khivapia a écrit 2562 commentaires

En gros tu te demandes si c'est difficile de faire du reverse sur une boîte noire.

Ça dépend de la boîte noire en question (si l'algo est faible genre fait "maison" par un amateur, ça peut se voir assez vite, si ce sont des briques connues et éprouvées type finalistes AES combinés de manière inconnue il n'y a a priori pas de faille dans l'algo lui-même) et des moyens et du temps de l'attaquant (accès uniquement en entrée/sortie ? connaissance de couples clairs/chiffrés valides qu'il pourrait modifier et renvoyer ? accès à des outils de mesure de courant sur la boîte noire qui chiffre ? Accès au binaire qui chiffre avec possibilité de le désosser ou boîte noire accessible seulement par le réseau ? Débit d'accès à la boîte noire ? ).

Les impôts sont en France clairement l'administration qui marche le mieux en France.

En même temps, heureusement, vu leurs salaires par rapport au reste de la fonction publique. Comme disait je ne sais plus quel homme politique, ils sont proches de la caisse, ils se servent les premiers.

Ah. Je pensais aux images de vidéo-surveillance, mais c'est vrai que "informations" au sens "renseignements" serait plus pertinent, et là je n'en sais rien.

Abus de droit ?
http://fr.wikipedia.org/wiki/Abus_de_droit

Pour certains sujets, en France, on peut demander des informations et les administrations sont tenues de répondre dans des délais contraints (sans indemnité en général), par contre il y a la notion juridique d'abus qui permet de limiter les fauteurs de troubles.
Par exemple, on peut demander les vidéos de vidéo-surveillance sur lesquelles on apparaît, mais "pas trop", le tout étant laissé à l'appréciation du juge le cas échéant.

ils doivent se dire qu'un autre gouvernement connaît la faille
En même temps ça ne les dérange peut-être pas que certains gouvernements connaissent la faille et pas d'autres, d'autant qu'une faille nécessite souvent beaucoup de puissance de calcul pour être exploitable et qu'ils semblent avoir une grosse avance là-dessus. L'histoire du DES est un bon exemple : 56 bits de clefs, ils savaient casser quand d'autres pas du tout.

en trafiquant les générateurs de nombres aléatoires. Que ce soit directement dans le code source (…) ou encore dans les processeurs.
Ou carrément dans les standards (Dual_EC_DRBG, implémenté par Microsoft bien que plus lent que les autres).

Il y a enfin une autre méthode d'attaque qu'ils connaissaient avant tout le monde, ce sont les attaques par canaux cachés (mesure de consommation de courant d'une puce chiffrante par exemple).

C'est un choix sécurité contre vitesse.
Ça ne change rien à la sécurité d'un point de vue purement crypto : un mot de passe avec 32 bits d'entropie reste un mot de passe avec 32 bits de sécurité, le reste est dans la constante (le 'grand O') de la complexité. L'attaque brute-force augmente linéairement avec le coût de calcul du hachage du mot de passe, mais le coût est augmenté également linéairement pour le vérificateur légitime du mot de passe, ce qui est loin d'être bénéfique (déjà que tout le monde se plaint du coût de la sécurité en termes de performances…).
Ce qui augmente vraiment (exponentiellement, à coût négligeable) la sécurité est d'augmenter l'entropie des mots de passe : ajouter 1 bit d'entropie ne change rien au temps de calcul du hachage, mais double le coût de l'attaque brute-force.

Augmenter la complexité des fonctions de hachage a vraiment peu de sens en pratique contre un attaquant off-line (qui récupère le haché et le bruteforce avec une ferme de FPGA/CPU/GPU/PS3/etc. etc., puisqu'il est possible de réaliser d'énormes économies d'échelle sur le matériel électronique : doubler la puissance de la machine à bruteforcer coûte moins de 2 fois le coût initial). À la limite, ça peut servir contre un attaquant on-line pour l'empêcher de vérifier plus de n mots de passe à la seconde, mais un timer fait tout aussi bien.

Démontrez un rapport "Il suffit de voir les critères pour l'attribution de sha3"!
Ce sont les présentations du NIST aux différentes conférences SHA-3 autour de CRYPTO des années précédentes. Ils se sont basés sur un article qui comparait les performances des implémentations hard des différents finalistes et ont choisi le plus rapide, à savoir Keccak. Par contre ça n'a sans doute rien à voir avec une quelconque facilitation de brute-force de mots de passe.

Même si c'est mieux pour la sécurité en ralentissant fortement le brute-force, on ralentit la phase d'authentification d'un même facteur (typiquement avec une fonction de hachage sha* itérée plusieurs centaines de fois, ou bien avec des fonctions dédiées lentes). Je doute qu'en pratique nombre de sites webs à sécurité raisonnable (ex: les services google) utilisent ces fonctions vu le nombre d'authentifications qu'ils doivent supporter à la seconde.

Quand tu fais l'objet d'une enquête, tu as le droit (de l'homme) de ne pas témoigner contre toi-même, c'est-à-dire de ne pas t'incriminer.

T'aurais pas du sang américain, un peu cow-boy, façon Bush attaquant l'Irak dans les veines :-D ?

