khivapia a écrit 2562 commentaires

n'importe qui d'autre peut le faire aussi si il est assez interesant pour les vendeurs de carte mère
Ça ne ressemble pas à une histoire de, euh, position dominante ça ? Voire d'abus ?

Ben en cryptographie, un algo n'est pas considéré comme cassé quand n'importe qui peut le péter dans son salon / garage, mais quand une attaque montre que sa sécurité est inférieure à la sécurité "nominale" (aka recherche exhaustive de la clef symétrique, dans le cas symétrique).
Ça mine la confiance qu'on peut avoir dans l'algorithme. D'autant que les attaques ne font jamais que s'améliorer.
Enfin, l'ANSSI recommande, dans son guide concernant le choix des mécanismes cryptographiques http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf de ne pas utiliser un algorithme où une faiblesse (même minime) a été trouvée.

Au sujet des courbes elliptiques standardisées par le NIST (et donc la NSA), pour que les gens comprennent de quoi il retourne : on est loin du principe "les nombres utilisés n'ont, par construction, aucune propriété cachée" (voir http://en.wikipedia.org/wiki/Nothing_up_my_sleeve_number ).
En effet, aucune justification sur le choix de ces courbes n'a été donnée.

Tu prends 256 bits, c'est suffisant en symétrique si l'algorithme de chiffrement est bon (donc pas l'AES 256, cf http://eprint.iacr.org/2009/317 ).

Ben historiquement c'est complètement vrai pour les standards :
* les clefs du DES réduites à 56 bits au lieu de 64
* quand ça commence à trop se voir, hop, un concours AES public pour "renforcer la sécurité" (mais sur objectif de performances en premier et pas tant de sécurité, et en plus en laissant le choix à la NSA, de pouvoir prendre le cryptotystème qu'elle se sent la plus à même de casser) ; de toutes façons la sécurité repose de plus en plus sur les clefs publiques ;
* du coup, en même temps, sortie d'un standard de cryptographie à clef publiques qui impose l'objet mathématique sous-jacent (courbes elliptiques standard du NIST ; elles ont été choisies, mais les critères de conception ne sont pas publics ; ils n'ont pas pris de méthode comme Brainpool www.ecc-brainpool.org pour laquelle on est sûr qu'il n'y a pas de backdoor "mathématique")
* et pour finir, des générateurs d'aléa standard aussi étonnants qu'un générateur peu efficace et avec de possibles backdoors mathématiques

Avoir les sources permet de remplacer les mécanismes en lesquels on n'a pas confiance (le générateur d'aléa, au hasard, cf http://eprint.iacr.org/2007/419 )

128 bits sont plus proches de 3000 bits en RSA / Diffie-Hellman sur corps premier.
L'ANSSI recommande de toutes façons d'utiliser un module de taille 4096 bits (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard).

Oui enfin le contenu est intéressant aussi… Dix fois plus d'ailleurs, si on compare le coût de PRISM (25 M$) à celui du programme BullRun (250 M$).

commences a apprendre de quoi tu parles avant de passer pour un clown.
Bon je ne cherche absolument pas à insulter qui que ce soit, mais ça m'a fait penser à cette phrase de Courteline :
"Passer pour un imbécile aux yeux d'un crétin est une volupté de fin gourmet".

Bref.

où ils parlaient de rénover l'interface.
N'ont-ils pas récemment intégré l'interface qui avait été développée par IBM pour le fork d'OpenOffice.org, Lotus Symphony ?

<mode pbpg on>
"7 et 8 ne sont pas encore arrive dans mon entourage"
Ah ben justement, c'est là que toutes les failles de sécurité ont été corrigées
</mode>

l'ouverture du code
Change tout au contraire (enfin surtout sa licence).
D'une, ça favorise la diversité (deux systèmes basés sur Linux ont peu de chances de faire tourner la même version du noyau, ni qu'il ait été compilé avec les mêmes options, par le même compilateur, avec les mêmes options de base), qui augmente fortement la complexité d'écriture d'un malware Linux-universel.
De deux, ça permet aux utilisateurs qui le souhaitent d'améliorer leur sécurité, justement en recompilant avec un autre compilateur, en modifiant certaines options, en ajoutant leurs propres patches, etc.
Mais sinon, en effet, avoir les sources sans avoir le droit de modifier et déployer les versions modifiées n'a aucun intérêt. De toutes façons, on est prisonnier du bon vouloir de l'éditeur. La sécurité dépend donc entièrement sur lui, et seul lui est à blâmer des failles de sécurité.

septique
Tel la fosse, propre et bien nettoyée :-)

Tu voulais peut-être dire "sceptique" ?

un peu moins sécurisé que AES, mais bien plus rapide même en monothread (et sans doute même avec les instructions AES).
ruby
ssh -c arcfour myname@myhost

D'expérience, sur des processeurs x86, je n'ai rencontré de limitation avec le chiffrement par défaut (AES128-CTR) qu'avec des processeurs lents (AMD Geode LX à 500 MHz, qui plafonnait à 2,5 MB/s ou sur des réseaux gigabit avec un Intel Atom D510 qui plafonnait à 15MB/s et un processeur Sandy Bridge Celeron qui plafonnait à 40 MB/s.
Avec des processeurs de bureau, même "un peu" anciens (4 ans) ce n'est pas le chiffrement qui limite mais le réseau.

Bref est-ce que ce projet est vraiment pertinent en utilisation réelle mis à part sur des réseaux hautes performances (>= 10GB/s)

Sans la fraude, la dette aurait été moins importante.
Oui, c'est ce que je voulais dire. Sans fraude, la crise aurait peut-être pu être évitée.

