Super, tu as trouvé un synonyme
Non, tu as donné une définition, je t'ai donné le mot correspondant.
Va juste au bout de ton idée.
En avoir marre c'est une idée ?
Chez moi c'est un sentiment, mais c'est pas grave ça, hein ...
Qui est responsable de cet état de fait, comment en est-on arrivé là ?
Génial, une question totalement ouverte qui a STRICTEMENT rien à voir avec mon post, pour continuer à troller \o/
Comment on est arrivé au fait que la france ne reconnaisse pas ses erreurs, et ses actes ? (torture en algérie, suppositions de participation active ou passive lors du génocide du rwanda).
Je suis curieux d'avoir ton avis.
Je remarque entre autre que tu cherche "un responsable". Il y a forcément tout le temps un responsable ?
Est ce tout le temps une pensée volontaire ? Un complot ? Un aspect d'une "conscience collective" , ou plutot "inconscience" au terme psychiatrique (ie la conscience collective qui ne veut pas voir ce qui se passe réellement et se cristallise sur un seul problème sur lequel elle ne peut plus rien faire pour éviter de traiter les autres problèmes équivalents actuels).
Tu me demande mon avis, donc je vais te le donner, mais ce n'est que mon avis, ni pertinent, ni forcément logique, ni polie,ni politiquement correct.
Pourquoi c'est comme ça ?
Parce qu'on est qu'un peuple de lache qui est absolument incapable de voir la vérité en face.
Déjà on dis pas "On a tué 6 millions de juifs" mais "les méchants nazis l'ont fait".
La france à LARGEMENT collaborée! (la rafle du vel d'hiv pour s'en donner une idée).
Alors on essaie de se trouver des justifications en disant "vous avez vu on s'en souvient! on va meme forcer les autres à s'en souvenir!".
Quel meilleure cachette pour un bourreau que de se mettre du coté des victimes ?
Et c'est bien pratique, comme on fait notre "part" , pas besoin de s'inquiéter des autres.
Par le "on" , ce n'est bien entendu , ni moi, ni toi, ni même les français, ni la france. Mais l'ensemble des peuples occidentaux (rappelons nous que les scientifiques qui ont pourtant participé a des expériences humaines, ont souvent été récupérée par les "alliées" pour avoir vent de leur connaissances).
Encore une fois; je parle d'une "conscience collective". C'est un concept que je ne vois pas comment définir autrement.
Je vais donc continuer sur quelques chiffres, qui montre bien l'hypocrisie actuelle.
Comment on est arrivé qu'il est plus important de se soucier des 6 millions de juifs mort il y a 50 ans, plutot des 3000 morts CHAQUE JOUR du paludisme en afrique, alors qu'on pourrait largement diminuer ce chiffre si on s'en donnait les moyens ?
3000 mort/jour == 1 millions mort/an == 6 millions de mort / 6 ans !
La vie d'un noir en afrique est tel tellement moins importante que celle d'un juif ? (Je répète : on PEUT faire quelque chose! ... et pourtant je ne fais rien !
Pourquoi ? moi même je n'en suis pas sur)
La guerre en irak aurait put permettre de faire une campagne de vaccination basique pendant .... 165 ans! (si on est pessimiste on peut dire au moins pendant 50 ans)
( http://costofwar.com/index-immunization.html
)
Comment on est arrivé qu'il est plus important d'imposer un "devoir de mémoire" à une génération qui n'a rien a voir , alors qu'"on" (ie la génération en place niveau politique, et celle précédente) a pas été foutu de faire le procés de vichy ? (Me fait pas marrer en me disant "mais si on a fait des procés", y'en a pratiquement pas eu, et ce qu'il y a eu était plus proche de la complaisance).
Comment se fait il qu'on parle du massacre des juifs, mais qu'on oublie les différentes horreurs qui ont émaillée les guerres et les "renseignements" modernes (allez exemple con, test de l'arme nucléaire sur des civils (nagasaki .... mais aussi test de pilules radioactives sur des femmes enceintes aux usa pour vérifier l'effet sur le foetus, projet mkultra, test d'arme bactériologique en corée du nord par les américains, utilisations d'armes chimiques sur différents conflits, dont contre des civils (kurde); etc...)
Quand je parlais de chiffrement du DD, je parlais bien entendu "avant que cette attaque soit révélé", ou alors du chiffrement du DD, mais non persistent (tu monte ton dd en chiffré, tu écris, tu démonte, tu attend n minutes pour que les clés n'existent plus. Sauf "storm" du gign à ce moment là... XD).
Si le TPM fonctionne bien : personne n'a accès a ma clef car elle n'est pas sur disque dur
Le chiffrement de dd ça existe... [c'était meme un peu le sujet de ce journal]
et qu'elle n'est disponible que si la séquence de boot convient au TPM.
Génial pour la rescue ça \o/
Et ton ordi crash (mb défaillante) , tu fais comment? un RMA ?
Si ton ordi crash avec un dd/svg chiffré ... ben tu change de pc, tu rentre le mdp / autre clé (smartcard ou autre) et hop tu à de nouveau accès à tout.
Voir, comme proposé autre part dans ce thread, de la crypto distribuée.
On peut imaginer que le nombre de gens ayant accès à la back door TPM est infiniment plus réduit que le nombre de gens ayant accès à la lecture du système de fichier EXT3 ou UFS.
Et infiniment plus élevé que ceux ayant accès à une backdoor d'un dd chiffrée sérieusement ou d'une smartcard conçu pour la sécu et vérifiée comme il se doit par des labos indépendants.
