khivapia a écrit 2562 commentaires

La loi dit "est passible de X euros d'amende et de Y ans de prison le fait de consommer des stupéfiants". Pas "le fait de se faire prendre".

Sisi, c'est l'article 0 du code pénal, bien connu chez les avocats et les fiscalistes : "Pas vu, pas pris."

garde plutôt ce qualificatif pour les gens qui font de la fraude fiscale ou qui dealent du crack.

Ou qui se paient des prostituées mineures…

Il fait donc partie des rares logiciels un peu complexes ET vraiment ancien.
Il y a quoi comme autres exemples ?

Microsoft Windows ?

---------> []

Ce seront les professeurs de maths (qui faisaient les TD de Maple) qui feront l'enseignement ? Si oui, sont-ils "au niveau" ? De ce que j'en avais vu, beaucoup ne connaissaient qu'assez peu l'informatique au sens algorithmique et programmation, et leur usage d'un PC se limitait aux à un tableur pour les notes et l'utilisation de Maple pour les TD.

et iwlist scan

Si je ne dis pas de bêtises, il ne faut pas passer march=native à gcc, mais laisser le noyau gérer lui-même les flags (on peut choisir la génération de CPU dans les options de config).

C'est dangereux de passer march=native puisque le noyau n'utilise pas bon nombre de registres SSE, et ne respecte donc pas la convention d'appel (faut-il les sauvegarder ou non lors d'appels de fonctions ?) pour ceux-ci (il suffit de faire un ps a |grep gcc pour voir précisément quels flags sont passés à gcc pour la compilation, et en général il y a plein de -mno-sse -mno-avx etc. etc.). Passer march=native à gcc active justement ces flags !

D'un autre côté l'inverse est aussi vrai : quand on est à Paris, on a rarement besoin de posséder une voiture, et on peut économiser pas mal sur ce poste de dépenses dans le budget familial.

Bin surtout ils ont l'air de dire : tout sauf windows.
Après que veux-tu utiliser d'autre qu'un OS de type Unix sur des PC ?

Les pertes de donnees ca arrive partout, les annees 90 c'est pas les annees 2000, les societes murissent, s'organisent mieux…

Franchement conserver seulement 4 kilo-octets, on sait faire depuis l'antiquité égyptienne, et même avant. C'est du pipeau, surtout avec une clef de cette importance.

Tu remarqueras que les versions recentes de l'OS n'ont pas de clefs de backup.

Je n'en saurai jamais rien, je n'ai pas les sources ;-)
Et l'obfuscation (en particulier de la vérification de la licence) c'est aussi une partie du métier des vendeurs de logiciels propriétaires (et de la NSA :-p)…

Tiens d'ailleurs, au sujet du BSI, je ne résiste pas à te citer leur :
"Hierzu gehören Anwender, die sich aus verschiedenen Gründen nicht um die Sicherheit ihrer Systeme kümmern können oder wollen, sondern dem Hersteller des Systems vertrauen, dass dieser eine sichere Lösung bereitstellt und pflegt."
C'est-à-dire : si vous faites confiance au fournisseur du système (windows 8 + TPM), alors ça augmente votre niveau de sécurité (ressenti).
Bizarrement, eux (le BSI) n'ont pas cette confiance, et ne la recommandent pas à l'industrie allemande (et encore moins au gouvernement, comme je te l'ai cité ci-dessus). Tu auras beau jeu de dire que ça concerne les TPM, ça concerne surtout Windows 8 + TPM 2.0

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Windows_TPM_Pl_21082013.html;jsessionid=5F95A9EB2307BDADF689B6907EA4F378.2_cid359

Les allemands et les francais utilisent Windows dans leur departement de la defense depuis plus de 10 ans, ca suffit pour voir a quel point ils en ont peur…
Tu penses sincèrement qu'ils l'utilisent partout, y compris pour les plus hauts niveau de sécurité ? Non parce que sinon (discussion de bas étage), il suffit qu'il y ait un cuisinier allemand dans une base militaire qui utilise un système de gestion de stocks de nourriture pour la cantine basé sous windows pour dire que le ministère de la défense allemande utilise windows, hein…

