(Ah oui, et je sais aussi que je n’ai que très modérément confiance dans la plupart des courbes elliptiques dont les paramètres ont été judicieusement choisis — mais judicieusement pour qui ? — sur des critères non-spécifiés…)
Il me semble aussi que certain cryptographe se demande si la NSA n'aurait pas déjà cassé de l'ECC. C'est pour ça qu'il mette en avant RSA qui est solide depuis des années.
(menaces probablement à la fois plus nombreuses et plus crédibles qu’une attaque matérielle).
C'est vrai :)
J'imagine que le plus dure est de gérer l'accès à la carte quand elle est connecté sur un ordinateur. Mais c'est censé être rare.
Le plus simple pour qu'une carte résiste est que son contenu soit relativement unique. En général, il faut plusieurs carte pour briser leur sécurité, ce qui n'est pas le cas avec une clef privé par carte.
Concernant le token, est-ce que vous avez tenu compte que cela peut être plus ou moins facile de récupérer les secrets d'une carte à puce ? (cf les cartes à puce de décodeurs satellites)
Une carte à puce est un ordinateur très simple dont on peut observer le fonctionnement. Et je ne parle pas des bêtes failles de débordement de buffer qui peuvent permettre de lire complètement la mémoire et donc la clef privée.
Si le pire est la perte de la Sous-clef de chiffrement, il faudrait la protéger au moins autant que la clef primaire non ?
Ou alors, il faudrait une clef de signature de plus, gérer par un token, sans que cette clef n'y sortent jamais (je pars du principe que chiffrer dans un token est trop lent).
Ou alors, il faut révoquer périodiquement cette sous clef.
Je ne sais pas si c'est vrai, mais il semble que le taux d'usage des cpu dans les petits cluster x86 (~100 machines) ne dépasse pas 10% de taux d'occupation à cause de l'attente des transfert réseau.
En gros, dans les clusters x86, cela serait la latence des IO qui coince.
D'après la source, pour rester dans la course technologique, les allemands ont sous traité au américain, et ont fermé les yeux, quand ils ont vu qu'ils ne contrôlaient plus rien.
J'imagine que les services sont un peu en roues libres, et contre des informations antiterroristes, ils sont prêt à donner n'importe quoi. J'imagine que l'accès à Xkeyscore n'était pas gratuit non plus (le moteur de recherche dans toutes les données captées).
" (mot de passe à changer, internet limité, interdire les clé USB…)"
Ceux qui prennent ce genre de mesure oublie que l'on doit travailler. Cela me rappelle un bocal sans réseau extérieur, ni clef usb : mais comment faire pour lire les specs ?!
Le pourquoi peut être compris, mais c'est insupportable au quotidien. Ou alors, il faut fournir 2 machines, l'une pour le dev, l'autre pour trouver des informations sur internet. Mais en général, les directions sont trop pingres pour faire ça.
"Mais peut-on objectivement penser que tous les employés qui vont passer sont digne de confiance ? L’équilibre à trouver ne me semble pas simple."
Non, si un personne veut vraiment faire sortir des infos, elle peut booter sur un liveCD ou autre, et recopier des fichiers, ou même démonter un disque dur.
Pour éviter ce genre de cas, ces mesures de sécurité font chi… tous les jours les personnes honnêtes qui veulent faire leur boulot.
Mais personne n'a envie de payer les 500 à 700€ de la machine au début. Ensuite, personne ne veut l'entretenir (laver, nettoyer, rincer…). C'est plus de long de faire du café, etc…
C'est la tragédie des communs : personne n'aime s'en occuper. Donc, un café cher, et une cafetière jetable, cela marche bien. Si le café était mauvais, cela serait à revoir, mais ce n'est pas le cas.
Oui, à condition de maitriser les installation des navigateurs pour leur changer leur certificat racine. Sinon, cela ne marche pas sans démarche illégale.
D'ailleurs, je pense même que mettre des proxy espion menteur TLS, est à la limite de la légalité, le jour ou une affaire sort suite à l'espionnage des ces connexions, la boite risque d'avoir mal. (donné bancaire, mail perso syndical ou médical,…). Personne n'acceptera un enregistrement de ses conversations au téléphone pro, alors pourquoi l’accepter sur internet ?