Pour moi, l'intérêt principal de TPM c'est de fournir un coprocesseur cryptographique , ie pouvoir chiffrer on the fly les dd en ayant presque aucune perte de perfs.
La Shoa était une POLITIQUE qui avait comme but de détruire une communauté pour ce qu'elle était : Juive.
Ca se résume en un seul mot :
génocide.
Et croire que ce fut le seul génocide depuis la seconde guerre est de l'aveuglement.
Hein les francais (je suis moi meme francais) et le rwanda ?
Ou encore le cambodge. Ou les kurdes.
Ou ....
Bref, moi aussi j'en ai marre qu'on arrête pas de parler du "devoir de mémoire" pour la shoa, mais qu'on oublie tout le temps TOUTES les autres victimes.
c'est ce qu'il a fait :
il a dis "me touche pas moi".
alors c'est un peu sec, mais pas une insulte.
Ce a quoi le président à répondus "casse toi alors", ce qui est déjà plus provoquant.
Répondant à la provocation, il a dis "tu vas me salir". Ca peut être pris comme une provocation ...ou comme quelqu'un qui a pas envie de serrer la main de quelqu'un qui vient de serrer la main de 20 personnes avant, et que donc sa main n'est pas forcément des plus propre.
Bref, toujours aucune insulte, provocant et/ou méprisant à l'extrême rigueur ; mais rien qui n'équivaut à un "pauvre con".
Les CPU étant eux même proprios, on ne sait pas trop comment ils sont fait. D'après ton raisonnement il serait donc extrêmement dangereux de faire de la crypto avec.
Les CPU ont comme but de stocker des clés, et d'éviter qu'elle puisse tomber entre n'importe quel main ?
Non.
On peut imaginer une backdoor dans les CPU qui permet de forcer les suites aléatoires à des valeurs prédéfinies
Ce qui se remarque tout de suite. "Tiens c'est marrant, mais les valeurs de mon sha-256 ne correspondent pas à la norme (cas d'un générateur pseudo aléatoire par ex)."
Sans compter que le CPU ne peut pas savoir si une suite de donnée c'est de l'aléas ou pas.
on peut imaginer une copie en zone cache de l'ensemble des opérations demandées aux fonctionnalités cryptographiques etc.
Fonctionnalitées qui connaissent pas les principaux CPU modernes (excepté le VIA). Et même si elles existent, tu peux toujours chiffrer en utilisant le CPU de façon "normal" sans recourir à leur instruction hard.
Après effectivement on peut imaginer que le fabriquant de la puce a une backdoor qui lui permet de passer au travers des 4 ou 5 mécanismes de sécurisation (nécessité d'ownership, nécessité de présence physique, validité des hashs etc.)
Euh pas vraiment besoin, vu que la norme dis "il faut que des clés non-migrables soit migrables".
Regardons donc la norme TPM (et plus TCPA)
:https://www.trustedcomputinggroup.org/specs/TPM/ Maintenance is different from backup/migration, because maintenance provides for the migration of both migratory and non-migratory data. Maintenance is an optional TPM function, but if a TPM enables maintenance, the maintenance capabilities in this specification are mandatory – no other migration capabilities shall be used. Maintenance necessarily involves the manufacturer of a Subsystem.
Donc déjà on migre pas les clés "pour une sauvegarde", mais pour une maintenance.
Effectivement ils disent The owner and users of TCG platforms need assurance that the data within protected storage is adequately protected against interception by third parties or the manufacturer.
... en permettant une interception par le constructeur (ie puce tpm sur fpga).
et comment ils comptent mettre ça en place ? Any maintenance process must have certain properties. Specifically, any migration to a replacement Subsystem must require collaboration between the Owner of the existing
Subsystem and the manufacturer of the existing Subsystem. Further, the procedure must have adequate safeguards to prevent a non-migrational key being transferred to multiple
Subsystems.
Ah, on dis qu'on doit avoir une collaboration entre le possesseur et le constructeur, et qu'il doit y avoir des gardes fous... Sans plus de précisions!
Après effectivement on peut imaginer que le fabriquant de la puce a une backdoor qui lui permet de passer au travers des 4 ou 5 mécanismes de sécurisation
D'après le principes de conceptions : seulement 2 (dont 1 est automatique), le reste c'est du technique : Any migration of non-migratory data protected by a Subsystem SHALL require the cooperation of both the Owner of that non-migratory data and the manufacturer of that Subsystem. That manufacturer SHALL NOT cooperate in a maintenance process unless the manufacturer is satisfied that non-migratory data will exist in exactly one Subsystem. A TPM SHALL NOT provide capabilities that support migration of non-
migratory data unless those capabilities are described in the TCG specification.
Bref, comme je disais:
- on autorise un gouffre.
- on dis "mettez bien des barrières hein"
=> on dois avoir une entière confiance dans le constructeur.
Si le standard TPM est bien respecté, ok... mais ce ne sera pas la première fois qu'une entreprise respecte pas complètement un standard pour son propre intérêt... et la on parle de sécurité, pas de "bien afficher une page web" !
Bien sur on peut imaginer qu'à la demande de certains gouvernements la puce TPM ne soit pas tout à fait aussi inviolable que çà, auquel cas il faut faire des partages de secrets et rajouter des protections par dessus TPM.
Je pense que je peux te rappeler le gouvernement chinois, et ses méthodes.
Si la puce TPM "n'est pas si inviolables que ça", alors elle sert A RIEN.
Si elle est vraiment inviolable, alors elle représente un vrai plus.
Evidement je prefererais que le specs du TPM soient libres.
Pas tant les specs que des véritables certifications de sécurité.
Car si les specs ne sont pas respectée, c'est pas tellement plus cools.
