’Jour Nal,
Aujourd’hui j’aimerais te parler de quelque chose de très éloigné de mes sujets de prédilection sur DLFP. Il ne sera donc pas question de GnuPG et affiliés. À la place, on va parler des vaccins contre le SARS-CoV-2, le virus responsable de l’épidémie de Covid-19.
Ces vaccins ont, depuis leur apparition et même avant, suscités pas mal de questions, dont une en particulier qui m’apparaît somme toute légitime et qui mérite une meilleure réponse que de taxer d’emblée (…)
Le 6 avril 2021, un patch était posté sur la liste de discussion des développeurs du noyau Linux (LKML). Écrit par Aditya Pakki, un doctorant de l’Université du Minnesota, ce patch, en apparence trivial (trois lignes) et franchement indistinguable des milliers d’autres qui s’échangent sur la LKML, allait in fine provoquer quinze jours plus tard le bannissement de toutes les contributions au noyau en provenance de l’Université du Minnesota.
Que s’est-il passé au juste ?
’jour Nal
D’habitude je te cause d’OpenPGP et/ou de GnuPG, mais aujourd’hui je vais t’entretenir d’un sujet connexe, les nombres aléatoires. Plus précisément, ce journal présente les mécanismes de génération de nombres (pseudo-)aléatoires dans le noyau Linux, et fait le point sur les principales évolutions survenues entre les versions 3.17 (en octobre 2014) et 5.6 (en mars 2020).
Brièvement, on distingue plusieurs types de RNG (Random Number Generator). Dans tous les cas (…)
Basée sur un journal, cette dépêche présente les mécanismes de génération de nombres (pseudo‑)aléatoires dans le noyau Linux, et fait le point sur les principales évolutions survenues entre les versions 3.17 (en octobre 2014) et 5.6 (en mars 2020).
Let’s Encrypt est une autorité de certification fournissant gratuitement des certificats de type X.509 pour TLS. Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :
On est sur LinuxFr.org, moi je t’aurais surtout demandé « Comment ? ». J’ai l’intention de m’y mettre aussi, mais je n’ai pas encore franchi le pas et j’aimerais avoir des retours d’expérience.
En effet, y a largement matière à s’étendre sur l’utilisation de Let’s Encrypt. Cette dépêche est donc un ensemble pas forcément cohérent de réflexions sur des points divers et variés (sans aucune prétention à l’exhaustivité), agrémentées d’un peu de « retours d’expérience » et de conseils (qui valent ce qu’ils valent).
Convention : « Let’s Encrypt » (en deux mots) désignera l’autorité de certification délivrant des certificats par l’intermédiaire du protocole ACME (« Automatic Certificate Management Environment »), tandis que « Letsencrypt » (en un seul mot) désignera le client ACME officiel.
Dans un commentaire de la dépêche sur la carte OpenPGP, Spack demandait :
OK mais je la mets où ma clef ? Sous l’oreiller ? Quels sont les bons conseils pour mettre sa clef privée au chaud et de façon pérenne ?
Ce à quoi je répondais, en bottant honteusement en touche, que ça n’avait rien à voir avec la carte OpenPGP. Mais la question n’en est pas moins intéressante et mérite que l’on tente d’y répondre.
Je me propose donc, dans ce (…)
Au début de l’année 2020, alors que l’on commençait à entendre parler de quelques cas de pneumonie atypique dans la ville chinoise de Wuhan, deux chercheurs français, Gaëtan Leurent (Inria) et Thomas Peyrin (Nanyang Technological University, Singapour), publiaient la première collision à préfixes choisis sur l’algorithme de condensation cryptographique SHA-1, et démontraient la faisabilité d’une attaque contre la toile de confiance OpenPGP.
L’attaque, dénommée SHA-mbles (« chaos », « désordre »), est de toute beauté et son étude fournit une excellente occasion, en cette période de confinement, de se pencher sur diverses notions comme le format des certifications OpenPGP ou le fonctionnement des algorithmes de condensation.
Suite à une diatribe de ma part à l’encontre de la mauvaise qualité de beaucoup de tutoriels consacrés à GnuPG, on m’a suggéré de créer le mien. Alors, without further ado, le voici.
Si vous utilisez GNU/Linux, GnuPG est dans les dépôts de toutes les distributions, et il est très souvent installé par défaut.
Il peut être utile néanmoins de vérifier que la version installée est bien issue de la dernière branche stable (2.2.x), et non (…)
Note : Ceci est la suite du lien posté il y a quelques jours, GnuPG n’a plus besoin de vos dons.
À la mi-décembre, le projet GnuPG a publié la dernière version de sa branche de développement, GnuPG 2.3.4. S’il n’y a pas grand’chose de neuf à signaler dans cette version précise (on pourra se rapporter à cette dépêche de l’année dernière pour les principales nouveautés de la branche 2.3), sa publication était accompagnée d’un message pour (…)
Un journal bookmark pour annoncer la première collision SHA-1.
Concrètement, des chercheurs du Centrum Wiskunde & Informatica (institut néerlandais de recherche en mathématiques et informatique) et de Google sont parvenus à fabriquer deux fichiers PDF dont le contenu diffère mais dont le condensat SHA-1 est identique.
Si les auteurs expliquent brièvement en quoi Git (qui repose sur SHA-1 pour l’identification des blobs et des commits contenus dans un dépôt) est impacté, ils ne s’attardent pas en revanche sur OpenPGP, ce que je (…)
B’jour Nal,
Lorsque je présente mes travaux lors d’un meeting ou d’un séminaire, j’ai parfois (souvent, en fait) besoin de présenter des vidéos. N’étant pas grand fan de LibreOffice Impress (encore moins, tu t’en doutes, de PowerPoint), plutôt adepte de Beamer, je me suis penché sur l’art et la manière d’inclure une vidéo dans un PDF. Afin que ça ne se perde pas, je te confie le résultat de cette inclinaison.
Il existe (…)
La confiance est l’un des concepts à la fois les plus importants et les plus mal compris d’OpenPGP. Derrière ce terme peuvent se cacher en réalité deux notions bien distinctes, illustrées par les propositions suivantes :
La première proposition fait référence à la validité de la clef 0xB4902A74, tandis que la seconde fait (…)
Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :
On est sur Linuxfr, moi je t'aurais surtout demandé "Comment ?". J'ai l'intention de m'y mettre aussi mais j'ai pas encore franchi le pas et j'aimerais avoir des retours d'expérience.
L’auteur du journal a répondu que Let’s Encrypt était « suffisamment simple d’utilisation pour qu’il ne soit pas nécessaire [de s’]étendre sur le sujet. »
Je disconviens respectueusement. Questions à se poser, pièges (…)
Un problème fréquemment rencontré avec OpenPGP est celui de la distribution des clefs publiques : comment Alice peut-elle transmettre sa clef publique à Bob, étape préalable indispensable à toute communication sécurisée ?
Depuis les premières versions de PGP, plusieurs méthodes ont été élaborées pour tenter de résoudre ce problème. Cet article les passe en revue.
La première méthode, la plus connue et celle historiquement associée au monde OpenPGP, consiste à enregistrer la clef auprès d’un serveur (…)