[^] # Re: Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Les techniques : http://www.cl.cam.ac.uk/~mgk25/sc99-tamper.pdf
"La première sécurité est la liberté"
[^] # Re: Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Canal+ a été piraté de cette façon, il y a plus de 10 ans.
cf :
http://www.murdochspirates.com/Pirates/Medias/MACOS_9.2.2_Desktop_Folder_Telesatellite_code.pdf
Ils ont récupérés la manière de générer les clefs.
Suite à cette affaire, Canal+ a monté un laboratoire de teste avant de distribuer une nouvelle carte(ck2).
"La première sécurité est la liberté"
[^] # Re: OpenPGP, libsodium...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Pas besoin de micro, l'entrée ligne est forcément bruité.
"La première sécurité est la liberté"
[^] # Re: Licence des données ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal OpenRTS, un moteur de jeux-vidéo open-source en Java. Évalué à 3.
"En droit français, en 2015, et en termes strictement juridiques, la notion « libre de droits » n'existe pas."
"La première sécurité est la liberté"
[^] # Re: Perte des communications passées ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Il me semble que tu es censé chargé un énorme fichier de clef révoqué depuis le serveur de clef, c'est le point noire du système.
"La première sécurité est la liberté"
[^] # Re: OpenPGP, libsodium...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Il n'y a personne pour utiliser les bits de poids faible d'une entré de carte son ?
"La première sécurité est la liberté"
[^] # Re: OpenPGP, libsodium...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 3.
Il me semble aussi que certain cryptographe se demande si la NSA n'aurait pas déjà cassé de l'ECC. C'est pour ça qu'il mette en avant RSA qui est solide depuis des années.
"La première sécurité est la liberté"
[^] # Re: Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
C'est vrai :)
J'imagine que le plus dure est de gérer l'accès à la carte quand elle est connecté sur un ordinateur. Mais c'est censé être rare.
Le plus simple pour qu'une carte résiste est que son contenu soit relativement unique. En général, il faut plusieurs carte pour briser leur sécurité, ce qui n'est pas le cas avec une clef privé par carte.
"La première sécurité est la liberté"
[^] # Re: Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Concernant le token, est-ce que vous avez tenu compte que cela peut être plus ou moins facile de récupérer les secrets d'une carte à puce ? (cf les cartes à puce de décodeurs satellites)
Une carte à puce est un ordinateur très simple dont on peut observer le fonctionnement. Et je ne parle pas des bêtes failles de débordement de buffer qui peuvent permettre de lire complètement la mémoire et donc la clef privée.
"La première sécurité est la liberté"
# Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Si le pire est la perte de la Sous-clef de chiffrement, il faudrait la protéger au moins autant que la clef primaire non ?
Ou alors, il faudrait une clef de signature de plus, gérer par un token, sans que cette clef n'y sortent jamais (je pars du principe que chiffrer dans un token est trop lent).
Ou alors, il faut révoquer périodiquement cette sous clef.
"La première sécurité est la liberté"
[^] # Re: Court circuit
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Le retour de F-CPU, le processeur libre. Évalué à 4.
Je ne sais pas si c'est vrai, mais il semble que le taux d'usage des cpu dans les petits cluster x86 (~100 machines) ne dépasse pas 10% de taux d'occupation à cause de l'attente des transfert réseau.
En gros, dans les clusters x86, cela serait la latence des IO qui coince.
"La première sécurité est la liberté"
[^] # Re: Utiliser Tor, faire tourner un nœud freenet
Posté par Nicolas Boulay (site web personnel) . En réponse au journal boitenoirekiller.com veut pourrir les boites noires de la DCRI. Évalué à 2.
Le principe même des noeuds de sortie Tor pose problème. Il faudrait surtout développé la parti "service caché" des site web.
"La première sécurité est la liberté"
[^] # Re: Autre initiative
Posté par Nicolas Boulay (site web personnel) . En réponse au journal boitenoirekiller.com veut pourrir les boites noires de la DCRI. Évalué à 2.
Si OC déménage, cela peut marquer certain !
"La première sécurité est la liberté"
[^] # Re: Statistiquement détectable
Posté par Nicolas Boulay (site web personnel) . En réponse au journal boitenoirekiller.com veut pourrir les boites noires de la DCRI. Évalué à 1.
Il n'y a pas de générateur de texte pour faire des phrases différentes ?
"La première sécurité est la liberté"
[^] # Re: A qui profite le crime ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Snowden : Les services secrets allemands auraient espionné Airbus pour la NSA. Évalué à 5.
