Journal TCPA et palladium

Posté par (page perso) .
Tags : aucun
0
11
jan.
2003
Après tout ces articles je ne sais trop quoi en penser... (pas de palladium, mais du fait que ça va passer ou pas)

Donc, je prends un exemple.
<mode>
Dans un futur proche, j'achète légalement Windoze XP et micro$oft money, afin de faire ma compta comme le premier imbécile venu qui veut se mettre à l'info "grand public".
Et donc avec cette technologie, ils vont pouvoir vérifier si les versions que j'ai installées sont légales (donc dans mon cas oui)...
Néanmoins j'avoue avoir qq doutes sur le fait qu'une partie du programme (je me place dans le cas de l'utilisateur lambda) ne vienne inspecter mes comptes (par exemple), et ce n'est qu'un exemple.
</mode histoire>

En gros, ce que j'ai dit reflète-t-il bien la situation ?

Ce qui me démonte, c'est qu'en plus cette technologie est en train de passer dans l'indifférence générale => je suis étudiant en IUT, et j'ai la sensation que la plupart de ma promo n'est même pas au courant de ce qui se passe... affligeant quand on suppose qu'ils sont censés s'y connaître en termes de web...
Donc je n'ose pas imaginer au niveau du grand public...

Qu'est-ce que Palladium ? Un spyware ? Un trojan ? J'hésite...
(Ca me fait penser au film "Antitrust"...)

Et pour finir cette prose, je citerai une phrase du Commandant Sylvestre (des guignols de l'info) en cours d'économie libérale :
" Vois-tu 6200, on n'emmène pas les gens à l'abattoir, c'est les gens qui vont y aller tout seuls comme des grands."

Malheureusement, j'ai l'impression que ça caractérise bien la situation.

A+
Nico

P.S je ne peux pas répondre si un débat est lancé (manque Xp), mais n'hésitez surtout pas à réagir à ce que je viens d'écrire.
  • # Re: TCPA et palladium

    Posté par . Évalué à 10.

    Hum, tu devrais lire mon enfilade sur fr.comp.securite sur le sujet, il y a enormement d'amalgame entre TCPA ( une idée pas mauvaise au demenrant ) et une horreur Palladium.

    TCPA, n'est qu'un jeux d'instruction en plus dans le BIOS ou le CPU, ou pourra surment faciliter et accelerer l'addoption du cryptage ( generateur de nombre aleatoir hardware, RSA et SHA1 en standar dans la puce, etc etc ... ) , rien n'obligera de l'utiliser ou méme de lancer quoi que ce soit dans un espace de confience. TCPA et le TPM n'effaceront pas les MP3, le principal risque qu'on peut y voir c'est qu'un fabricant comme Sis qui fabrique des cartes mére pour P4 sans licence, ne pourra jamais faire certifiés son hardware ou integrer TCPA dans celui-ci ( je sais c'est déjà pas mal ).

    Apres on a palladium, palladium utilisera TCPA pour assurer ses arriére , TCPA permetra de lancer palladium et les applications palladium dans un espace de confience ( on pourra dumper ou debugger les applications dans cette espace ), car Palladium c'est un moyen de doubler le TCPA, avec palladium la seul Autorité de confience c'est microsoft pour de choix de salut ou d'alternative ! et pas question de ne pas l'utiliser comme TCPA.
    D'un systéme de certification du hardware et de son integrité on passe a un systéme intrusive ou MS decide de qui a le droit de faire quoi sur sa machine, et ou il ne sera possible de presque rien faire si vous n'utilisez pas palladium.

