🚲 Tanguy Ortolo a écrit 12091 commentaires

Tu ne serais pas pour la peine de mort pour la moindre faute toi?

Non, pourquoi ?

Dans la vie réelle, on a le droit à l'erreur, et la serrure est changée, la clef volée ne sert alors plus à rien.

Bien sûr, je n'ai jamais dit le contraire. Si quelqu'un se fait voler sa clef, c'est son problème, mais ça n'implique pas de le condamner à crever comme une merde.

Donc si j'ai bien compris, lorsqu'on désigne une zone blanche dans un texte, on utilise le masculin, et lorsqu'on désigne la pièce de plomb ou la séquence de bits qui sert à implémenter cette zone, on utilise se féminin ?

Parfait, donc ça tombe bien, pour les signatures, la convention est d'utiliser deux signes moins (Unicode MOINS/HYPHEN-MINUS) suivis d'une espace (Unicode ESPACE/SPACE) puis d'un retour à la ligne (LF ou CR-LF selon la convention du contexte).

Non non, je maintiens, si quelqu'un ne fait pas assez attention à sa clef privée et qu'il se retrouve avec quelqu'un d'autre qui y a accès, c'est sa faute, point. Quand on correspond avec quelqu'un en chiffrant avec sa clef publique, s'il y a un problème, c'est le problème du destinataire.

C'est comme quand tu mets des objets dans un coffre de ta banque : tu n'es pas sûr qu'ils ne seront pas volés, seulement que s'ils le sont, ce sera la faute de ta banque.

Désolé pour le commentaire en double, la faute aux erreurs 500.

Oui, c'est sa faute, sa responsabilité du moins. Pour ce genre de cas il faut qu'il ait ailleurs un certificat de révocation tout prêt, sinon ce sera vraiment sa faute, pour le coup.

Oui, c'est sa faute, sa responsabilité du moins. Pour ce genre de cas il faut qu'il ait ailleurs un certificat de révocation tout prêt, sinon ce sera vraiment sa faute, pour le coup.

Je tiens à corriger ta correction. En effet, la langue française veut que le mot « espace » soit féminin lorsqu'il est utilisé dans le champ sémantique de la typographie. Il faut donc écrire « une espace » pour être correct.

Sauf si on te vole ta clef GPG

Ou si tu la confies volontairement à quelqu'un d'autre. Mais un message signé par une clef connue est toujours mieux que pas signé du tout. En fait on n'a aucune certitude sur le fait qu'une clef privée soit à la disposition de son propriétaire théorique et lui seul, mais ce dont on est sûr, c'est que si ce n'est pas le cas, c'est sa faute.

Rien à voir mais je comprend toujours pas comment faire un retour à la ligne.

Dans ton cas précis, c'est une liste que tu veux faire (avec une ligne blanche avant !) :

* http://events.ccc.de/congress/2010/Fahrplan/events/4295.en.html
* http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg
* http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg

Ce qui donne :

• http://events.ccc.de/congress/2010/Fahrplan/events/4295.en.html
• http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg
• http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4295-en-high_speed_high_security_cryptography.ogg

Il y a une analyse intéressante du modèle SSL/TLS. En résumé, les caractéristiques techniques TLS — à savoir, n'avoir qu'une seule signature possible sur un certificat et ne pouvoir proposer qu'un seul certificat pour une connexion — impose un modèle social qui comporte de graves défauts : il encourage la concentration sur un oligopole, voire un monopole d'autorités de certification, et encourage ces autorités à faire leur travail — vérifier l'identité des gens — le plus mal possible.

Voir aussi le projet Monkeysphere, qui est un hack pour lier le SSL actuel à des clefs PGP.

Oui : http://tools.ietf.org/html/draft-mavrogiannopoulos-rfc5081bis-09 .

Voir aussi le mod_gnutls pour Apache HTTP Server.

Chaque fois qu'on parle de sécurité sur le Web, voir sur Internet, SSL est très souvent la réponse.

Certes, mais lorsqu'on parle de sécurité sur Internet d'une façon générale aussi. SSL sert aussi à sécuriser le transfert et la récupération de courrier, la messagerie instantanée, etc.

J'ai d'ailleurs été assez surpris. Cette « bulle » est utilisée aussi lors du chargement d'une page, et comme elle ressemble à un bouton, j'ai voulu cliquer dessus pour voir : elle fuyait ma souris !

Ça n'a rien de nouveau, que des logiciels libres soient plus disponibles, plus testés, moins bogués, sur les sytèmes libres. Il y a plein de logiciels libres qui ne sont tout simplement pas disponibles du tout sur systèmes propriétaires, parce que les développeurs n'ont pas {les moyens|envie} de s'en occuper.

Ce n'est donc pas une protection contre les logiciels malicieux — que ce soit par conception ou suite à une modification volontaire par un pirate — mais contre les failles de sécurité.

N'y aurait-il pas déjà un embryon d'implémentation de certaines capacités dans Linux ? Pour faire des trucs comme écouter sur un port réseau privilégié ?

