"Il me semblait bien aussi, tu me rassures dans l'idée que la technologie sous-jacente n'est pas forcément mauvaise,"
Disons que dans le monde parano de la sécurité, ils vont te trouver des scénario où la gestion par défaut de serveur de clef pourrait être détourné. Idem si on ne vérifie jamais les clefs de "visu". L'usage de la clef dans un .vcf ou autre, pourrait alourdir les mails. etc…
On peut toujours trouver à redire. En fait, personne ne code jamais un "processus d'usage reconnu" dans un logiciel. J'ai le même problème avec git. La plus part des GUI exposent toutes les fonctionnalités. Alors qu'il n'existe que 2 ou 3 façon d'utiliser correctement git sous peine de souffrir. Or personne n'a encore codé de GUI qui fait un choix de process.
Franchement beaucoup d'étapes pourraient être automatique :
La liste des serveurs de clef où sont poussé les clefs publiques pourraient être caché.
La génération d'une paire de clef pourrait se faire directement à l'installation.
Tous les messages devraient être signé de base, et si on a une clef d'une personne : le mail devrait être directement crypté sans rien demandé de plus.
Ensuite, on peut avoir une interface de vérification de clef pour éviter les attaques MiM, ce genre d'écran pouvait être en mode avancé ("J'ai vérifié le fingerprint avec le propriétaire de la clef"). Le WoT ont s'en fout un peu. Surtout si clef doivent vivre peu de temps, car la gestion de la révocation est complexe.
La clef publique (ou son fingerprint) peut aussi être attaché au mail signé, ainsi le plugin de la personne en face peut récupérer la clef toute seule.
Bref, il y a de quoi faire un système à 90% automatique.
Tu aura forcément N IA pas terrible, c'est un concours. Par contre, tu pourra faire un ranking, et tes joueurs pourront choisir la force de l'IA. Tu peux ainsi définir des joueurs virtuelles, qui auront une personnalité.
http://www.nongnu.org/maitretarot/ avait exactement les mêmes ambitions. Il était écrit en C, et les IA ne devaient pas tricher (connaitre les jeux de tout le monde).
Je devais faire l'IA, mais c'est une sacré complexité.
Au lieu d'imposer un langage, tu devrais faire comme d'habitude : un échange de donné par parseur de l'entrée standard. Tu fournis des bots idiots avec le parseurs de codé et rouler jeunesse.
Il me semble pour qu'une RFC soit applicable, il faut 2 implémentations indépendantes. Le RGI pourrait imposer cela : un format uniquement si il est doublement sourcé.
Il faisait déjà cette vanne debut 2000 :) De plus, certain était comme a une séance de "The Rocky Horror Picture Show", pour faire le partenaire de RMS dans la sketch. C'était donc déjà connu.
(Ah oui, et je sais aussi que je n’ai que très modérément confiance dans la plupart des courbes elliptiques dont les paramètres ont été judicieusement choisis — mais judicieusement pour qui ? — sur des critères non-spécifiés…)
Il me semble aussi que certain cryptographe se demande si la NSA n'aurait pas déjà cassé de l'ECC. C'est pour ça qu'il mette en avant RSA qui est solide depuis des années.
(menaces probablement à la fois plus nombreuses et plus crédibles qu’une attaque matérielle).
C'est vrai :)
J'imagine que le plus dure est de gérer l'accès à la carte quand elle est connecté sur un ordinateur. Mais c'est censé être rare.
Le plus simple pour qu'une carte résiste est que son contenu soit relativement unique. En général, il faut plusieurs carte pour briser leur sécurité, ce qui n'est pas le cas avec une clef privé par carte.
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 3.
Tu pars du mauvais principe que l'on ne peut pas rendre l'usage de gpg plus simple. C'est juste totalement faux.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 4.
