arcanes a écrit 19 commentaires

La carte SD se trouve sur la face inférieure du circuit.

Nous avons finalement fait un nouveau circuit à base de processeur A13.

N'hésitez pas à consulter la page de notre campagne Kickstarter:

https://www.kickstarter.com/projects/1547898916/own-mailbox-the-first-100-confidential-mailbox

Si vous souhaitez nous aider voici le lien de notre campagne Kickstarter:

https://www.kickstarter.com/projects/1547898916/own-mailbox-the-first-100-confidential-mailbox

Le courrier papier n'est pas plus sécurisé que le mail correctement chiffré. Un courrier papier peut être ouvert.

(Ps: D'ailleurs petite précision, il n'y a pas 256Mb de ram sur notre premier circuit, mais 512Mb.)

Bonjour,

Merci pour les retours, Nous avons publié ces design afin de montrer que nous sommes réellement ouverts. Mais il ne faut en aucun cas se baser dessus pour emmètre des critiques techniques, puisque comme précisé sur le site ce n'est pas définitif, sachant de plus que nous soudons et testons actuellement deux autres boards, que nous avons désigné et que nous venons de recevoir, exactement au même format, avec des contrôleur Ethernet différent et un processeur différent pour une des deux, afin de déterminer quel est le meilleur choix technique.

Quoi qu'il en soit le processeur est et sera largement assez puissant pour faire du mail. Il est évident que nous y veillerons particulièrement.

Il faut également prendre en comptes que l'on essait de réduire au maximum la consommation d’énergie afin qu'elle soit négligeable, puisqu'il s'agit d'un appareil qui doit être branché 24/24 7/7. Les IMX6, A13 et consort, sont plus gourmands.

Il s'agit aussi de réduire les coûts afin de proposer un produit le moins chère possible, à noter que contrairement à Rasbery pi, nous devons fournir un boitier, carte SD, transphormateur, cable ethernet, nom de domaine, certificat SSL. Pour proposer une version d'entrée de gamme à des tarifs compétitif, nous utilisons le minimum nécessaire pour réaliser bien notre fonctionnalité. Si par la suite il y a une forte demande pour du matériel plus puissant, on pourra envisager de faire une autre version spécifique.

Concernant C.H.I.P je vous invite à lire ce lien:
http://hackaday.com/2015/06/11/does-the-worlds-first-9-computer-cost-9/

Bonne Soirée, :)
Pierre.

De rien,

D'ailleurs concernant le CA, on vient de nous informer de cette initiative qui risque de grandement nous faciliter la tache:

https://letsencrypt.org/

Merci,
Oui Kicad,
et oui le design est dispo sur le site, même s'il faut bien prendre en compte que ce n'est pas le design définitif.

Il y a une différence entre envoyer une info confidentielle de temps en temps via un lien, et envoyer 10 mails par jours via un lien. Si doit envoyer une info confidentielle, la personne qui n'aime pas le chiffrement sera contente que tu lui envoi via un lien, plutôt que tu essais de lui faire installer GPG, ça n'a rien à voir en terme de simplicité.

Ca peut être précieux également pour faire un premier contact sécurisé entre un journaliste et un WistleBlower, par exemple, si l'un des deux n'a pas de clef GPG.

Oui concernant GPG c'est pareil sauf que tu peux le faire via un webmail accecible de partout, ce qui est nouveau.

comment on donne le lien finalement ?

Par mail.

sans question, le lien n'offre aucune protection s'il est donné sur un canal non sûr (SMS, email en clair, etc.) ;

Oui et non. Avec un simple Capcha tu échappes avec certitude à la surveillance de masse, ce qui n'est pas rien. On peut seulement espionner si tu es sur écoute, et donc s'il y a des humains derrière. Sans compter le fait que tout espion est obligé de révéler son adresse IP, et le fait qu'il a espionné, ce qui n'est pas sans conséquences.

En pratique j'ai déja utilisé de nombreuse fois cette technique, sans question. Aucune fois le lien n'a été espionné.

et le mot de passe/réponse à la question ?

