jeudi 24 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Derniers journaux de garcimore :

Journal : Evengelisation sur Palladium

Posté par LeMagicien Garcimore () le 11 juillet 2003
Salut journal ! Je suis etudiant dans une école d'ingé en info (pas très originale, désolé :). La semaine dernière un étudiant a posté l'url que voici sur la mailing liste des étudiants de l'école : http://www.linux-nantes.fr.eu.org/article.php3?id_article=82 A propos des dangers de TCPA/Palladium Et aujourd'hui, une réponse d'un autre étudiant, Student Consultant Microsoft France Morceaux choisis : il existera TOUJOURS le mode non sécurisé, et tu pourras toujours exécuter CE QUE TU VEUX COMME WAREZ ET FREEWARE. Tu sera peut-être prompté pour te dire "attention danger", mais c'est tout. Ca t'interresse pas de savoir que tu pourras garder des infos cryptées de manière simple et sécurisée chez toi ? De savoir que les tréfonds de ta machine ne pourront être accédées que par des programmes sécurisés (et pas des programmes mal-écrits, craqués ou vérolés) ? T'as pas envie qu'on ne puisse pas lire ton numéro de CB que t'envoi par le réseau ? entre autre... Bref, je suis dégouté de voir que même des étudiants en informatique censés être informés et sensibles à ce genre de problème sont aussi naïfs. Si vous avez des URLs, des remarques ... je prépare une réponse pour expliquer que sensibiliser les gens à TCPA/Palladium ce n'est pas seulement pour jouer au rebelz linuxiens maichant pirates. A ce propos, Martin Winkler n'avait pas fait un speech dessus sur france inter? J'vais essayer de retrouver le docu d'arte qui était passé dans archimède. Merci journal !

> Lire le journal (15 commentaires, moyenne: 1,5).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Re: Evengelisation sur Palladium

Posté par Julien CARTIGNY (page perso, ) le 11/07/2003 à 14:23. (lien). Évalué à 5.

J'ai réuni pas mal d'URL sur palladium / TCPA / Trusted computing ici:

http://www.lifl.fr/~cartigny/palladium.html(...)

Je suis preneur pour d'autres URLS pertinentes....

--
"Nobody expects the spanish inquisition"

Re: Evengelisation sur Palladium

Posté par jmfayard () le 11/07/2003 à 14:40. (lien). Évalué à 4.

Bref, je suis dégouté de voir que même des étudiants en informatique censés être informés et sensibles à ce genre de problème sont aussi naïfs.
Bon, je ne veux pas me faire l'avocat du diable, mais ...

Les gens qui font le magazine MISC sont _loin_ d'être des charlots ou des
suppots de Microsoft, pourtant tu pourras lire dans leur dernier magazine
un article de démysthification sur TCPA/Palladium.
Ils font une analyse technique et objective de ces deux _différents_
systèmes, pour pouvoir se faire sa propre opinion.
L'article se termine par une conclusion qui laisse penser que
TCPA/palladium ne serait pas la technologie diabolique prévue.

Notemment,
* ils pointent des erreurs dans la FAQ de Ross Anderson ; cet article
commence à dater, et il fait notemment des confusions entre TCPA,
Palladium et DRM
* une des conclusions est aussi que l'association TCPA/Palladium _ DRM
serait stupide, car les fonctionnalités DRM sont déjà intégrées dans
Windows Media, et cela ne servirait donc à rien de les dupliquer.

Alors ? Naïfs versus Parano ?

  • [^]Re: Evengelisation sur Palladium

    Posté par free2.org (page perso, ) le 11/07/2003 à 15:22. (lien). Évalué à 2.

    j'ain lu les documents et les specs officiels de TCPA, et je pense en effet qu'il s'agit d'une menace (sur laquelle pourra s'appuyer palladium), alors que des logiciels libres deja disponibles permettent d'avoir une très bonne sécurité sans ajouter de puces de flicage:
    http://free2.org/tcpa/(...)

    • [^]Re: Evengelisation sur Palladium

      Posté par Jerome Herman () le 11/07/2003 à 15:44. (lien). Évalué à 1.