Tiens et sinon, les allemands en reviennent, pour toutes leurs administrations centrales : http://www.wpcentral.com/german-government-calls-security-within-windows-8-unacceptable-continues-switching-their-machines

Tu es le seul ici a dire que d'autres industriels americains exportent des produits compromis par la NSA et qu'ils le savent/ont collabore.
J'ai cité IBM avec Lotus Notes. En remontant plus loin, IBM avait poussé le standard DES qui était volontairement affaibli par la NSA (clef de 56 bits au lieu de 64, soit 256 fois plus faciles à péter). Accessoirement, tous les services en ligne (donc offerts à l'étranger) d'industriels américains renommés (y compris ceux de Microsoft) sont accessibles à la NSA, d'après les documents fuités par Snowden.

Sans déconner, la première clef serait détruite par inadvertance ou perdue ? Et il faudrait utiliser la deuxième, qu'on met donc en double chez tous les clients ?? Tu ne te foutrais pas de tous ceux qui suivent la conversation (et de moi en particulier) ?

Si la première clef, qui sert régulièrement (grosso modo à chaque mise à jour, pour les signatures), qui fait maximum 4Ko (c'est large) et peut donc être stockée sur deux feuilles A4 dans 36 banques différentes, est perdue, que dire de la deuxième, qui selon tes dires n'aura servi à rien jusqu'ici ?

Et Microsoft ne serait pas capable de conserver ne serait-ce que 4 kilo-octets aussi sensibles ?

Ben dis moi, vous étiez mauvais à ce point chez Microsoft à l'époque ? Il ne me semble pas avoir entendu parler de beaucoup de mails détruits chez les utilisateurs hotmail, par exemple… Et ça représentait un peu plus que 4 Ko.

Marrant, ma vision du monde comme tu dis est partagée par de nombreuses administrations qui bossent dans la sécurité autour de la planète (l'ANSSI qui développe un système sécurisé multiniveaux pour la bureautique ne fonctionnant pas sous Windows mais en maîtrisant l'intégralité des sources, le BSI allemand qui sponsorise Coreboot http://www.coreboot.org/Sponsors ce n'est pas pour rien), le monde de la sécurité qui travaille toujours en partant de l'hypothèse que tout ce qui n'est pas prouvé sûr est vérolé, d'autant s'il y a un soupçon raisonnable…
Je te laisse la tienne, Microsoft-centrique :-p En gros, d'autres industriels américains exportent des produits compromis par la NSA au monde entier, mais pas Microsoft, juré craché, c'est un employé qui le dit.

Si la première clef n'est pas révoquée, autant continuer à l'utiliser, même si elle est compromise, et pas besoin d'une deuxième clef.
De plus si elle n'est pas révoquée, sitôt compromise elle permet à tous ceux qui l'ont de générer des signatures pour les binaires (potentiellement vérolés) de leur choix.

La deuxième clef n'apporte alors aucune sécurité supplémentaire. Elle n'est donc pas de backup.

De plus cette deuxième clef sert à générer des binaires avec une signature valide, donc acceptée par le système. Elle est bien cachée dans le système et distribuée très largement (donc pas seulement pour des besoins internes à telle ou telle administration). Elle sert donc à pouvoir installer des binaires sur à peu près n'importe quelle machine Windows de la planète.
Et ce n'est pas une backdoor ?!?

Note : pour bien nous comprendre, on ne perd jamais une clef au sens "l'oublier", "avoir perdu l'unique papier sur lequel elle était écrite" ; surtout une clef de cette importance, qui sert très régulièrement. C'est un peu comme si le GIE cartes bancaires perdait sa clef privée de génération de signatures de nouvelles cartes : comme tu le dis toi-même, la logique industrielle derrière (pour l'utilisation d'une nouvelle clef) serait tellement lourde que ce n'est pas envisageable.

Oui, je suppute, mais c'est étayé. Il est arrivé de façon certaine que la NSA et/ou le FBI a demandé à d'autres boîtes leurs clefs privées. Pourquoi pas à Microsoft du coup ?