Si c'est une question pas forcement besoin de le transmettre, ça peut être quelque chose que tu sais que la personne sait déjà. Si c'est un mot de passe, par un autre moyen que le mail.

c'est vous qui allez héberger les liens il me semble, dans ce cas, et si vous êtes le CA, il faut s'assurer de la sécurité de cette solution ;

Non ce n'est pas moi, c'est les gens sur leur Own-Mailbox.

si le CA de la connexion SSL n'est pas valide ou inexistant, le navigateur va informer l'utilisateur, qui va sûrement accepter le risque, et la c'est une MiTM sans souci (j'ai bien lu l'entrée sur les MiTM de la FAQ) ;

Nous aurons forcement un CA.

Par contre, la solution pour ceux qui n'utilisent pas GPG me semble compliquée, et et uniquement utilisable (si sûre) >qu'avec 1 voire 2 personnes, mais pas vraiment plus.

Hum c'est sur que ce n'est pas une solution pour envoyer 10 mails confidentiels par jour à une personne. Pour cela il faut que l'autre passse à GPG, mais en pratique je t'assure que quand tu dois envoyer une info confidentielle à quelqu'un qui n'a pas GPG c'est super pratique. Perso je l'ai déja utilisé plusieurs fois dans des cas réel d'utilisation, et c'est limite magique de simplicité.

On va les contacter dès que l'on a le temps. Notre Mod de RoundCube sera publié en licence libre, et facilement intégrable dans Yuno-Host, je pense.

Je précise aussi que je donnerai un "Lightning Talk" Au jardin entropique à Rennes dans 2 week-end, pour toute personne qui souhaite me rencontrer.

Ok, je pensais que les dépêches devaient être écrit avec un style journalistique et impersonnel, mais appartement non! ;)

Enfin bref, bonne chance :)

Merci! :)

Salut, merci pour les questions, qui montrent ou il reste à clarifier notre présentation.

Le back-up peer-to-peer est optionnel et permet d'éviter de perdre des mails sur une adresse auto-hebergée, mais ne te permet pas de lire des mails decrypté depuis la Own-Mailbox d'un autre. Comme mentionné dans la FAQ tes clefs privées se trouvent uniquement chez toi sur ta Own-Mailbox et chez personne d'autre.

Concernant la mise à jour nous n'avons pas réalisé cette partie encore, mais elle ne semble pas à premier abord poser de problème technique particulier, à moins que vous en voyez un?

Je précise également (et il faut que je l'ajoute à la FAQ) que le lien est secret du type:

test.own-mailbox.com/n3FVgtFwR2326kxV8D69cJ457vHcp839nX6dkQGzGjF38bJ3P58WVbA5VwiX86uXY8kAD25wLJaDbjfz4.php

On ne peut pas tomber dessus par hazard.

Merci pour le retour, ;)

Pour le CA, comprends qu'il faille que l'on lève des fonds avant de pouvoir faire ce genre de négociation. (A noter tout de même qu'un CA n'est ni nécessaire, ni la garantie pour une transaction HTTPS sécurisée).

Pour le reste je ne suis pas sur de te suivre. Il y a beaucoup d'explication dans la FAQ, qui répondent à peu près à toutes les questions de sécurité, mais je pense que je vais améliorer la section sur PLM pour la clarifier.

Cela réponds au deux, dans le sens oui je fais partie du projet, et oui j'ai proposé un article pour faire parler du projet sachant que la modération peut modérer ce qui ne lui parait pas neutre.

Bonne après-midi! ;)

Ce que tu dis a du sens, mais il y a une différence significative entre avoir accès à un mail à un temps t et casser un système de cryptographie de mail. La seconde option est bien plus dangereuse.

A noter aussi que l’argumentaire est constitué de cinq argument, pas simplement de celui-ci.

Tu as tout à fait raison, je ferai attention.
Heureusement l'équipe de modération est là pour éditer mes propositions.

Cela olimex utilise Eagle qui est propriétaire pour réaliser ses circuit. (Et leurs fichier ne sont pas lisible avec du libre).

Donc on pourrait dire que c'est de l'open-hardware propriétaire! ;)