En tout cas c'est une drôle de conception de la diplomatie…

Wikipedia semble dire qu'il y a 40 k personnes qui travaillent à la NSA. Cela dit, mon chiffre est exagéré, j'ai confondu "plus gros employeur de mathématiciens au monde" et 10 000 :-)

Cela dit avoir 10 000 personnes sur la cryptologie, mathématiciens et ingénieurs confondus, n'est pas un ordre de grandeur absurde.

Il voulait parler du brute-force des mots de passe, qui sont toujours hachés (enfin qui devraient).

Il veut dire que le finaliste choisi était rapide en hardware, sans doute pour pouvoir casser des mots de passe plus facilement (les fonctions de hachage servant au stockage des mots de passe).

Cela dit je n'achète pas cette explication :)

Tu oublie que si la NSA a trouvé une faille, ça veut dire que n'importe qui peut le faire.
N'importe qui qui y met les mêmes moyens (c'est-à-dire, rien que pour les algorithmes de cryptographie/cryptanalyse, 10000 mathématiciens)… Ça représente pas mal de ressources tout de même !

qui ne révèlera rien sur les capacités opérationnelles (casser les chiffrements ou non) des services secrets à l'origine de ton arrestation.

C'est déjà le cas aux USA (je n'ai plus le lien en tête, j'avais vus ça cité par Slashdot) : les terroristes sont arrêtés lors d'un contrôle de police fortuit et routinier, comme par hasard, quand en fait ils étaient traqués et écoutés et que les services d'espionnage savaient qu'à cette heure-là ils étaient en train de transporter quelque chose qui pourrait les incriminer. Le seul truc c'est que l'écoute était illégale, et que donc ils n'auraient pas pu être arrêtés de ce seul fait.

Hypothèse : personne ne s'est demandé, d'ailleurs, ce que foutait la douane dans un bus à Marseille quand elle est miraculeusement tombée sur Nennouche ? Incroyable n'est-ce pas, l'homme le plus recherché de France qui tombe dans un banal contrôle douanier alors qu'ils recherchaient quelques grammes de cannabis.

je dirais même le logement en général et mériterait d'être revu
Ben surtout c'est l'organisation de la France autour de la région parisienne qui mériterait d'être revue. Le logement peut se faire à des prix corrects dans et autour des villes moyennes (300 000 habitants par exemple), qui devraient avoir de bien meilleurs bassins d'emplois qu'elles n'ont en général comparé à d'autres pays (en Allemagne, chaque ville de 20 000 habitants a sa PME de 1000 personnes qui exporte et participe fortement au bassin d'emploi local avec quelques sous-traitants).

Mais ensuite, où trouver l'argent que les wannabe actionnaires n'investiront plus ?

La diplomatie, ça concerne aussi et surtout celui qui va sortir l'artillerie (judiciaire en l'occurrence). Visiblement, Microsoft n'a pas contacté no-ip.

grace à la tonne de petit boulots inutiles inventés pour occuper les chômeurs
Références ? Et inutiles en quoi ? Il vaut mieux parler à un automate en sortant de l'aéroport plutôt qu'à un local ? Ce ne sont pas des boulots utiles pour les étudiants par exemple ? Ça vaut mieux que les stages français payés à coups de pieds dans le derrière ?

une dette de 200% du PIB.
Depuis longtemps, et ça ne les empêche pas de rester la deuxième économie mondiale :)

Le taux de chômage officiel est à 7% quand même, pas de quoi pavoisser.
C'est bien mieux que la France et ses 10,4%, et surtout il descend depuis 2009. Comme quoi ils se sortent de la crise, malgré un nombre d'heures de travail par personne et par an bien supérieur à celui de la France.

Et sinon, la Nouvelle-Zélande, tu en penses quoi ?

Voire l'Allemagne, tient ;-)

Japon, Canada, Nouvelle-Zélande par exemple ? Voire Corée du Sud. Je ne cite pas les États-Unis par peur de la polémique, ni l'Australie puisqu'ils vendent leur sous-sol à la Chine, ni la Suisse parce qu'on pourrait les considérer comme des parasites, mais ça pourrait presque.

Bien sûr il ne s'agissait pas, dans mon propos, du Luxembourg, de Monaco ou des îles Caïman.

Pourtant, nombreuses sont les sociétés qui sont encore plus automatisées que la société française, qui ne sont pas encore passées aux 35 heures ni aux 5 semaines de congés payés, qui ont un niveau de vie supérieur à celui des français et qui ont un taux de chômage bien inférieur…

Arf… ce mépris, ça commence à me gonfler.
Désolé ce n'est pas mon but.

Est-ce que le cas d’un défaut du cache d’instruction est facilement atteint avec un code&CPU “standard” ?
J'ai dû mal m'exprimer. La réponse est non : le principal problème d'une appli standard codée de manière standard est le cache de données.
Après tout est dans le 'standard', bien sûr.

Merci à lasher pour son commentaire qui est bien plus éclairant que les miens.

Ben ils coûtent si ils sont instantiés plusieurs fois, mais si on les instantie plusieurs fois c'est qu'on aurait fait pareil sans template, non ?

En plus le principe de faire de grosses fonctions n'est pas terrible, surtout pour les appeler alternativement sur des types différent. Ça dénote une conception bizarre du logiciel.

le C++ aussi, non ?