Retour sur l’affaire des « patchs hypocrites » de l’Université du Minnesota

164
26
mar.
2022
Noyau

Le 6 avril 2021, un patch était posté sur la liste de discussion des développeurs du noyau Linux (LKML). Écrit par Aditya Pakki, un doctorant de l’Université du Minnesota, ce patch, en apparence trivial (trois lignes) et franchement indistinguable des milliers d’autres qui s’échangent sur la LKML, allait in fine provoquer quinze jours plus tard le bannissement de toutes les contributions au noyau en provenance de l’Université du Minnesota.

Que s’est-il passé au juste ?

GnuPG 2.3.0 est sorti

Posté par  . Édité par Yves Bourguignon, Xavier Teyssier, Maderios, Benoît Sibaud, claudex et palm123. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
58
13
avr.
2021
Sécurité

Le 7 avril 2021, le projet GnuPG a publié la première version officielle de sa nouvelle branche de développement, GnuPG 2.3.0. Les nouveautés de cette version sont nombreuses, cette dépêche va passer en revue les plus significatives.

Des nombres aléatoires dans le noyau Linux

Posté par  . Édité par ZeroHeure, Benoît Sibaud, Davy Defaud et Xavier Teyssier. Modéré par ZeroHeure. Licence CC By‑SA.
89
3
sept.
2020
Linux

Basée sur un journal, cette dépêche présente les mécanismes de génération de nombres (pseudo‑)aléatoires dans le noyau Linux, et fait le point sur les principales évolutions survenues entre les versions 3.17 (en octobre 2014) et 5.6 (en mars 2020).

Utilisation d’un TPM pour l’authentification SSH

Posté par  . Édité par Davy Defaud, Benoît Sibaud et Ysabeau 🧶. Modéré par Ysabeau 🧶. Licence CC By‑SA.
35
25
mai
2020
Sécurité

Après son « Bien démarrer avec GnuPG », gouttegd nous livre un nouveau journal sur l’utilisation du Trusted Platform Module (TPM) pour s’authentifier auprès d’un serveur SSH. Ce journal a été converti en dépêche et enrichi des premiers commentaires.

Bien démarrer avec GnuPG

Posté par  . Édité par Davy Defaud, Benoît Sibaud, patrick_g et Ysabeau 🧶. Modéré par Ysabeau 🧶. Licence CC By‑SA.
59
23
mai
2020
Sécurité

N. D. M. : la dépêche est tirée du journal personnel de l’auteur, complétée des premiers commentaires suscités.

Suite à une diatribe de ma part à l’encontre de la mauvaise qualité de beaucoup de tutoriels consacrés à GnuPG, on m’a suggéré de créer le mien. Alors, without further ado, le voici.

SHA-mbles : une collision à préfixes choisis sur SHA-1

Posté par  . Édité par Benoît Sibaud, Davy Defaud, claudex et theojouedubanjo. Modéré par Benoît Sibaud. Licence CC By‑SA.
72
23
avr.
2020
Sécurité

Au début de l’année 2020, alors que l’on commençait à entendre parler de quelques cas de pneumonie atypique dans la ville chinoise de Wuhan, deux chercheurs français, Gaëtan Leurent (Inria) et Thomas Peyrin (Nanyang Technological University, Singapour), publiaient la première collision à préfixes choisis sur l’algorithme de condensation cryptographique SHA-1, et démontraient la faisabilité d’une attaque contre la toile de confiance OpenPGP.

L’attaque, dénommée SHA-mbles (« chaos », « désordre »), est de toute beauté et son étude fournit une excellente occasion, en cette période de confinement, de se pencher sur diverses notions comme le format des certifications OpenPGP ou le fonctionnement des algorithmes de condensation.

Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre

Posté par  . Édité par ZeroHeure, Benoît Sibaud, palm123 et Davy Defaud. Modéré par ZeroHeure. Licence CC By‑SA.
50
30
juin
2018
Sécurité

Depuis quelques années, la Free Software Initiative of Japan (FSIJ, association de promotion des logiciels libres au Japon) travaille sur un ensemble de projets à la croisée des chemins entre cryptographie, informatique embarquée et matériel libre.

Ces projets sont l’œuvre de Niibe Yutaka (Gniibe ou g新部), qui, entre autres casquettes, est président de la FSIJ, coordinateur des traductions japonaises du projet GNU, développeur Debian et contributeur à GnuPG (où il travaille notamment sur la cryptographie à courbes elliptiques et la gestion des cartes à puce — deux aspects qui sont directement liés aux projets dont il va être question dans cette dépêche).