Disons que dans le monde parano de la sécurité, ils vont te trouver des scénario où la gestion par défaut de serveur de clef pourrait être détourné. Idem si on ne vérifie jamais les clefs de "visu". L'usage de la clef dans un .vcf ou autre, pourrait alourdir les mails. etc…
On peut toujours trouver à redire. En fait, personne ne code jamais un "processus d'usage reconnu" dans un logiciel. J'ai le même problème avec git. La plus part des GUI exposent toutes les fonctionnalités. Alors qu'il n'existe que 2 ou 3 façon d'utiliser correctement git sous peine de souffrir. Or personne n'a encore codé de GUI qui fait un choix de process.
"La première sécurité est la liberté"
[^] # Re: Et Enigmail ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 6.
Franchement beaucoup d'étapes pourraient être automatique :
La liste des serveurs de clef où sont poussé les clefs publiques pourraient être caché.
La génération d'une paire de clef pourrait se faire directement à l'installation.
Tous les messages devraient être signé de base, et si on a une clef d'une personne : le mail devrait être directement crypté sans rien demandé de plus.
Ensuite, on peut avoir une interface de vérification de clef pour éviter les attaques MiM, ce genre d'écran pouvait être en mode avancé ("J'ai vérifié le fingerprint avec le propriétaire de la clef"). Le WoT ont s'en fout un peu. Surtout si clef doivent vivre peu de temps, car la gestion de la révocation est complexe.
La clef publique (ou son fingerprint) peut aussi être attaché au mail signé, ainsi le plugin de la personne en face peut récupérer la clef toute seule.
Bref, il y a de quoi faire un système à 90% automatique.
"La première sécurité est la liberté"
[^] # Re: Des avancées dans le matériel également!
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche 2015, l'année du cinéma libre ?. Évalué à 4.
Je trouve hallucinant que personne n'est sorti de camera avec un port USB déclarer comme webcam. Même gopro ne le fait pas. Incompréhensible.
"La première sécurité est la liberté"
[^] # Re: DCP
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche 2015, l'année du cinéma libre ?. Évalué à 2.
\o/
"La première sécurité est la liberté"
[^] # Re: maitretarot
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Concours d'IA de Tarot. Évalué à 9.
C'est un concours d'IA ou pas ? Il faut choisir.
Tu aura forcément N IA pas terrible, c'est un concours. Par contre, tu pourra faire un ranking, et tes joueurs pourront choisir la force de l'IA. Tu peux ainsi définir des joueurs virtuelles, qui auront une personnalité.
"La première sécurité est la liberté"
# DCP
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche 2015, l'année du cinéma libre ?. Évalué à 1.
Ce qui manque aussi, c'est le support du codec DCP par VLC. C'est un peu la base pour faire du "cinéma" libre.
"La première sécurité est la liberté"
[^] # Re: pourvu qu'ils ne gagnent pas .
Posté par Nicolas Boulay (site web personnel) . En réponse au journal [Les Échos] "Guerre de religions" entre OOxml et l'ODF. Évalué à 4.
"Parce que bon, une Fiat c'est moins cher qu'une BMW c'est sur."
C'est sûr que l'on va plus vite avec une BMW qu'avec une Fiat… WTF !
"La première sécurité est la liberté"
[^] # Re: pourvu qu'ils ne gagnent pas .
Posté par Nicolas Boulay (site web personnel) . En réponse au journal [Les Échos] "Guerre de religions" entre OOxml et l'ODF. Évalué à 5.
Cela mériterait une news entière, pour prouver la vrai force d'un RGI qui n'est pas imposé par des lobbys.
"La première sécurité est la liberté"
[^] # Re: Python
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Concours d'IA de Tarot. Évalué à 6.
J'ai déjà fait des IA en C, et j'aime bien aussi Ocaml. D'où l’intérêt de lancer un exe pour ne pas dépendre d'un langage précis.
"La première sécurité est la liberté"
# maitretarot
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Concours d'IA de Tarot. Évalué à 10.
http://www.nongnu.org/maitretarot/ avait exactement les mêmes ambitions. Il était écrit en C, et les IA ne devaient pas tricher (connaitre les jeux de tout le monde).