Une bonne idée longtemps oubliée

Mais les innovations révolutionnaires qui demandent de changer complètement de système d’exploitation, de langage de programmation ou d’environnement de bureau n’ont pas percé (de même que le micro-noyau L4, Lisp ou GNUStep).

Ça se comprend : trop compliqué.

Le projet Capsicum

[…] trouvant un compromis entre la flexibilité-fouillis des capacités (une capacité = un droit) et l’autorité ambiante écrasante des systèmes UNIX habituels.

[…] des masques de droits permettant une gestion fine des droits (plus de 60 masques différents)

Échec.

Et ça marche ?

À quand Capsicum disponible sur Linux, et LibreOffice, Firefox et KDE respectant le principe de moindre autorité ? Qui s'y colle ?

Pas moi. Ni personne d'autre probablement : trop complexe.

Ils te fournissent peut-être des serveurs de résolution DNS menteurs. Ce ce que font OpenDNS, que faisaient Club Internet quand ils existaient encore, et que font aujourd'hui SFR, je crois.

Cela consiste, de la part du FAI, à proposer (par DHCP) des serveurs de résolution DNS qui, lorsqu'on leur demande un nom de domaine qui n'existe pas, au lieu de répondre qu'il n'existent pas, mentent en donnant une réponse correspondant à l'adresse d'un de leurs serveurs. Le serveur en question héberge un site web de « recherche » qui présent les résultat qui les arrange (partenaires…).

C'est un scandale, parce que c'est une violation flagrante de la neutralité du réseau. C'est un service mensonger. Et c'est pénible, parce que :

• hors du web, ça n'apporte que des ennuis (je me trompe dans le nom de mon serveur de boîte aux lettres et au lieu de me dire que ce nom n'existe pas, ça me dit que le serveur ne répond pas) ;
• ça dégrade l'expérience du web, vu qu'aujourd'hui, lorsqu'on tape une adresse qui n'existe pas, le navigateur peut se charger lui-même d'interroger un moteur de recherche, un vrai.

des autorités de confiance et les autorités n'ont aucune conscience professionnelle

Ça c'est normal, elles n'ont aucune incitation à travailler sérieusement. Elles gagnent de l'argent à certifier des gens, et en perdent à les refuser. Donc leur intérêt, c'est d'émettre un maximum de certificat, donc de ne rien vérifier du tout.

Et ce certificat de certification a été automatiquement accepté comme légitime par ton navigateur (i.e. les certificats "finaux" signés par celui-ci sont acceptés), simplement parce qu'il existe un chemin de confiance entre lui et un certificat racine

Oui. Bien sûr, nos serveur fournissent le certificat intermédiaire en plus du certificat final, les navigateurs ne vont pas l'inventer. C'est la directive SSLCertificateChainFile avec Apache HTTPD.

ou cela a réclamé une procédure supplémentaire ?

Non.

Hum, je crois que le fonctionnement de l'infrastructure à clé publique t'échappe complètement. Les certificats racines ne peuvent pas servir à en créer de nouveaux qui seraient automatiquement acceptés par ton navigateur.

Si. Par exemple, mon entreprise utilise un certificat signé par le certificat intermédiaire de StartSSL qui n'est pas dans tous les navigateurs. Ce certificat intermédiaire est un certificat de certification, signé par un autre certificat plus connu.

Ça dépend du navigateur, au sens strict. Sauf que certains navigateurs utilisent l'équivalent microsoftien de la libssl, qui est fournie avec le système d'exploitation. Or, celle de Windows XP ne prend pas en charge la SNI. Du coup, les navigateurs qui l'utilisent ne la prennent pas en charge non plus.

Alors le certificat est un faux, que ce soit demandé par un gouvernement ou non.

Le certificat de certification du gouvernement en question ? Non, il est vrai, accordé au gouvernement qui l'utilise bien pour certifier des sites.

Le certificat émis par le gouvernement à des fins d'espionnage ? Oui, il est faux, mais il n'est pas émis par l'autorité de certification d'origine.

Mon autre problème c'est que le SSL ne supporte qu'un certificat par IP

Ça, c'est faux pour Jabber, et faux pour le Web.

Pour Jabber, vu que c'est le mode STARTTLS qui est utilisé — passage en chiffré depuis le protocole, après avoir commencé en clair — le serveur sait quel nom le client demande. Donc, pour peu que ce soit implémenté dans le serveur, il peut choisir le certificat à utiliser en fonction du site virtuel.

Pour HTTP, c'est le mode SSL pur qui est utilisé — encapsulation de tout le protocole dans une session SSL, tout est chiffré depuis le début — le serveur ne pouvait pas savoir quel nom le client demande. Jusqu'en 2005, où a été introduit l'extension SSL Server Name Indication qui permet au client, lors de l'initiation d'une session SSL, d'indiquer au serveur le nom qu'il demande. Donc, pour peu que ce soit implémenté dans le client et dans le serveur, il peut choisir le certificat à utiliser en fonction du site virtuel. C'est pris en charge par les versions assez récentes d'Apache et de nginx, entre autres, et par tous les navigateurs récents sur des systèmes d'exploitation récents — ce qui n'inclut pas les systèmes antiques comme Windows XP.