Votre serviteur avait déjà très brièvement évoqué l’existence de deux de ces projets (Gnuk et le FST-01) dans une dépêche précédente consacrée à la carte OpenPGP (dont la lecture est recommandée avant de poursuivre), mais sans donner aucun détail, ce que la présente dépêche va corriger.

Reparlons de Let’s Encrypt

Posté par  . Édité par Davy Defaud, bubar🦥, ZeroHeure, Benoît Sibaud, Xavier Teyssier et Nÿco. Modéré par ZeroHeure. Licence CC By‑SA.
82
24
fév.
2016
Sécurité

Let’s Encrypt est une autorité de certification fournissant gratuitement des certificats de type X.509 pour TLS. Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :

On est sur LinuxFr.org, moi je t’aurais surtout demandé « Comment ? ». J’ai l’intention de m’y mettre aussi, mais je n’ai pas encore franchi le pas et j’aimerais avoir des retours d’expérience.

En effet, y a largement matière à s’étendre sur l’utilisation de Let’s Encrypt. Cette dépêche est donc un ensemble pas forcément cohérent de réflexions sur des points divers et variés (sans aucune prétention à l’exhaustivité), agrémentées d’un peu de « retours d’expérience » et de conseils (qui valent ce qu’ils valent).

Convention : « Let’s Encrypt » (en deux mots) désignera l’autorité de certification délivrant des certificats par l’intermédiaire du protocole ACME Automatic Certificate Management Environment »), tandis que « Letsencrypt » (en un seul mot) désignera le client ACME officiel.

Quelques brèves sur OpenPGP

Posté par  . Édité par ZeroHeure, Nils Ratusznik, Nÿco, palm123, Benoît Sibaud, tuiu pol et rakoo. Modéré par palm123. Licence CC By‑SA.
Étiquettes :
37
5
juin
2015
Sécurité

NdM : gouttegd livre régulièrement des journaux traitant d'OpenPGP. Il vient de réaliser une petit tour d'horizon de quelques brèves à ce propos.

Au sommaire :

  • La reprise d'activité sur OpenPGP ;
  • Une nouvelle version de la carte OpenPGP ;
  • Facebook se met à OpenPGP.

Bonne lecture !

“OpenPGP card”, une application cryptographique pour carte à puce

Posté par  . Édité par BAud, ZeroHeure, Benoît Sibaud, jben, Pierre Jarillon, khivapia, Nicolas Boulay, palm123, Davy Defaud, M5oul et vaxvms. Modéré par ZeroHeure. Licence CC By‑SA.
79
18
déc.
2014
Sécurité

À la demande générale de deux personnes, dans cette dépêche je me propose de vous présenter l’application cryptographique « OpenPGP » pour cartes à puce au format ISO 7816. Une carte à puce dotée d’une telle application vous permet d’y stocker et de protéger vos clefs OpenPGP privées.

scdrand: alimenter le pool d’entropie du noyau à partir d’une carte à puce

Posté par  . Édité par ZeroHeure, bubar🦥 et Benoît Sibaud. Modéré par Nils Ratusznik. Licence CC By‑SA.
42
14
août
2014
Sécurité

Possesseur d’une carte OpenPGP, je cherchais un moyen d’exploiter le générateur de nombres aléatoires dont elle est équipée.

Une rapide recherche m’a immédiatement emmené vers TokenTools, qui semble faire exactement ce que je veux. Malheureusement, ce programme ne peut pas cohabiter harmonieusement avec Scdaemon, le démon de GnuPG chargé d’interagir avec les cartes à puce : TokenTools ne peut pas accéder à la carte tant que scdaemon tourne — or j’ai besoin de scdaemon pour l’utilisation routinière de ma carte OpenPGP (signer, déchiffrer, m’authentifier).

La deuxième partie décrit le programme que l'auteur a écrit pour remplacer Token Tools.

Intégrer des vidéos dans des fichiers PDF

Posté par  . Édité par Florent Zara et rootix. Modéré par claudex. Licence CC By‑SA.
39
12
nov.
2013
Bureautique

Comme vous êtes demandeurs de howto/documentation, on pense à vous. Après l'invitation de RMS, héberger son propre courriel, voici l'intégration de vidéos dans un fichier PDF.

Lorsque je présente mes travaux lors d’un meeting ou d’un séminaire, j’ai parfois (souvent, en fait) besoin de présenter des vidéos. N’étant pas grand fan de LibreOffice Impress (encore moins, tu t’en doutes, de PowerPoint), plutôt adepte de Beamer, je me suis penché sur l’art et la manière d’inclure une vidéo dans un PDF. Afin que ça ne se perde pas, je te confie le résultat de cette inclinaison.

NdM : merci à gouttegd pour son journal.