J'ai demandé ça à asus (une vérification de la sécurité de leur puce par un labo spécialisé), on verras ce qu'ils répondent.
Pc : pour montrer que "on te cache tout" n'est vraiment pas une bonne politique de sécurité meme sur des puces, je t'invite à lire ce journal : https://linuxfr.org//~BlueBird/25926.html
On peut bien sur imaginer que le fabriquant est capable de construire un simulateur de TPM et de lire les clefs "en clair" dans la ram du simulateur.
Vu qu'on parle du fabricant, avec le rtl du code, il a même DUT en faire (ie , emuler la puce sur un fpga, avec la facilité de debug qu'offre un fpga).
C'est donc même pas "on peut imaginer", c'est "il est forcé de le faire" (à 99.9%).
un fabriquant ne pourra migrer aucune clef sans l'assistance du TPM owner pour lui ouvrir les portes.
Tant que je n'ai pas de rapport de sécurité de la puce, j'évite d'être si affirmatif.
On parle du CONCEPTEUR de la puce, pas du pekin moyen.
Donc
1°) un fabricant de puce TPM peut être considéré comme un attaquant niveau III : fond (presque) illimité et connaissance exemplaires.
2°) rien ne l'empêche de mettre une backdoor style "autorisation owner ... ou tel clé", vu que par définition, c'est lui qui met ce qu'il veut dedans !
Encore une fois, tu me sort un rapport de sécurité d'une puce TPM par un labo spécialisé dans ce genre de test, ok je pourrais avoir confiance.
Mais croire que "le fabricant est quelqu'un de gentil" est une erreur dans le domaine de la sécurité.
Surtout quand le fabricant vient de l'exterieur.
Ps ne crois pas que je suis 100% contre le TPM, j'adorerais avoir un coprocesseur crypto sur lequel je puisse me fier, mais désolé la sécurité par l'obscurité (c'est proprio, on sait pas comment ils l'ont fait, c'est donc bon) ça n'a JAMAIS été de la sécurité.
Il suffit alors de laisser un "trou" dans le firewall pour laisser rentrer les connexions sur ces ports-là.
Ce qui n'est pas propre : tu laisse ouvert de ports qui vont renvoyer un RST, et qui n'ont pas besoin normalement d'être ouvert.
Bref, : berk!
Il s'agit des puces TPM, où la clé est censé ne jamais sortir...
Inconvénients :
- Mis en place de TCPA/Palladium/...
- D'après la norme TCPA, le fabricant peut migrer d'un TPM à un autre toutes les clés, y compris les non migrables. => possibilité de récupérer les clés contenues dans la puce. -> Absolument nul si c'est implémenté.
[section 13 , maintenance, de la norme https://www.trustedcomputinggroup.org/specs/TPM/tpmwg-mainre(...)
spec retrouvé grace à a_capsi ]
bof,
tu te donne un gros coup de poing, va voir le médecin légiste qu'il confirme que tu as bien recu un coup, et tu dis que tu t'es fait car hijacké (avec depot de plainte)
(bon la par contre y'a faux témoignage et escroquerie à l'assurance).
Ben voui mais si tu rajoutes des "contraintes" après avoir présenter ta "preuve", c'est ptetre qu'il y a un problème dans l'énoncé, non ?
ben je n'ai pas la science infuse non plus.
Si tout ce que je faisait était correct du premier coup je serait rudement content ;)
Tu me dis "je paye un bundle avec
- un produit disponible gratuitement
- un support physique
- une aide/support."
Et là j'essaie de dire (maladroitement je l'avoue, avec le coup "tu peux l'installer le produit sur le nombre de machine",il fallait plutot le lire par "tu peux avoir autant de produit que tu veux" ) que si tu paie pour un ensemble, et que dans cet ensemble un produit est gratuit alors tu ne paie pas pour ce produit,mais pour les autres.
Ce n'est pas parce qu'on peut obtenir quelque chose gratuitement qu'on ne peut pas le payer.
Ca ressemble plus à un don qu'à un paiement dans ce cas.
Si j'achetais un windows avec une licence me disant que je peux l'installer sur plusieurs postes, ça veut dire que j'ai pas payé windows mais juste le cd ?
Et que tu peux le dl gratuitement (et officiellement) à coté ?
Et l'installer sur autant de poste que tu veux ?
Et que le cout est "raisonnable" ?
Alors oui je dirais que tu ne l'a pas payé mais juste le bundle ;)
Et si j'obtiens, gratuitement, avec les sources, un logiciel dont la licence m'interdit de l'installer sur plusieurs postes, ça devient quoi ?
Un logiciel proprio :P
Reste donc le commentaire "applique donc le respect du contexte".
Tu remarquera que j'ai expliqué mon comportement, et que j'ai expliqué aussi pourquoi j'ai fait eu cette compréhension de la phrase de Zenitram.
Mais je présume que si un interlocuteur n'a pas la même compréhension du phrase que toi, c'est donc que c'est forcément ton interlocuteur qui a tort, et qu'il est donc normal de ne pas vouloir écouter ses explication.
Oui j'ai eu une compréhension ambigue d'une phrase. Donc j'ai forcément tort ? Même après avoir explicité en long en large et en travers, et que personne n'a pu me montrer 'mais c'est complètement illogique'.
La la remise en cause sur ce thread, je pense que c'est moi qui l'ai faite, et pas franchement les autres acteurs.
Rajoute à ça le ton condescendant que tu utilise et je comprend le moinsage.
Un ton condescendant ?
Voyons voir : A parce qu'il y a une "api" sur une puce matérielle ?
C'est condescendant ça ?
