PGP renait de ses cendres

Posté par  (site Web personnel) . Modéré par Amaury.
Étiquettes :
0
20
août
2002
Sécurité
Suite à ses déboires avec la société NAI (décision d'arrêter son développement et sa commercialisation), le célèbre outil de cryptographie Pretty Good Privacy vient de trouver une suite à son histoire (déjà riche de rebondissements).

En effet, la société PGP a vu le jour en juin 2002 et vient d'annoncer toutes une série de bonnes nouvelles :
- la société vient d'obtenir 14 millions de $ de 2 fonds d'investissements US
- ils viennent de racheter tous les outils PGP à NAI :

* PGP Mail, PGP File, PGP Disk, & PGP Admin software products for Windows and Macintosh
* PGP Corporate Desktop for Macintosh
* PGP Keyserver for Windows and Solaris
* PGP Wireless for PalmOS and WinCE/PocketPC
* PGP SDK encryption software development kit

- la sortie de PGP 8.0 pour Windows et Mac OS X est prévue en novembre 2002 (il supportera enfin Windows XP)
- toutes les licences sont transférées de NAI à PGP
- les serveurs de clés PGP Keyservers sont réactivés et le mirroring va être mis en place avec les serveurs de clés libres
- un "board" technique est crée avec comme premiers membres Bruce Schneier (expert en sécurité et cryptographie) et Philip Zimmermann (créateur de PGP)

Pour les utilisateurs de l'open-source, les bonnes nouvelles sont à trouver dans une lettre du CTO et dans la FAQ :
- les sources de PGP vont être ouvertes au public
- PGP 8.0 aura une version Linux.

Aller plus loin

  • # euh...

    Posté par  . Évalué à 10.

    - PGP 8.0 aura une version Linux. bah, on s'en fout, y'a GnuPG qui est en GPL...
    • [^] # Re: euh...

      Posté par  (site Web personnel) . Évalué à -5.

      J'allais le dire, alors, youkaïdi ou pas ? y'a aussi openPGP C'est quand meme un peu tôt pour se réjouir de la création d'une start-up, meme si le staff technique fait baver, on verra ce qu'ils feront quand ils l'auront fait, les effets d'annonce c'est assez traitre dans ce milieu
      • [^] # Re: euh...

        Posté par  . Évalué à 10.

        il me semblait que openPGP est l'equivalent libre de pgp(c'est a dire une methode de chiffrage), et que GnuPG est le logiciel libre qui utilise le chiffrage en suivant le protocole openPGP ce sont donc deux choses differentes non ? ou alors je me trompe (ce qui ne serait pas une nouveauté)
      • [^] # OpenPGP

        Posté par  . Évalué à 10.

        OpenPGP est un standard spécifié par http://www.ietf.org/rfc/rfc2440.txt et dont il est aussi question dans http://www.ietf.org/rfc/rfc3156.txt
    • [^] # Re: euh...

      Posté par  . Évalué à -3.

      normalement pour un premier post on écrit plutôt : sujet : GPG ROULAIZZZZZZE !!!!! corps : on s'en fout, sous linux PGP suce des ours, et GPG est en GPL et ROULAIZZZZZE grave sa mère !
  • # Une faille théorique dans le logiciel de chiffrement PGP

    Posté par  (site Web personnel) . Évalué à 10.

    Voir l'article sur http://fr.news.yahoo.com/020814/7/2pqgf.html En résumé : pas de panique, faut vraiment le chercher pour se faire avoir.
    • [^] # Re: Une faille théorique dans le logiciel de chiffrement PGP

      Posté par  . Évalué à 7.

      la signature ne permet-elle pas d'éviter que quelqu'un modifie le message entre temps?
    • [^] # Re: Une faille théorique dans le logiciel de chiffrement PGP

      Posté par  . Évalué à 5.

      C'est evident qu'il faut le vouloir. J'ai moi aussi un cas de figure ou PGP echoue lamentablement: Le pirate ne recoit aucun message, mais il sait que l'expediteur en a envoye un code avec PGP. Il mail a l'expediteur en disant: "Mon FAI a rejete ton mail, pour des raisons de securite nationale, je te propose donc de l'envoyer en clair a cette adresse:" suivi de l'adresse du pirate. Bon, allez, c'est vraiment n'importe quoi, donc -1 (c'est bien comme ca qu'on dit?)
    • [^] # Re: Une faille théorique dans le logiciel de chiffrement PGP

      Posté par  . Évalué à 10.

