Synopsis :
Je vais vous parler de clefs OpenPGP avec GnuPG, et de fabrication de clefs avec une empreinte « proche ». Il y a une nimage à la fin pour les amateurs.
Le réseau de confiance PGP, c’est le seul réseau social auquel je participe (très (…)
Un problème fréquemment rencontré avec OpenPGP est celui de la distribution des clefs publiques : comment Alice peut-elle transmettre sa clef publique à Bob, étape préalable indispensable à toute communication sécurisée ?
Depuis les premières versions de PGP, plusieurs méthodes ont été élaborées pour tenter de résoudre ce problème. Cet article les passe en revue.
La première méthode, la plus connue et celle historiquement associée au monde OpenPGP, consiste à enregistrer la clef auprès d’un serveur (…)
Je viens vous présenter un article de Ars Technica que je viens de lire, et qui va probablement faire de grosses vagues.
Pour les décideurs pressés: l'article explique comment Kevin Young, un cryptanalyste qui craque les mots de passes, ne se limite plus à des rainbow table et du brute force, mais cherche maintenant à intégrer des phrases récupérées d'internet et qui généralement produisent des résultats ultra rapidement.
Pour exemple, Young évoque un hack d'une base de données (…)
Après Heartbleed, la crypto nous offre nouvelle occasion de se donner des frissons dans le bas du dos.
Depuis mercredi soir la page officielle du projet "presque libre" TrueCrypt a changé, pour une page faite à la va vite indiquant que l'utilisation du Logiciel n'est pas sure et conseille de migrer vers les solutions de chiffrement natives (et propriétaires) des plate-formes Windows et MacOS (Linux n'est pas mentionné, curieux pour un projet qui a toujours mis l'accent sur le multi-plateforme).
Bonjour à tous !
Un petit journal pour parler d'un sujet du domaine de la cryptographie qui me tient à coeur mais qui est encore méconnu du public : le chiffrement homomorphe.
Dans ce journal je parlerai de cryptosystème asymétrique.
Chaque interlocuteur au sein d'un de ces cryptosystème possède deux clés :
Jour’Nal,
Dans un précédent journal sur la gestion des clefs OpenPGP, je mentionnais en passant la possibilité « d’utiliser une méthode de secret réparti pour partager la clef privée en m fragments, dont n sont nécessaires pour reconstituer la clef complète ».
J’aimerais revenir sur cette méthode pour présenter les outils que j’ai développé pour la mettre en œuvre.
Il existe plusieurs méthodes de partage de secret, celle qui nous intéresse (…)
Voici un bref état des lieux d'un domaine encore expérimental de la cryptographie : le chiffrement homomorphe. Un schéma de chiffrement homomorphe permet d'effectuer des opérations sur des données chiffrées sans jamais avoir à déchiffrer ces dernières.
NdM : merci à Elyotna pour son journal.
NdM.: cette dépêche a été réécrite en avril 2021 suite à la suppression du compte de son auteur principal.
Le logiciel libre GPG (« Gnu Privacy Guard ») permet la transmission de messages électroniques signés et chiffrés, garantissant ainsi leurs authenticité, intégrité et confidentialité (Wikipédia). Il permet donc de sécuriser un contenu numérique lorsqu'il est stocké ou échangé.
Détaillons les éléments de la sécurisation des communications numériques :
GPG est la version libre (au sens de logiciel libre) du logiciel PGP (« Pretty Good Privacy »).
Depuis quelques années, la Free Software Initiative of Japan (FSIJ, association de promotion des logiciels libres au Japon) travaille sur un ensemble de projets à la croisée des chemins entre cryptographie, informatique embarquée et matériel libre.
Ces projets sont l’œuvre de Niibe Yutaka (Gniibe ou g新部), qui, entre autres casquettes, est président de la FSIJ, coordinateur des traductions japonaises du projet GNU, développeur Debian et contributeur à GnuPG (où il travaille notamment sur la cryptographie à courbes elliptiques et la gestion des cartes à puce — deux aspects qui sont directement liés aux projets dont il va être question dans cette dépêche).
Votre serviteur avait déjà très brièvement évoqué l’existence de deux de ces projets (Gnuk et le FST-01) dans une dépêche précédente consacrée à la carte OpenPGP (dont la lecture est recommandée avant de poursuivre), mais sans donner aucun détail, ce que la présente dépêche va corriger.
Pastebin.com est un service qui permet à n'importe qui de partager des informations sous forme de texte. Jusqu'à peu, on pouvait partager tout et n'importe quoi, mais cela va changer ! Le propriétaire, Jeroen Vader, a en effet annoncé qu'il allait embaucher des employés pour modérer le contenu du site, sous la pression des nombreuses plaintes qu'il recevait (en moyenne 1200 par jour).
Partant de là, Seb Sauvage a commencé à développer un outil qui permettrait d'empêcher ce type d'auto-censure, dans un service similaire à pastebin. Le résultat est ZeroBin.
Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.
La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :
BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).
Le 13 mars 2015, Open Crypto Audit Project a rendu son rapport concernant l'audit de sécurité démarré sur Truecrypt 7.1a, en version Windows..
Trois ingénieurs ont travaillé sur ce projet, en regardant la majeur partie du code source, et ils ont trouvé 4 vulnérabilités, dont 2 de haute sévérité. La revue de sécurité a également utilisé des exemples, et en déboguant de manière spécifique.
Je vous encourage à lire le rapport qui ne fait que 21 pages pour plus (…)
J’ai récemment fait l’acquisition d’un nouveau PC portable équipé entre autres choses d’un Trusted Platform Module (TPM) — comme la plupart des PC portables de nos jours, puisqu’à ce qu’il me semble la présence d’un TPM est un pré-requis pour vendre un PC avec une version récente de Windows). Je n’ai pas encore étudié tout ce qu’il serait possible de faire avec ce TPM, mais dans ce journal je vais décrire comment l’utiliser pour s’authentifier auprès d’un serveur SSH.
Bonjour à tous,
Depuis le scandale de la National Security Agency en juin 2013 et les révélations sur le programme PRISM, la cryptographie a connu une explosion d'intérêt dans le monde entier. Les médias de masse s'en sont emparés, tout le monde s'est mis à en parler, et comme à chaque fois que l'on donne un sujet technique à Mme. Michu, d'énormes absurdités en sont ressorties, et on a enregistré un pic de popularité du mot "cryptocalypse".
J’espère ici (…)