    TCPA en soit ne represente pas un risque nettement plus important que le n° de serie du pentium, sauf qu'il sera surment beaucoup plus utile, et que si vous ne l'avez pas vous etez automatiquement premunie de palladium :-), par contre les services et les programmes palladium represente un réelle risque, c'est pourquoi la seul solution a addopter est de refuser leur utilisation, Passport et Hailstorm sont morribont car personne ne souhaité le utiliser malgrés les grands effort de MS a coups de loterie d'habonnement gratuit etc etc si vous creiez un compte passport, la liste des sites utilisent cette m... est ridiculement courte.
    Si demain tous le monde prefére utiliser un client Helix DNA ( de realnetwork qui n'est pas libre je sais mais c'est pour prendre le moin pire des systéme de gestion des droits d'auteur ), au lieu de Windows media player 9 palladium pour lire ses bande annonce sur le web, et ecouter des morceaux a la demande ( oui moi aussi je crois pas en ce mode de distribution ), alors palladium se cantonera aux produit MS.

    Pour resumer, TCPA n'effasera pas vos MP3 et ne vous empechera surment pas de ripper des DVD ( a moin que le firmware de votre lecteur soit modifier pour n'etre utilisable que par un OS certifié puis que celui n'autorise les acces DVD qu'aux programme certifiés, etc etc ce qui n'est clairment pas dans l'interet du fabricant de lecteur DVD et qui lui coutera une petite fortune et generera des problémes sans fin, puis mauvais lecteur changer lecteur ), par contre palladium lui pourra étre tous puissant sur vos donnés puisque c'est votre OS méme qui vous echape.
    • [^] # Re: TCPA et palladium

      Posté par . Évalué à 1.

      il fallait lire "on ne pourra pas dumper ou debugger les applications en executions dans cette espace"
    • [^] # Re: TCPA et palladium

      Posté par . Évalué à 1.

      il fallait lire " on ne pourra pas dumper ou debugger les applications qui s'executeront en espace de confience "
    • [^] # Re: TCPA et palladium

      Posté par . Évalué à 1.

      Arrrgh !

      On est mal barré.

      TCPA et Palladium, c'est la même chose ! Tcpa est axé hardware, Palladium soft !

      Palladium peut être implémenter sur TCPA.


      Pour resumer, TCPA n'effasera pas vos MP3 et ne vous empechera surment pas de ripper des DVD
      Là tu te gourre complétement ! Tu n'as pas lu les "revocation list" en gros il y a des liste de : materiel plus reconnu, de document à détruire, de programme à lancer AVANT de permètre le boot de la machine (ou pour que la machine est ses fonctions tcpa en route).

      lit ça: http://www.cypherpunks.to/TCPA_DEFCON_10.pdf(...)
      Et arrète de minimiser TCPA. Le problème est la fichu clef secrète embarqué qui oblige à faire plein de truc sur ta machine que tu ne peux controler !

      "La première sécurité est la liberté"

      • [^] # Re: TCPA et palladium

        Posté par . Évalué à 2.

        Tu a lue les spec de TCPA ? du a lue les details de transmition des CA et autres ?

        Les FAQ actuel contre TCPA et Palladium sont bourrés des fautes et d'amalgames et je pence que c'est deservire la cause de propager de fausses idées.

        TCPA n'est pas le pendant du palladium pour le hardware, le Palladium a été mit au point par MS en sens basent sur la technologie TCPA pour doubler celle-ci car le chemin prix par TCPA ne plait pas specialement a MS.

        TCPA pourra étre deactivé, en aucun cas un hardware ne fonctionnera pas sans TCPA, c'est ecrit noir sur blanc dans les spec !
        La revocation list est une liste que fournit l'autoritée de confience de ta plateforme pour definit quel implementation TCPA sont de confience, en soit qu'une plateforme soit de confience ou pas ne change rien, c'est ce que tu va pouvoir faire avec ces informations qui change tous !
        Pour le moment l'autoritée de confience pour le PC n'est pas formé mais rien n'interdit dans l'absolue qu'une autoritée independante se developpe, elle ne sera pas reconnue par la premiére mais la n'est pas le probléme... ( palladium ne fonctionnera surment que sur du hardware certifié de confience par l'autoritée du consortium a la base de TCPA ).
        De plus TCPA fournit de base de puissantes fonctions de cryptage qui ne sont pas a neglier, que l'on utilise les fonctions de confience ou pas de TCPA.