Si ca c'est condescendant, tout doit etre condescendant pour toi alors.
Sort un peu de ton monde, et va me prendre un datasheet d'une puce matérielle (pas un truc avec un processeur a l'intérieur, et que tu push un code dedans, une VRAI puce matérielle).
La oui à la rigueur c'est condescendant ...
mais si on regarde le message auxquel je répondais , je cite : Mais non, le wrapper OpenGL --> carte est énorme, et seul le constructeur peut le faire.
ie ceux qui font du LL c'est que des sous merdes.
Mais là ca ne devient plus condescendant là...
Deuxième post aggresif ?
Regardons :
euh désolé , mais je répondais comme quoi la doc d'un chipset ne devait pas être avec des registres pour que ce soit une "vrai doc".
Et désolé, je persiste et je signe, pour des vrais "puces matérielles", ce sont avec des registres que tu joue.
Ensuite que sur les cg , qui sont des systèmes complet, et pas une simple puce, il est possible que la doc soit des commandes proches d'une api, ce que je n'ai jamais refusé.
Pas agressif pour un sou : explication de mon précédent commentaire.
La seule partie qui pourrait être aggresif serait : Donc, par pitié, pour reprendre ton expression, lis au moins les commentaires correctement (ie le commentaire auxquel je répond, pour avoir le contexte).
Et si on regarde attentivement, on remarque un truc qui dis pour reprendre ton expression,
donc pas plus agressif que le message auxquel je répondais.
Et ensuite je passe des références.
Alors si vous estimiez que mon ton est condescendant/agressif, ce n'était pas du tout mon but, je m'adaptait juste au ton des commentaires auxquel je répondais.
Ps tu remarquera que le commentaire qui utilisait le "par pitié", donc agressif pour toi, ne fut pas moinssé.
Donc commence par appliquer à toi même les conseils que tu donne aux autres.
Cad quand je moinsse, je donne une raison. Quand j'argumente, je donne des références etc... ?
Ben ca tombe bien, c'est ce que je fait.
La vie est bien faite quand même.
tu es sur de ça ?
sous freebsd ils ont pas fait comme sous linux : cad un module sous licence BSD, et "linké" dynamiquement (enfin utilisé en user space pour linux) ?
Si tel n'est pas le cas, je te prie d'accepter mes sincères excuses.
Après, tu peux reprendre mon raisonnement précédent pour arriver au "la licence GPL est beaucoup plus centrée sur ses relations avec le logiciel propriétaire que la licence BSD"
C'est vrai, si tu es d'accord dans le cas que la licence BSD est une licence "utopique" pour protéger le LL, vu que ça suppose le monde utopique de "no proprio".
Non?
Bien évidemment que le but premier de la GPL n'est pas d'empêcher a cohabitation avec le reste du logiciel libre. Mais le résultat en est toutefois très proche
Je ne suis pas sur que le "reste" du logiciel libre est incompatible avec la GPL.
Il existe multitude de licence, et, en toute honnêteté, je ne peux pas dire "il y n% de licence représentant n% de code qui sont compatible avec la GPL".
Mais on est quand même d'accord que la majorité de la partie restante, qui est en licence BSD like ou CDDL (solaris c'est un gros projet), est incompatible ;)
peut importe l'origine de la petite partie du tout
Ca peut etre aussi la majeure partie du tout, et l'entreprise a juste rajoutée "printf ("Ceci est un logiciel sous copyright. Vous devez payer une licence pour l'utiliser\n");"
C'est déjà arrivé avec nessus, alors pourquoi pas avec d'autres programmes?
Tu voulais dire "disséminer", non ? (si oui, je suis d'accord ;))
voui, désolé ;)
Pour finir, je crois qu'on est tout les deux d'accord, juste qu'on ne sait pas s'exprimer ;)
Ce troll fut un plaisir, mais je vais devoir lâcher linuxfr quelques jours, pas la peine d'attendre une suite de ma part...
Bonnes vacances ;)
le problème c'est pas "open ssh serait sous gpl", c'est "un gars qui arrête pas d'utiliser la BSD pour tout se plaint quand même quand les entreprises utilise son projet sans contribuer".
[^] # Re: Re : LinuxFR.org fait dans le politique ?
Posté par briaeros007 . En réponse à la dépêche Le président français propose aux écoliers d'adopter un projet libre mort sur SourceForge. Évalué à 4.
Non, tu as donné une définition, je t'ai donné le mot correspondant.
Va juste au bout de ton idée.
En avoir marre c'est une idée ?
Chez moi c'est un sentiment, mais c'est pas grave ça, hein ...
Qui est responsable de cet état de fait, comment en est-on arrivé là ?
Génial, une question totalement ouverte qui a STRICTEMENT rien à voir avec mon post, pour continuer à troller \o/
Comment on est arrivé au fait que la france ne reconnaisse pas ses erreurs, et ses actes ? (torture en algérie, suppositions de participation active ou passive lors du génocide du rwanda).
Je suis curieux d'avoir ton avis.
Je remarque entre autre que tu cherche "un responsable". Il y a forcément tout le temps un responsable ?
Est ce tout le temps une pensée volontaire ? Un complot ? Un aspect d'une "conscience collective" , ou plutot "inconscience" au terme psychiatrique (ie la conscience collective qui ne veut pas voir ce qui se passe réellement et se cristallise sur un seul problème sur lequel elle ne peut plus rien faire pour éviter de traiter les autres problèmes équivalents actuels).
Tu me demande mon avis, donc je vais te le donner, mais ce n'est que mon avis, ni pertinent, ni forcément logique, ni polie,ni politiquement correct.