      Cette faille relève plus du social ingeneering que d'une vrai faille. Faut lire l'article pour comprendre

      En résumé l'attaquant bidouille le message en y rajoutant des octets connus par lui. Il envoie le message au vrai destinataire. Si celui-ci répond à la personne qui lui envoie un message au contenu incompréhensible en incluant le message après déchiffré, alors l'attaquant pourra lire le message, du moins au maximum une partie.

      En effet la taille originale du message ne pourra etre changée et il faut un octet ajouté pour lire un octet de texte. -> 2 fois pour lire le message en entier.

      Attention l'article de yahoo parle de retrouver la clé privée. L'article de schneier n'en parle pas et je ne vois pas où c'est possible car les algos utilisés par PGP/GPG ont besoin d'énormes quantités de paires clair/chiffré pour pouvoir être cryptanalysé de manière à retrouver la clé utilisée pour chiffrer.
      Donc à prendre avec des pincettes.

      De toute façon il y a un risque pour la clé secrète alias la clé de session utilisée pour la partie de chiffrement symétrique et pas la clé privée utilisée pour le chiffrement asymétrique.
      Petite erreur de traduction de la part de nos amis :)
    • [^] # Une faille théorique dans le logiciel de chiffrement PGP ? Non !

      Posté par  . Évalué à 2.

      Alors je m'insurge contre une telle diffamation, car c'en est une vis à vis de PGP : cette faille n'est pas due à PGP, elle est latente au principe même de la cryptographie asymétrique ! En plus c'est une attaque "classique" depuis un bail... Si c'est pas une manip pour plomber PGP ça, moi je suis le Pape.

      Déjà que le rachat par NAI était une manip télécomandée afin de museler PGP... Vous vous rappellez du bug relatif à la "key recovery" dans les dernières modifs de la norme, lesquelles OpnPGP refusaient d'implémenter ?

      Oui, PGP est (ou plutôt était) un excellent outil pour chaque citoyen, et à ce titre il est la cible de quelques liberticides bien connus ;)

      ALors je ne veux pas descendre cette nouvelle mouture avant de l'avoir gouté et relancer la parano, mais GPG a été conçu pour pallier à ce doute, et maintenant qu'il est là, et approuvé par le DSSCI, faudrait être fou pour utiliser autre chose !
  • # Bonne nouvelle pour le sserveurs de clefs

    Posté par  . Évalué à 10.

    Ca devenait un peu dur de trouver des bons serveurs de clefs publiques. Il y avait aussi un probleme dans l'interconnection des serveurs. Peut etre que la rennaissance de pgp aura pour effet de redynamiser les serveurs et de faire mieux circuler les clefs.
    • [^] # Re: Bonne nouvelle pour le sserveurs de clefs

      Posté par  . Évalué à 10.

      D'autant plus que la remise en route du serveur keyserver.pgp.com est officiellement annoncée par Will Price, VP Engineering de PGP Corporation sur la liste pgp-users@cryptorights.org. Il dit aussi que les admins des autres serveurs vont être contactés pour que la synchronisation refonctionne.
  • # Faillite en vue

    Posté par  (site Web personnel) . Évalué à -10.

    Encore une boite qui va couler. Si les sources sont open, le logiciel est gratuit... Et sans fric une boite ça coule.
  • # Pub misc

    Posté par  (site Web personnel) . Évalué à 10.

    Je profite de cette news pour faire un petit coup de pub a misc.

    Je viens de lire (hiére en fait) l'article sur pgp dans misc numéro 3 que j'ai trouvé particuliérement bien fait car il regroupe trés bien de nombreux aspect du fonctionement et l'utilisation de pgp.

    Mais ca fait un peu chére si ce seul article vous interresse (les autres sont pas mal non plus)
    • [^] # Re: Pub misc

      Posté par  (site Web personnel) . Évalué à 2.

      J'en profite aussi pour rappeler aussi la présence du Hors-Série "Pour la Science" sur la cryptographie.
      Dans toutes les bonnes librairies, s'il en reste encore...
    • [^] # Re: Pub misc

      Posté par  . Évalué à 0.

      J'ai voulu l'acheté au début du mois car j'avais lu, ici je crois, qu'il
      risquait de disparaître, mais je n'ai toujour pas réussi à metre la main dessus :(
      Je vais essayer dans Paris même, mais si il est si mal diffusé c'est normal qui ne se vende
      pas beaucoup.
      J'avais acheté le 1, mais je n'ai jamais vu passer le 2.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.