        En ce qui conserne les documents a detruire et autre, c'est des connerie TCPA ne gére pas les disques les FS ou méme la gestion fine de la ram, c'est l'OS qui le fait !
        Tous ce que fait TCPA c'est garentir si on le veut qu'un OS de confience, est bien l'OS de confience non modifié, point barre.
        Encore une fois il sera possible d'utiliser son AC voir plusieurs AC pour cette partie appellée "root of trust for stocking and integrity check".

        Le trucs c'est palladium, palladium va profiter de cette technologie pour se garentire que l'OS n'est pas modifier, que tous ses elements sont conformes aux binaires de MS, via des fonctions palladium, grace aux machanisme de cryptage integrée va créer un espace mémoire et d'execution de confience ( cad cryptées, donc temps bien méme l'OS puisse étre detourné pour dumper cette espace mémoire, les donnés seront inutilisables ), et faire un peut ce qu'il veut en matiére de restriction, et autre celon les bon vouloir d'une seul AC irrevocable Microsoft !

        C'est palladium qui failliotera auprés de MS, c'est palladium qui dira a disney que vous n'utiliez pas WMP 9 palladium edition, sur Windows palladium, et accessoirement sur un hardware non palladium, pour qu'il vous refuse le streaming video cryptée.
        C'est palladium qui va gerer les AC et les clées de ces méme systéme de diffusion cryptés et non TCPA.

        TCPA n'est qu'un outil contestable certe, mais rien n'interdira a RedHat de créer une AC RedHat pour certifié que votre distrib RH est integre, et que le firmware de votre carte reseau n'a pas été modifié, ce n'est pas pour cela que disney vous autorisera a decoder ses stream video.

        Moi aussi j'avais un avis trés negatif sur TCPA, jusqu'a me faire ma propre idée via la documentation, TCPA peut étre un bonne outils méme pour le libre ! Ce sont les derives de son utilisation que l'on doit reprimer, est palladium en sera ouvertement une !

        Palladium, celon les annonces de MS, pourra surment étre implenter dans des architectures de la fime depourvue de TCPA telle que les smartphone et autre hardware déjà totalement bloqués, Palladium est un systéme créé par MS parce que TCPA ne leur plait pas !
        Palladium aurait surment vue le jour de maniére moin efficasse, méme sans TCPA.

        Palladium est basé sur TCPA, mais le TPM n'est pas le probléme pour exemple le systéme d'identification par challenge de TCPA est beaucoup plus anonyme que le n° de serie de Pentium.
        • [^] # Re: TCPA et palladium

          Posté par . Évalué à 1.

          Je suis désolé, j'ai lu les spec. C'est _très_ complexe.

          Mais tu as mal lu. TCPA ne peut pas être désactivé pour l'instant. Un de ses auteurs a dis même le regréter en comparaison de Palladium qui permet de toujours faire tourner les anciennes applications.

          Currently, the specification does not permit the owner (the consumer in a home use situation, and likely an enterprise in the business case) to load an alternate trusted storage root. This, coupled with the inability to disable the “extend” capability, would prevent anyone from running an operating system of their choice. It could also prevent the use of “free” operating systems because the OS kernel would have to be signed by a entity which is a descendant of the trusted root. The difficulty and cost of obtaining such a certificate is unknown at this point. It is this capability that Ross has argued, correctly, can potentially be used to circumvent the GNU Public License (GPL).

          http://www.cs.umd.edu/~waa/TCPA/TCPA-goodnbad.html(...)

          Maintenant, la fameuse FAQ TCPA est écrite par Ross Anderson : sais-tu qui est-ce ? Je suppose que oui si tu écris sur une mailling list de sécurité. Ross Anderson est simplement l'un des chercheurs les plus reconnu au monde dans le domaine de la cryptographie.

          TCPA rend possible des softs comme Palladium. C'est la base hardware nécessaire. Un pistolet non chargé n'est pas dangeureux mais c'est très facile de le faire puis de le mettre sur une tempe.

          Le consortium TCPA control la plateforme car il controle la clef qui signe toutes les clefs contenu dans le tpm.

          cf:
          http://www.netproject.com/presentations/TCPA/alan_cox.pdf(...)