Pourquoi c'est comme ça ?
Parce qu'on est qu'un peuple de lache qui est absolument incapable de voir la vérité en face.
Déjà on dis pas "On a tué 6 millions de juifs" mais "les méchants nazis l'ont fait".
La france à LARGEMENT collaborée! (la rafle du vel d'hiv pour s'en donner une idée).
Alors on essaie de se trouver des justifications en disant "vous avez vu on s'en souvient! on va meme forcer les autres à s'en souvenir!".
Quel meilleure cachette pour un bourreau que de se mettre du coté des victimes ?
Et c'est bien pratique, comme on fait notre "part" , pas besoin de s'inquiéter des autres.
Par le "on" , ce n'est bien entendu , ni moi, ni toi, ni même les français, ni la france. Mais l'ensemble des peuples occidentaux (rappelons nous que les scientifiques qui ont pourtant participé a des expériences humaines, ont souvent été récupérée par les "alliées" pour avoir vent de leur connaissances).
Encore une fois; je parle d'une "conscience collective". C'est un concept que je ne vois pas comment définir autrement.
Je vais donc continuer sur quelques chiffres, qui montre bien l'hypocrisie actuelle.
Comment on est arrivé qu'il est plus important de se soucier des 6 millions de juifs mort il y a 50 ans, plutot des 3000 morts CHAQUE JOUR du paludisme en afrique, alors qu'on pourrait largement diminuer ce chiffre si on s'en donnait les moyens ?
3000 mort/jour == 1 millions mort/an == 6 millions de mort / 6 ans !
La vie d'un noir en afrique est tel tellement moins importante que celle d'un juif ? (Je répète : on PEUT faire quelque chose! ... et pourtant je ne fais rien !
Pourquoi ? moi même je n'en suis pas sur)
La guerre en irak aurait put permettre de faire une campagne de vaccination basique pendant .... 165 ans! (si on est pessimiste on peut dire au moins pendant 50 ans)
(
http://costofwar.com/index-immunization.html
)
Comment on est arrivé qu'il est plus important d'imposer un "devoir de mémoire" à une génération qui n'a rien a voir , alors qu'"on" (ie la génération en place niveau politique, et celle précédente) a pas été foutu de faire le procés de vichy ? (Me fait pas marrer en me disant "mais si on a fait des procés", y'en a pratiquement pas eu, et ce qu'il y a eu était plus proche de la complaisance).
Comment se fait il qu'on parle du massacre des juifs, mais qu'on oublie les différentes horreurs qui ont émaillée les guerres et les "renseignements" modernes (allez exemple con, test de l'arme nucléaire sur des civils (nagasaki .... mais aussi test de pilules radioactives sur des femmes enceintes aux usa pour vérifier l'effet sur le foetus, projet mkultra, test d'arme bactériologique en corée du nord par les américains, utilisations d'armes chimiques sur différents conflits, dont contre des civils (kurde); etc...)
etc....
[^] # Re: Moi !!!!
Posté par briaeros007 . En réponse au journal Au secours! Rendez moi ma tranquilité !. Évalué à 1.
[^] # Re: Il y a bien une solution...
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 1.
Quand je parlais de chiffrement du DD, je parlais bien entendu "avant que cette attaque soit révélé", ou alors du chiffrement du DD, mais non persistent (tu monte ton dd en chiffré, tu écris, tu démonte, tu attend n minutes pour que les clés n'existent plus. Sauf "storm" du gign à ce moment là... XD).
[^] # Re: Il y a bien une solution...
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 1.
Le chiffrement de dd ça existe... [c'était meme un peu le sujet de ce journal]
et qu'elle n'est disponible que si la séquence de boot convient au TPM.
Génial pour la rescue ça \o/
Et ton ordi crash (mb défaillante) , tu fais comment? un RMA ?
Si ton ordi crash avec un dd/svg chiffré ... ben tu change de pc, tu rentre le mdp / autre clé (smartcard ou autre) et hop tu à de nouveau accès à tout.
Voir, comme proposé autre part dans ce thread, de la crypto distribuée.
On peut imaginer que le nombre de gens ayant accès à la back door TPM est infiniment plus réduit que le nombre de gens ayant accès à la lecture du système de fichier EXT3 ou UFS.
Et infiniment plus élevé que ceux ayant accès à une backdoor d'un dd chiffrée sérieusement ou d'une smartcard conçu pour la sécu et vérifiée comme il se doit par des labos indépendants.
Pour moi, l'intérêt principal de TPM c'est de fournir un coprocesseur cryptographique , ie pouvoir chiffrer on the fly les dd en ayant presque aucune perte de perfs.
[^] # Re: pas forcément -196
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 2.
XD
[^] # Re: LinuxFR.org fait dans le politique ?
Posté par briaeros007 . En réponse à la dépêche Le président français propose aux écoliers d'adopter un projet libre mort sur SourceForge. Évalué à 4.
Ca se résume en un seul mot :
génocide.
Et croire que ce fut le seul génocide depuis la seconde guerre est de l'aveuglement.
Hein les francais (je suis moi meme francais) et le rwanda ?
Ou encore le cambodge. Ou les kurdes.
Ou ....
Bref, moi aussi j'en ai marre qu'on arrête pas de parler du "devoir de mémoire" pour la shoa, mais qu'on oublie tout le temps TOUTES les autres victimes.
[^] # Re: Et pendant ce temps...
Posté par briaeros007 . En réponse à la dépêche Le président français propose aux écoliers d'adopter un projet libre mort sur SourceForge. Évalué à 3.
il a dis "me touche pas moi".
alors c'est un peu sec, mais pas une insulte.