      On en a deja discute longuement tous les deux. A mon sens TCPA n'est pas dans son implementation actuelle une menace. En ce qui concerne Palladium c'est une autre histoire. Je ne vois pas ce que Palladium peut apporter de plus a un utilisateur (surtout sous un systeme bien hierarchise). La notion zone d'execution fiable/ zone non fiable me parait tres dangereuse aussi. Mais le truc est que personne ne sait ce que sera Palladium, pas de docs, pas de specs, les strategies changent avec chaque press release, cela donne clairement l'impression que MS cherche a cacher quelque chose.

      En ce qui concerne le technos DRM, je ne vois pas comment elles peuvent s'appuyer sur TCPA (je ne vois meme pas comment TCPA pourrait aider). Par contre pour Palladium c'est le flou complet.... Une fois de plus mefiance.

      Kha

      --
      Kha
      root est un privilège, pas un droit !

      • [^]Re: Evengelisation sur Palladium

        Posté par free2.org (page perso, ) le 11/07/2003 à 16:07. (lien). Évalué à 1.

        quand je lis les documents suivants du site officiel TCPA il est évident que TCPA servira à identifier de manière non falsifiable l'OS lancé au moment du boot, de façon à savoir si celui-ci implémente ou non un module DRM avant de lui envoyer un document:

        http://www.google.fr/search?q=cache:www.trusted(...)
        Cryptographic
        hashing is employed to extend trust
        from the BIOS to other areas of the
        platform, in the following simplified
        sequence:
        1. The PC is turned-on.
        2. The TCPA-compliant "BIOS Boot
        Block" and TPM have a "conversa-
        tion."This attests that the BIOS can
        be trusted.
        3. BIOS queries to ensure that user is
        authorized to use the platform.
        4. The BIOS then has a "conversa-
        tion" with the operating system
        (OS) loader and the TPM. This
        attests that the OS loader can be
        trusted.
        ---------------------------------------------
        1.2.5 Initial Program Loader (IPL)
        Start of informative comment:
        This is the code that executes during the Post-Boot state. The purpose of this code is to load the
        Post-Boot environment.
        End of informative comment
        page 9 du pdf PC
        -------------------------
        http://www.trustedcomputing.org/docs/TCPA_PCSpe(...)
        Entities to be Measured:
        · Each IPL that is attempted and executed.
        page 20 du pdf
        ---------------------------
        2.1.2 Transferring Control
        Prior to transferring control an executing entity MUST measure the entity to which it will transfer
        control.
        pdf PC
        ------------
        page 24 PC
        In general, any
        code that is loaded and jumped to from the BIOS must be hashed and extended into PCR[4] prior to
        turning control of the system over to that code. The BIOS MUST not hash any data areas.

  • [^]Re: Evengelisation sur Palladium

    Posté par Beretta_Vexee () le 11/07/2003 à 16:23. (lien). Évalué à 1.

    Franchement je me demande pourquoi je me suis emmerdé a perdre 100xp pour essayer de l'expliquer tous ca dans tous les Troll qui sont passés, pour au final me faire voler la veudette par MISC, franchement ;-)

    Plus serieusement, en elle méme ces 2 technologies, ne sont pas réellement problématiques, c'est avent tous leurs applications et l'abus de ces systémes a des fins monopolistique qui pauserait probléme, hors ca on ne pourra y faire face qu'une fois que le systéme existera, car pour le moment on ne peut que se baser sur des hypotheses.

    --
    Il relève de la responsabilité du lecteur de contrôler, par tous moyens, l'adéquation du message à ses besoins et de s'assurer qu'il ne causera pas de dommages aux personnes et aux biens.

Re: Evengelisation sur Palladium

Posté par seginus () le 11/07/2003 à 16:17. (lien). Évalué à 0.

Il me semble que Palladium a été rebatisé Longhorn (je crois que le nom était déjà pris). Donc il faut peut-être penser à faire des recherches aussi sur Longhorn pour avoir des informations plus récentes.