          Ou encore le speech de Stallman à propos de tout cela:
          http://ccomb.free.fr/TCPA_Stallman_fr.html(...)

          Mais je viens bien essayer de comprendre ton point de vue, mais face à Ross Anderson, Alan Cox et Richard Stallman, tu crois faire le poids ?

          "La première sécurité est la liberté"

          • [^] # Re: TCPA et palladium

            Posté par . Évalué à 1.

            Tu a mal lue toi aussi, certeinnes fonction de TCPA ne peuvent étre deactivé pour des raisons de securitée des donnés stockés dans la puce, mais a aucun moment TCPA n'interdit l'execution de quoi que ce soit, c'est simplment que ce ne sera peut étre pas jugé de confience, ne deforme pas les reproches et demande faites par Ross qui sont:

            1. Allow owners to load their own (or others) trusted root certificates, and provide the source code for tools that do so. This eliminates the ability to circumvent the GPL and permits owners to use any operating system and applications of their choice. It may, however, prevent the owner/user from viewing content that is protected.

            En effet pour le moment c'est le fabricant qui definie le root of trust for integrity metric, et donc peut imposer via celle-ci la root of trust for storing and report, ce qui est en effet un probléme.
            Il faurdrait donc que les specifications integre mieux la possibilitée de modifier l'AC racine, et que la modification de celle-ci soit ouverte au logiciel open source. Ce en quoi je suis tous a fait d'accord, méme si l'interet est limite, vue que cette nouvelle AC ne sera reconnue que par ses utilisateurs. En gros un fabircant pourrait faire en sorte d'imposer une AC qui ne reconnaitrait pas les logiciel Open source comme de confience, mais cela n'interdit pas leur utilisation , ca peut servire a les marginaliser au pire.

            2. Allow the TPM to be completely disabled. This will permit users to utilize the information device completely free of any TCPA capabilities.

            Dans le principe je suis aussi d'accord, mais si les "devices" demande TCPA méme pour fonctionner hors mode de confience ce n'est la faute que du fabricant, rendre le jeux etendus deactivable aurait limité ce risque de derive, sans toute fois les suprimer.

            3. Allow for complete privacy. Doing this, unfortunately, requires more research into zero knowledge systems, or group keying mechanisms.

            Ca c'est mal barré aussi,

            4. Work with the open source community to enable the use of TPM features. Ideally, this would include the release of example source using the TPM under an open source approved license.

            la derniére FAQ sur le TPM laisse entendre que cela serait possible si les developper libre en font la demande, je sais pour le moment ce ne sont que de bonne intentions.

            5. Hold a technical workshop for open source, privacy advocates, and security researchers. This will allow the community to better learn about the TCPA and provide better input.

            Un peut plus de transparence ne peut pas faire de mal.

            Mon point de vue n'a rien de bien etrange, comme beaucoup des personnes que tu site je pence que TCPA est interessent, ne serais que par ses fonctions de coprocesseur de cryptage qui va permettre la generalisation de celui-ci dans bien des domaines ou on l'attend encore, et je pence que le libre doit étre le premier a en profiter a par PGP aucune application utilisent le cryptage n'a decoller en 10 ans et c'est bien domage pour la defence de la vie privée.

            Je ne dis pas que le systéme est parfait, je dis qu'il est bien moin pire que ce qu'on veut nous faire croire.

            Palladium sera deactivable en effet, mais ce qui est dangereux c'est que contrairement au TCPA qui n'est pas la pour faire un internet ou des reseaux PC only, Palladium est clairement la pour creer des contenues, des sites web, des reseaux Microsoft Palladium(tm) Only.

            P.S. J'ai pas d'actions Intel ou autre.
            • [^] # Re: TCPA et palladium

              Posté par . Évalué à 1.

              TCPA est interessent, ne serais que par ses fonctions de coprocesseur de cryptage qui va permettre la generalisation de celui-ci dans bien des domaines ou on l'attend encore, et je pence que le libre doit étre le premier a en profiter a par PGP aucune application utilisent le cryptage n'a decoller en 10 ans et c'est bien domage pour la defence de la vie privée.

              ssh ? ssl ? https ?