Ce a quoi le président à répondus "casse toi alors", ce qui est déjà plus provoquant.
Répondant à la provocation, il a dis "tu vas me salir". Ca peut être pris comme une provocation ...ou comme quelqu'un qui a pas envie de serrer la main de quelqu'un qui vient de serrer la main de 20 personnes avant, et que donc sa main n'est pas forcément des plus propre.
Bref, toujours aucune insulte, provocant et/ou méprisant à l'extrême rigueur ; mais rien qui n'équivaut à un "pauvre con".
[^] # Re: Il y a bien une solution...
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 3.
Les CPU ont comme but de stocker des clés, et d'éviter qu'elle puisse tomber entre n'importe quel main ?
Non.
On peut imaginer une backdoor dans les CPU qui permet de forcer les suites aléatoires à des valeurs prédéfinies
Ce qui se remarque tout de suite. "Tiens c'est marrant, mais les valeurs de mon sha-256 ne correspondent pas à la norme (cas d'un générateur pseudo aléatoire par ex)."
Sans compter que le CPU ne peut pas savoir si une suite de donnée c'est de l'aléas ou pas.
on peut imaginer une copie en zone cache de l'ensemble des opérations demandées aux fonctionnalités cryptographiques etc.
Fonctionnalitées qui connaissent pas les principaux CPU modernes (excepté le VIA). Et même si elles existent, tu peux toujours chiffrer en utilisant le CPU de façon "normal" sans recourir à leur instruction hard.
Après effectivement on peut imaginer que le fabriquant de la puce a une backdoor qui lui permet de passer au travers des 4 ou 5 mécanismes de sécurisation (nécessité d'ownership, nécessité de présence physique, validité des hashs etc.)
Euh pas vraiment besoin, vu que la norme dis "il faut que des clés non-migrables soit migrables".
Regardons donc la norme TPM (et plus TCPA)
:https://www.trustedcomputinggroup.org/specs/TPM/
Maintenance is different from backup/migration, because maintenance provides for the migration of both migratory and non-migratory data. Maintenance is an optional TPM function, but if a TPM enables maintenance, the maintenance capabilities in this specification are mandatory – no other migration capabilities shall be used. Maintenance necessarily involves the manufacturer of a Subsystem.Donc déjà on migre pas les clés "pour une sauvegarde", mais pour une maintenance.
Effectivement ils disent
The owner and users of TCG platforms need assurance that the data within protected storage is adequately protected against interception by third parties or the manufacturer.... en permettant une interception par le constructeur (ie puce tpm sur fpga).
et comment ils comptent mettre ça en place ?
Any maintenance process must have certain properties. Specifically, any migration to a replacement Subsystem must require collaboration between the Owner of the existingSubsystem and the manufacturer of the existing Subsystem. Further, the procedure must have adequate safeguards to prevent a non-migrational key being transferred to multiple
Subsystems.
Ah, on dis qu'on doit avoir une collaboration entre le possesseur et le constructeur, et qu'il doit y avoir des gardes fous... Sans plus de précisions!
Après effectivement on peut imaginer que le fabriquant de la puce a une backdoor qui lui permet de passer au travers des 4 ou 5 mécanismes de sécurisation
D'après le principes de conceptions : seulement 2 (dont 1 est automatique), le reste c'est du technique :
Any migration of non-migratory data protected by a Subsystem SHALL require the cooperation of both the Owner of that non-migratory data and the manufacturer of that Subsystem. That manufacturer SHALL NOT cooperate in a maintenance process unless the manufacturer is satisfied that non-migratory data will exist in exactly one Subsystem. A TPM SHALL NOT provide capabilities that support migration of non-migratory data unless those capabilities are described in the TCG specification.
Bref, comme je disais:
- on autorise un gouffre.
- on dis "mettez bien des barrières hein"
=> on dois avoir une entière confiance dans le constructeur.
Si le standard TPM est bien respecté, ok... mais ce ne sera pas la première fois qu'une entreprise respecte pas complètement un standard pour son propre intérêt... et la on parle de sécurité, pas de "bien afficher une page web" !
Bien sur on peut imaginer qu'à la demande de certains gouvernements la puce TPM ne soit pas tout à fait aussi inviolable que çà, auquel cas il faut faire des partages de secrets et rajouter des protections par dessus TPM.
Je pense que je peux te rappeler le gouvernement chinois, et ses méthodes.
Si la puce TPM "n'est pas si inviolables que ça", alors elle sert A RIEN.
Si elle est vraiment inviolable, alors elle représente un vrai plus.
Evidement je prefererais que le specs du TPM soient libres.
Pas tant les specs que des véritables certifications de sécurité.
Car si les specs ne sont pas respectée, c'est pas tellement plus cools.
J'ai demandé ça à asus (une vérification de la sécurité de leur puce par un labo spécialisé), on verras ce qu'ils répondent.
Pc : pour montrer que "on te cache tout" n'est vraiment pas une bonne politique de sécurité meme sur des puces, je t'invite à lire ce journal :
https://linuxfr.org//~BlueBird/25926.html
[^] # Re: Jolie démonstration mais...
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 1.
Bref rien de vraiment voyant.
Ensuite la copie de la ram, tu n'as pas besoin d'attendre les 4h, ca peut aller très vite (grosso modo la vitesse de ton support d'écriture)
[^] # Re: Il y a bien une solution...
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 3.
Vu qu'on parle du fabricant, avec le rtl du code, il a même DUT en faire (ie , emuler la puce sur un fpga, avec la facilité de debug qu'offre un fpga).