D'après la source, pour rester dans la course technologique, les allemands ont sous traité au américain, et ont fermé les yeux, quand ils ont vu qu'ils ne contrôlaient plus rien.
"La première sécurité est la liberté"
[^] # Re: A qui profite le crime ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Snowden : Les services secrets allemands auraient espionné Airbus pour la NSA. Évalué à 3.
la source en anglais :
http://www.spiegel.de/international/germany/bnd-intelligence-scandal-puts-merkel-in-tight-place-a-1031944.html
"La première sécurité est la liberté"
[^] # Re: A qui profite le crime ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Snowden : Les services secrets allemands auraient espionné Airbus pour la NSA. Évalué à 6.
J'imagine que les services sont un peu en roues libres, et contre des informations antiterroristes, ils sont prêt à donner n'importe quoi. J'imagine que l'accès à Xkeyscore n'était pas gratuit non plus (le moteur de recherche dans toutes les données captées).
"La première sécurité est la liberté"
[^] # Re: Mauvais problème
Posté par Nicolas Boulay (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 2.
" (mot de passe à changer, internet limité, interdire les clé USB…)"
Ceux qui prennent ce genre de mesure oublie que l'on doit travailler. Cela me rappelle un bocal sans réseau extérieur, ni clef usb : mais comment faire pour lire les specs ?!
Le pourquoi peut être compris, mais c'est insupportable au quotidien. Ou alors, il faut fournir 2 machines, l'une pour le dev, l'autre pour trouver des informations sur internet. Mais en général, les directions sont trop pingres pour faire ça.
"Mais peut-on objectivement penser que tous les employés qui vont passer sont digne de confiance ? L’équilibre à trouver ne me semble pas simple."
Non, si un personne veut vraiment faire sortir des infos, elle peut booter sur un liveCD ou autre, et recopier des fichiers, ou même démonter un disque dur.
Pour éviter ce genre de cas, ces mesures de sécurité font chi… tous les jours les personnes honnêtes qui veulent faire leur boulot.
"La première sécurité est la liberté"
[^] # Re: Mauvais problème
Posté par Nicolas Boulay (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 5.
Ne pas prendre ses employés pour des cons, leur faire confiance, leur donner les moyens de travailler, cela marche mieux à mon avis.
"La première sécurité est la liberté"
[^] # Re: Mauvais problème
Posté par Nicolas Boulay (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 3.
Si les boites n'ont pas besoin de faire de l'usurpation d'identité pour avoir le certificat, le problème est donc dans le système de certificat.
"La première sécurité est la liberté"
[^] # Re: Machine a expresso a grain
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Enfin une solution pour du café libre au boulot.. Évalué à 4.
Si.
Mais personne n'a envie de payer les 500 à 700€ de la machine au début. Ensuite, personne ne veut l'entretenir (laver, nettoyer, rincer…). C'est plus de long de faire du café, etc…
C'est la tragédie des communs : personne n'aime s'en occuper. Donc, un café cher, et une cafetière jetable, cela marche bien. Si le café était mauvais, cela serait à revoir, mais ce n'est pas le cas.
"La première sécurité est la liberté"
[^] # Re: Mauvais problème
Posté par Nicolas Boulay (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 3.
La cnil depuis le changement de président, c'est du grand n'importe quoi.
"La première sécurité est la liberté"
[^] # Re: Machine a expresso a grain
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Enfin une solution pour du café libre au boulot.. Évalué à 2.
On est à 8000 cafés par an depuis 2 ans, avec une Nespresso 1er prix, qui a du coûter 50€.
"La première sécurité est la liberté"
[^] # Re: Mauvais problème
Posté par Nicolas Boulay (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 3.
Oui, à condition de maitriser les installation des navigateurs pour leur changer leur certificat racine. Sinon, cela ne marche pas sans démarche illégale.
D'ailleurs, je pense même que mettre des proxy espion menteur TLS, est à la limite de la légalité, le jour ou une affaire sort suite à l'espionnage des ces connexions, la boite risque d'avoir mal. (donné bancaire, mail perso syndical ou médical,…). Personne n'acceptera un enregistrement de ses conversations au téléphone pro, alors pourquoi l’accepter sur internet ?
"La première sécurité est la liberté"
[^] # Re: Mauvais problème
Posté par Nicolas Boulay (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 3.
Cela n'est vrai que pour les pays puissant, il y a plein de pays en dictature ou presque, qui n'ont pas les moyens de faire ça.
"La première sécurité est la liberté"