              En plus, la crypto embarquée dans le hardware est surtout là pour emmerdé le POSSESSEUR de la plateforme.

              M'enfin, à quoi sert d'avoir une zone de protection mémoire spécial qui empèche l'acces même par l'os ! (c'est palladium mais bon). C'est bien pour empécher le posséseur de la plateforme de coller un debuggeur sur le programme !

              En quoi un virus ou un vers serait empécher de faire un buffer overflow sur une telle application ?

              TCPA va simplement interdire l'anonyma. Et faire une gestion des droits concernants l'utilisateur par rapport aux programmes qu'il a sur sa machine. Ou est l'augmentation de la sécurité ?

              TCPA fait des Hash de la pile d'execution et alors ? La gusse en fasse, vendeur de mp3, va dire : pile accepter windows + media player 12 point barre ! Comment veux-tu qu'il gère toute les combinaisons ? Si il s'agit d'une entreprise qui veut controler ce qui rentre et ce qui sort, il peuvent avoir leur propre système à eux et n'ont pas besoin d'une TCPA master key.

              "La première sécurité est la liberté"

            • [^] # Re: TCPA et palladium

              Posté par . Évalué à 1.

              Enfin, le mode TCPA enable va devenir aussi courant que de naviguer avec les cookies car cela deviendrait pratiquement impossible autrement.

              Or en mode TCPA, tu as des programmes qui tournent de base dans ton dos et dont tu n'as aucun controle !

              "La première sécurité est la liberté"

              • [^] # Re: TCPA et palladium

                Posté par (page perso) . Évalué à 2.

                la comparaison «TCPA est un cookie» me plait assez :
                • on est/sera obligé de surfer avec sans quoi on est/sera embêté toutes les 2s.
                • ils n'ont pas été prévu/ne sont pas prévu pour espionner, mais certains en ont détourné/détourneront l'usage.
                • la majorité des gens s'en fichent et ne veulent pas entendre parler.
                • ils se sont imposés/s'imposeront car des sociétés l'ont présenté/le présenteront comme une amélioration positive.
                seule différence notable : si TCPA peut être comparé à un cookie, les conséquences d'une mauvaise utilisation de TCPA pourraient être bien plus désatreuses.
  • # Re: TCPA et palladium

    Posté par . Évalué à 4.

    quand à l'indiférence générale,

    personnellement, je diffuse ans mon entourage proffessionnel l'article qui est paru dans linux magazine N°46 et déjà 2 personnes qui n'avaient jamais entendu parler de GNU/linux on accepter de l'essayer.

    j'ai contacter à +sieurs reprise RTL pour ouvrir un débat dans leur émission "les auditeur ont la paroles" mais jusqu'à maintenant, c resté lettre morte....

    voilu !!
    • [^] # Re: TCPA et palladium

      Posté par . Évalué à 1.

      Si il y en a plusieurs comme toi, cela passera !

      "La première sécurité est la liberté"

      • [^] # Re: Et il faut qu'on soit nombreux

        Posté par (page perso) . Évalué à 1.

        L'venir est sombre, la creativite, la multiplicite, l'originalite
        et bien sur la liberte des logiciels sont directement places
        en voie de disparition.

        La mort du bidouilleur genial qui fait de la recherche chez lui et
        inventes quelque chose.

        C'est aussi a moyen terme la mort de l'informatique
        Europeenne qui, hormis mandrakesoft, est deja
        en sale etat .

        C'est ___vraiment___ grave.

        "You have enemies? Good. That means you've stood up for something in your life." Winston Churchill

  • # Re: TCPA et palladium

    Posté par . Évalué à 0.

    Qu'est-ce que Palladium ? Un spyware ? Un trojan ? J'hésite...

    C'est bien pire. C'est le socle téchnique qui permet d'en faire. La base de tout. Avec en plus, une impossibilité pour le possésseur de la machine de controler quoique se soit.

    "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.