implémenter le GC dans le processeur (je déconne hein, je fais trop de java) ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.