Pour qu'il y ait responsabilité, il faudrait que la crise soit inévitable en cas de fraude fiscale.
Ou plutôt que la crise soit évitable en l'absence de fraude fiscale, ce qui n'est pas la même chose.

Cela limite aussi la déflation (la monnaie prenant trop de valeur, on aurait intérêt à la stoker et attendre).
Ça je n'ai jamais compris le problème. C'est déjà le cas pour un particulier : il a plus intérêt à placer son argent sur son livret A + livret DD + PEL (en France, rémunérés au-dessus de l'inflation) plutôt que de dépenser, et pourtant la proportion de ces livrets qui sont au plafond est faible et on n'entend pas parler de déflation.

Oui, mais d'une ça se voit (une asso loi 1901 a l'obligation de rendre des comptes à ses membres, et pas seulement sur le plan financier), et de deux il y a un contre-pouvoir (par celui qu'exercent les membres, justement).
Après on peut toujours abuser d'un système, et trouver des gens qui abusent dans tous, mais les salaires dans les mutuelles françaises n'atteignent pas les sommets de ceux d'une autre association bien connue ici, la SACEM.

le débat sur la technocratie (que je réprouve)
Précision : je réprouve la technocratie, pas le débat :)

j'en cite quelques-unes pour le débat, mais c'est trop long pour complètement débattre :) il y en aurait trop.

Tout se résume ici :
avoir des allocations chômage correctes participe à un rapport de force en faveur des travailleurs
moi je les vois avant tout comme de la solidarité avec ceux qui ont eu la malchance de perdre leur emploi (sauf pour faute lourde, faut quand même pas déconner quand le gars fait des bêtises exprès). C'est mon avis, et je le partage. Et je préfère largement ça à une histoire d'animosité.

Après on peut toujours troller…

l’idée même de la négociation qui suppose une confrontation et un rapport de force
Ben pour moi la confrontation et le rapport de force, c'est justement l'inverse de la négociation, mais plutôt la loi du plus fort (ça doit être ça que tu appelles fascisme). La négociation consiste plutôt à trouver un accord satisfaisant pour tout le monde.

en conséquence de quoi ils sont parfaitement légitimes à prendre des décisions démocratique la concernant.
En fonction de leur niveau de compétence uniquement. C'est différent d'une démocratie où toutes les voix sont équivalentes.

Fondamentalement c’est très raisonnable comme proposition
Sur le papier, comme toujours. Ça a été essayé dans je ne sais plus quelle grosse boîte industrielle (saint-gobain peut-être ?), avec un fort taux d'actionnariat salarié. Quand la boîte a commencé à subir des pressions (économiques) pour délocaliser, même les ouvriers ont voté pour la délocalisation, perdant leur emploi pour sauver la boîte (dont ils étaient propriétaires). Bref ça n'a pas changé grand-chose.

fondamentalement le patronat n’aura aucun intérêt à une politique de lutte contre le chômage.
Tu ne connais pas les mêmes patrons que moi alors. S'il s'agit de ceux dont parlent les médias pour s'en offusquer, peut-être. Sinon, j'en connais plusieurs (notamment dans des petites boîtes) qui sont attachés à leurs employés et se payent autant qu'eux. Leur but n'est pas de baisser les salaires, mais avant tout de faire tourner la boîte, de préférence le mieux possible. Et le mieux, ça n'est pas de faire un max de thunes, mais de fournir un service qui convienne aux clients et d'organiser le travail de leurs salariés pour cela.

pour l’instant mon choix politique est conforme à ma situation sociale actuelle
Penses-tu que ton choix politique soit le meilleur pour la société, ou bien fais-le tu dépendre seulement de ta situation à l'instant t ? Ça n'est pas clair dans ta phrase, elle laisse penser que tu ne recherches dans la politique que ton intérêt, pas le bien commun.

Le profil d'un candidat pour une secte est quelqu'un qui a une haute estime de ses facultés intellectuelles
D'autant plus que s'il est intelligent, il doit avoir un peu de pouvoir et de l'argent. Choses qui intéressent particulièrement les sectes (gagner de l'influence et de l'argent).

Les technocrates, vu la corruption élevée, et vu l’incitation à la corruption qu’entraine un système technocratique, sont d’office écartés de tout système politique intéressant.
Loin de vouloir suivre le débat sur la technocratie (que je réprouve), mais pour ça il suffirait qu'ils aient un bon salaire, de lourdes peines, et une police indépendante et efficace.

on élit des représentants qui deviennent experts sur les sujets.
Alors là, non, on élit des représentants qui auront l'autorité et trancheront. En écoutant l'avis des experts (espérons), mais ça ne veut pas dire qu'ils décideront tout comme les experts le recommandent. On les élit pour qu'ils assument l'autorité, en espérant qu'ils soient bons "gestionnaires".
Mais il est faux de croire qu'ils deviennent experts, ou alors seulement en manœuvres politiques : on ne devient pas expert dans un domaine en un mandat. Encore moins quand on voit que les fonctions occupées varient souvent au fur et à mesure des mandats et des charges politiques.

où les charges sociales afférentes sont payées
C'est bien ce que reproche la cour des comptes.
Quelle est la frontière entre avantage d'entreprise et abus de bien social, là est toute la question.

son but sera de rémunérer ses actionnaires
Si c'est une compagnie d'assurance, oui. Si c'est une société mutualiste, non. Nombreuses sont les mutuelles qui sont basées sur le principe de la solidarité.