C'est donc même pas "on peut imaginer", c'est "il est forcé de le faire" (à 99.9%).
un fabriquant ne pourra migrer aucune clef sans l'assistance du TPM owner pour lui ouvrir les portes.
Tant que je n'ai pas de rapport de sécurité de la puce, j'évite d'être si affirmatif.
On parle du CONCEPTEUR de la puce, pas du pekin moyen.
Donc
1°) un fabricant de puce TPM peut être considéré comme un attaquant niveau III : fond (presque) illimité et connaissance exemplaires.
2°) rien ne l'empêche de mettre une backdoor style "autorisation owner ... ou tel clé", vu que par définition, c'est lui qui met ce qu'il veut dedans !
Encore une fois, tu me sort un rapport de sécurité d'une puce TPM par un labo spécialisé dans ce genre de test, ok je pourrais avoir confiance.
Mais croire que "le fabricant est quelqu'un de gentil" est une erreur dans le domaine de la sécurité.
Surtout quand le fabricant vient de l'exterieur.
Ps ne crois pas que je suis 100% contre le TPM, j'adorerais avoir un coprocesseur crypto sur lequel je puisse me fier, mais désolé la sécurité par l'obscurité (c'est proprio, on sait pas comment ils l'ont fait, c'est donc bon) ça n'a JAMAIS été de la sécurité.
[^] # Re: facilement
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 2.
voir mon commentaires plus bas ;)
[^] # Re: Je commence à être perdu...
Posté par briaeros007 . En réponse à la dépêche Un pas de plus vers la démocratisation du sftp. Évalué à 3.
Ce qui n'est pas propre : tu laisse ouvert de ports qui vont renvoyer un RST, et qui n'ont pas besoin normalement d'être ouvert.
Bref, : berk!
# Il y a bien une solution...
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 3.
Il s'agit des puces TPM, où la clé est censé ne jamais sortir...
Inconvénients :
- Mis en place de TCPA/Palladium/...
- D'après la norme TCPA, le fabricant peut migrer d'un TPM à un autre toutes les clés, y compris les non migrables. => possibilité de récupérer les clés contenues dans la puce. -> Absolument nul si c'est implémenté.
[section 13 , maintenance, de la norme https://www.trustedcomputinggroup.org/specs/TPM/tpmwg-mainre(...)
spec retrouvé grace à a_capsi ]
[^] # Re: Ben, si j'avais un malheureux conseil à te donner...
Posté par briaeros007 . En réponse au journal Au secours! Rendez moi ma tranquilité !. Évalué à 4.
# pas forcément -196
Posté par briaeros007 . En réponse au journal Comment voler facilement des données chiffrées. Évalué à 5.
http://arstechnica.com/news.ars/post/20080221-researchers-cr(...)
).
Et -50 c'est relativement simple à avoir : eux ils utilisaient des "spray" d'air comprimé (utilisé pour nettoyer les clavier,...), mais dans les magasin d'électronique il existent aussi des spray dont le seul but est de refroidir à -50°c pour les recherches de pannes thermiques.
(
http://www.conrad.fr/givrant_kf_p_19500_19514_206919
http://www.conrad.fr/givrant_freez_it_p_19500_19514_206917
)
[^] # Re: Réseaux citoyens et wifi libre
Posté par briaeros007 . En réponse au journal Ce qui nous pend au nez.. Évalué à 1.
tu te donne un gros coup de poing, va voir le médecin légiste qu'il confirme que tu as bien recu un coup, et tu dis que tu t'es fait car hijacké (avec depot de plainte)
(bon la par contre y'a faux témoignage et escroquerie à l'assurance).
[^] # Re: Réseaux citoyens et wifi libre
Posté par briaeros007 . En réponse au journal Ce qui nous pend au nez.. Évalué à 1.
Faudrait juste modifier les algos de routages pour en avoir des multipath/multihop.
[^] # Re: Et une connerie de plus
Posté par briaeros007 . En réponse au journal Microsoft pire qu'ubuntu dans ses updates. Évalué à 1.
ben je n'ai pas la science infuse non plus.
Si tout ce que je faisait était correct du premier coup je serait rudement content ;)
Tu me dis "je paye un bundle avec
- un produit disponible gratuitement
- un support physique
- une aide/support."
Et là j'essaie de dire (maladroitement je l'avoue, avec le coup "tu peux l'installer le produit sur le nombre de machine",il fallait plutot le lire par "tu peux avoir autant de produit que tu veux" ) que si tu paie pour un ensemble, et que dans cet ensemble un produit est gratuit alors tu ne paie pas pour ce produit,mais pour les autres.
[^] # Re: Et une connerie de plus
Posté par briaeros007 . En réponse au journal Microsoft pire qu'ubuntu dans ses updates. Évalué à 2.
Ca ressemble plus à un don qu'à un paiement dans ce cas.
Si j'achetais un windows avec une licence me disant que je peux l'installer sur plusieurs postes, ça veut dire que j'ai pas payé windows mais juste le cd ?
Et que tu peux le dl gratuitement (et officiellement) à coté ?
Et l'installer sur autant de poste que tu veux ?
Et que le cout est "raisonnable" ?
Alors oui je dirais que tu ne l'a pas payé mais juste le bundle ;)
Et si j'obtiens, gratuitement, avec les sources, un logiciel dont la licence m'interdit de l'installer sur plusieurs postes, ça devient quoi ?
Un logiciel proprio :P
[^] # Re: Polémique
Posté par briaeros007 . En réponse à la dépêche Un point sur le projet Nouveau. Évalué à -1.
Reste donc le commentaire "applique donc le respect du contexte".
Tu remarquera que j'ai expliqué mon comportement, et que j'ai expliqué aussi pourquoi j'ai fait eu cette compréhension de la phrase de Zenitram.