Que MS les ait donne, bcp moins.
En même temps Microsoft n'a pas mis la clef sous la porte, contrairement à Lavabit, à qui l'administration US a demandé les clefs privées.
Peu de chances pour que Microsoft ne se soit pas vu, depuis longtemps, demander ce genre de données. Et ils n'ont pas fermé…

disant que les societes US donnaient quoi que ce soit de ce genre a la NSA
Ils donnent déjà tellement de trucs dans le programme PRISM, ils ne sont pas à une clef privée près. D'autant que la NSA sait à peu près garder ce genre de choses pour elle.

Tu sais, en France (mais ailleurs aussi) on condamne sur l'intime conviction des juges, pas forcément avec des preuves :-p

Et surtout, un faisceau d'indices concordants suffit à déclencher une enquête.

Après, mes hypothèses sont fondées. La collaboration de la NSA avec de grands industriels américains est fondée, avec Microsoft sur certains sujets aussi, et elle s'étend donc à tout Microsoft jusqu'à preuve du contraire.

Donc l'existence de la deuxième clef n'est pas un backup, vu que la première perdue ne sera pas révoquée.

C'est donc bien une backdoor.

Non, ça parle d'autre chose :-)

la NSA_key, c'est plus haut. Ici, c'est le fil sur le générateur d'aléa inefficace et standardisé, mais troué, qui a été choisi par Microsoft malgré son inefficacité, et pasBill pasGates veut nous faire croire que puisque la faille a été trouvée par deux chercheurs de chez Microsoft (Research), c'est que Microsoft a implémenté le standard inefficace ingénument.

J'estime pour ma part que Microsoft Research est assez indépendant (intellectuellement) pour que ses chercheurs publient ce qu'ils veulent indépendamment des produits Microsoft.

D'autre part, vu l'inefficacité du générateur d'aléa (retraiter de l'aléa à partir de procédés asymétriques, non mais franchement, et en utilisant un standard qui a des constantes magiques, franchement bis), ça n'enlève rien à l'hypothèse que soit les ingés crypto de Microsoft ne captent rien à la sécurité ni aux performances, soit on leur a imposé le standard (et sans aucun doute par la NSA, dans ce cas).

Phoronix fait ses tests dans des configurations stock out of the box par défaut, et donc avec les variations automatiques de fréquence par défaut (régulateur ondemand).
Les développeurs du pilote libre radeon, et en particulier Marek Olsak (payé maintenant par AMD) qui était intervenu sur le forum de phoronix, font toujours leurs tests à la fréquence max.

Pour être plus clair, la simple utilisation de la clef de backup soit entraîner immédiatement la révocation de l'ancienne et la diffusion de cette révocation à tous. Les deux ne pouvant donc plus être utilisées ensemble.

C'est peut-être vrai dans certaines boîtes, mais pas dans toutes.

Exemple : Airbus avec l'A-400-M, où pour caricaturer les commerciaux ont cru vendre un simple avion peint en vert, ont décroché le contrat, se sont versé des bonus et sont partis en refilant le saucisson aux ingénieurs, qui galèrent et ne sont pas augmentés, parce que maintenant le management se rend compte que le programme va leur coûter cher et taille dans les dépenses.

Ben moi je fais des hypothèses plausibles sur certains aspects techniques des rapports de Microsoft avec la NSA, au vu de ce qui est prouvé (une collaboration avérée sur de nombreux aspects) pour Microsoft et de ce qui a été prouvé pour d'autres boîtes (une collaboration avérée sur les aspects, en particulier crypto, avec d'autres boîtes genre Lotus Notes).

Je le corrèle aux métiers respectifs de Microsoft (vendre) et de la NSA (espionner le monde entier), aux aides que la NSA a fourni à d'autres industriels américains (Boeing n'étant qu'un exemple certain).

Bref j'étaye, et tu m'accuses d'affirmer gratuitement ?!?

Tu n'as jamais entendu parler du concept de révocation ?

Et des principes de Kerckhoff, qui disent clairement que une clef correspond à un unique service et réciproquement ?

Avoir deux clefs valides en même temps est une absurdité d'un point de vue cryptographique, point.