  • [^]Re: Evengelisation sur Palladium

    Posté par free2.org (page perso, ) le 11/07/2003 à 16:24. (lien). Évalué à 2.

    non la FAQ de ross anderson (chercheur renommé en sécurité informatique, lisez ses articles sur son site) mise à jour parle plutot de NGSCB pour Palladium
    et de TCG pour TCPA (qui change de nom aussi, bizarre non)

  • [^]Re: Evengelisation sur Palladium

    Posté par beb () le 11/07/2003 à 16:46. (lien). Évalué à 1.

    non Longhorn il me semble que c'est le nom du successeur de windows XP.

    [naif]
    Je me demande vraiment comment tu as pu faire la confusion :)
    [/naif]

    • [^]Re: Evengelisation sur Palladium

      Posté par seginus () le 11/07/2003 à 18:00. (lien). Évalué à 1.

      Parce qu'ils ont prévu une version entre XP et Palladium ?! (je crois que palladium est prévu pour 2005)

      • [^]Re: Evengelisation sur Palladium

        Posté par Nap () le 11/07/2003 à 23:13. (lien). Évalué à 1.

        mais palladium c'est le nom d'un OS ?

        je pensais que ct juste une architecture

  • [^]Re: Evengelisation sur Palladium

    Posté par PasChauve PasOunet () le 12/07/2003 à 09:10. (lien). Évalué à 1.

    c est "athena" je crois bien le nouveau nom

Re: Evengelisation sur Palladium

Posté par Nicolas Boulay () le 13/07/2003 à 16:09. (lien). Évalué à 1.

Il a simplement tout faux.

TCPA n'est pas encore palladium mais une nouvelle version pourrait sortir pour être "compatible".

Je parle donc de palladuim dans la suite.

Tous les avantages de sécurité dont parlent M. MS existe déjà sous linux, cryptage des donnés, séparation des espace d'adressage, les droits sur les fichiers... Si tu veux éviter d'avoir une clef privé en clair sur ton disque tu peux utiliser une carte à puce qui te créait ta clef de session. Le "trusted" composant est ici l'OS, Linux et la carte à puce.

Dans le cas de palladuim, il y aura un micro kernel (nexus ?) "au dessus" de l'os qui ségmentera les espaces mémoires comme le fait déjà tout bon OS. La différence est que ces pages ne seront pas accessible ni par l'OS ni par un debugeur. Cela évite ainsi de hacker en code qui y trourne. Vous pourrez donc avoir du code sur votre machine, dont vous n'avez aucun moyen de savoir ce qu'il fait (n'oublier pas non plus que palladium controlera aussi l'acces au clavier d'un coté et... l'écran).

Comme aucun debugeur ne peut s'accrocher sur un process protégé par le nexux, il est donc impossible de développer une application "secure" sur un tel PC. Ainsi, il existera des pc de dévelopement, sans doute beaucoup plus chère que les autres.... Et il faudra une signature numérique d'on ne sait pas trop qui les fournira pour pouvoir faire tourner ses binaires sur un PC normal. Evidement, un certain nombre de condition pourra être exiger sur le type de software pour obtenir cette signature.

Ensuite, ces applications Palladuim tourneront en communicant avec le monde extérieur. Donc, il seront toujours autant sucepible de contenir des failles de sécurité. Imaginer donc un vers qui se ballade ainsi,... aucun anit-virus n'y pourra rien car il n'aura pas acces à cette mémoire (les process palladuim sont aussi protégé entre eux)...

Pour les hacks et autres warez, comment cracker un programme dont aucun debuggeur ne peut accrocher la mémoire ?

Donc, Palladuim empèche de developper chez soi à bas coup, n'augmente en rien la sécurité de la machine plus que ce qu'il n'existe déjà. Que reste-il ? Bah, les DRM.

Donc, la seul personne qui y gagne dans l'histoire sont les marketeux qui pourront définir tout les délires qu'ils voudront pour vendre du contenu dont les lecteurs multimedia devront tourner sous palladium (donc adieux à toutes lectures sous un OS libre... car un DRM ne peut pas être implémenté en logiciel libre car n'importe qui peut changer le code).

Il suffit d'avoir un programme crypté qui se lance sous Palladium et contient une clef privé. Ensuite, seul ce programme pourra lire tout contenu crypté par cette clef.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0723s (dont 0.0064 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.