Mais je présume que si un interlocuteur n'a pas la même compréhension du phrase que toi, c'est donc que c'est forcément ton interlocuteur qui a tort, et qu'il est donc normal de ne pas vouloir écouter ses explication.
Oui j'ai eu une compréhension ambigue d'une phrase. Donc j'ai forcément tort ? Même après avoir explicité en long en large et en travers, et que personne n'a pu me montrer 'mais c'est complètement illogique'.
La la remise en cause sur ce thread, je pense que c'est moi qui l'ai faite, et pas franchement les autres acteurs.
bonne pensée?
[^] # Re: Polémique
Posté par briaeros007 . En réponse à la dépêche Un point sur le projet Nouveau. Évalué à -1.
Un ton condescendant ?
Voyons voir :
A parce qu'il y a une "api" sur une puce matérielle ?
C'est condescendant ça ?
Si ca c'est condescendant, tout doit etre condescendant pour toi alors.
Sort un peu de ton monde, et va me prendre un datasheet d'une puce matérielle (pas un truc avec un processeur a l'intérieur, et que tu push un code dedans, une VRAI puce matérielle).
La oui à la rigueur c'est condescendant ...
mais si on regarde le message auxquel je répondais , je cite :
Mais non, le wrapper OpenGL --> carte est énorme, et seul le constructeur peut le faire.
ie ceux qui font du LL c'est que des sous merdes.
Mais là ca ne devient plus condescendant là...
Deuxième post aggresif ?
Regardons :
euh désolé , mais je répondais comme quoi la doc d'un chipset ne devait pas être avec des registres pour que ce soit une "vrai doc".
Et désolé, je persiste et je signe, pour des vrais "puces matérielles", ce sont avec des registres que tu joue.
Ensuite que sur les cg , qui sont des systèmes complet, et pas une simple puce, il est possible que la doc soit des commandes proches d'une api, ce que je n'ai jamais refusé.
Pas agressif pour un sou : explication de mon précédent commentaire.
La seule partie qui pourrait être aggresif serait :
Donc, par pitié, pour reprendre ton expression, lis au moins les commentaires correctement (ie le commentaire auxquel je répond, pour avoir le contexte).
Et si on regarde attentivement, on remarque un truc qui dis
pour reprendre ton expression,
donc pas plus agressif que le message auxquel je répondais.
Et ensuite je passe des références.
Alors si vous estimiez que mon ton est condescendant/agressif, ce n'était pas du tout mon but, je m'adaptait juste au ton des commentaires auxquel je répondais.
Ps tu remarquera que le commentaire qui utilisait le "par pitié", donc agressif pour toi, ne fut pas moinssé.
Donc commence par appliquer à toi même les conseils que tu donne aux autres.
Cad quand je moinsse, je donne une raison. Quand j'argumente, je donne des références etc... ?
Ben ca tombe bien, c'est ce que je fait.
La vie est bien faite quand même.
[^] # Re: Et une connerie de plus
Posté par briaeros007 . En réponse au journal Microsoft pire qu'ubuntu dans ses updates. Évalué à -1.
tu as payé
- un cd
- un manuel
- un support pour x jours (oui meme un particulier peut prendre du support)
et pas le produit en lui même.
La preuve, la distrib que tu as "payé", tu peux l'installer que sur un seul poste ou autant que tu veux?
[^] # Re: Les mauvaises décisions
Posté par briaeros007 . En réponse à la dépêche LLVM 2.2 : Un concurrent pour GCC ?. Évalué à 1.
sous freebsd ils ont pas fait comme sous linux : cad un module sous licence BSD, et "linké" dynamiquement (enfin utilisé en user space pour linux) ?
Si tel n'est pas le cas, je te prie d'accepter mes sincères excuses.
[^] # Re: Les mauvaises décisions
Posté par briaeros007 . En réponse à la dépêche LLVM 2.2 : Un concurrent pour GCC ?. Évalué à 0.
C'est vrai, si tu es d'accord dans le cas que la licence BSD est une licence "utopique" pour protéger le LL, vu que ça suppose le monde utopique de "no proprio".
Non?
Bien évidemment que le but premier de la GPL n'est pas d'empêcher a cohabitation avec le reste du logiciel libre. Mais le résultat en est toutefois très proche
Je ne suis pas sur que le "reste" du logiciel libre est incompatible avec la GPL.
Il existe multitude de licence, et, en toute honnêteté, je ne peux pas dire "il y n% de licence représentant n% de code qui sont compatible avec la GPL".
Mais on est quand même d'accord que la majorité de la partie restante, qui est en licence BSD like ou CDDL (solaris c'est un gros projet), est incompatible ;)
peut importe l'origine de la petite partie du tout
Ca peut etre aussi la majeure partie du tout, et l'entreprise a juste rajoutée "printf ("Ceci est un logiciel sous copyright. Vous devez payer une licence pour l'utiliser\n");"
C'est déjà arrivé avec nessus, alors pourquoi pas avec d'autres programmes?
Tu voulais dire "disséminer", non ? (si oui, je suis d'accord ;))
voui, désolé ;)
Pour finir, je crois qu'on est tout les deux d'accord, juste qu'on ne sait pas s'exprimer ;)
Ce troll fut un plaisir, mais je vais devoir lâcher linuxfr quelques jours, pas la peine d'attendre une suite de ma part...
Bonnes vacances ;)
[^] # Re: Les mauvaises décisions
Posté par briaeros007 . En réponse à la dépêche LLVM 2.2 : Un concurrent pour GCC ?. Évalué à -1.