Je devais faire l'IA, mais c'est une sacré complexité.
Au lieu d'imposer un langage, tu devrais faire comme d'habitude : un échange de donné par parseur de l'entrée standard. Tu fournis des bots idiots avec le parseurs de codé et rouler jeunesse.
https://www.codingame.com fonctionne comme ça.
"La première sécurité est la liberté"
# comme pour les RFC ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal [Les Échos] "Guerre de religions" entre OOxml et l'ODF. Évalué à 9.
Il me semble pour qu'une RFC soit applicable, il faut 2 implémentations indépendantes. Le RGI pourrait imposer cela : un format uniquement si il est doublement sourcé.
"La première sécurité est la liberté"
[^] # Re: Le Git de Framasoft (GitLab-based) comme solution de migration
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Sourceforge de pire en pire: usurpation d'identité du projet GIMP. Évalué à 6.
Si tu as déposé ta marque, tu peux leur interdire de l'utiliser. Mozilla a fait cela exactement pour cette raison.
"La première sécurité est la liberté"
[^] # Re: Ben oui mais non et c'est bien le problème
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Sourceforge de pire en pire: usurpation d'identité du projet GIMP. Évalué à 2.
C'est du parasitage de marque, mais pour ça il faut avoir déposé la marque.
"La première sécurité est la liberté"
# « l'utilisation d'un logiciel libre Vi n'est pas considéré comme un péché par l'église Emacs, mais
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Retour sur la conférence donnée par Richard Stallman le 12 mai 2015 à Brest.. Évalué à 4.
Il faisait déjà cette vanne debut 2000 :) De plus, certain était comme a une séance de "The Rocky Horror Picture Show", pour faire le partenaire de RMS dans la sketch. C'était donc déjà connu.
"La première sécurité est la liberté"
[^] # Re: type sum ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Rust 1.0, entrée dans la période stable. Évalué à 2.
ok, match sur enum qui embarque des valeurs, c'est bien ça.
Rust a l'air vraiment sympa.
"La première sécurité est la liberté"
# type sum ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Rust 1.0, entrée dans la période stable. Évalué à 0.
Je rêve ou Rust n'a pas de type somme et de filtrage ? Comme dans les langages fonctionnels ?
"La première sécurité est la liberté"
[^] # Re: Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Les techniques : http://www.cl.cam.ac.uk/~mgk25/sc99-tamper.pdf
"La première sécurité est la liberté"
[^] # Re: Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Canal+ a été piraté de cette façon, il y a plus de 10 ans.
cf :
http://www.murdochspirates.com/Pirates/Medias/MACOS_9.2.2_Desktop_Folder_Telesatellite_code.pdf
Ils ont récupérés la manière de générer les clefs.
Suite à cette affaire, Canal+ a monté un laboratoire de teste avant de distribuer une nouvelle carte(ck2).
"La première sécurité est la liberté"
[^] # Re: OpenPGP, libsodium...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Pas besoin de micro, l'entrée ligne est forcément bruité.
"La première sécurité est la liberté"
[^] # Re: Licence des données ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal OpenRTS, un moteur de jeux-vidéo open-source en Java. Évalué à 3.
"En droit français, en 2015, et en termes strictement juridiques, la notion « libre de droits » n'existe pas."
"La première sécurité est la liberté"
[^] # Re: Perte des communications passées ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Il me semble que tu es censé chargé un énorme fichier de clef révoqué depuis le serveur de clef, c'est le point noire du système.
"La première sécurité est la liberté"
[^] # Re: OpenPGP, libsodium...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
Il n'y a personne pour utiliser les bits de poids faible d'une entré de carte son ?
"La première sécurité est la liberté"
[^] # Re: OpenPGP, libsodium...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 3.
Il me semble aussi que certain cryptographe se demande si la NSA n'aurait pas déjà cassé de l'ECC. C'est pour ça qu'il mette en avant RSA qui est solide depuis des années.
"La première sécurité est la liberté"
[^] # Re: Sous-clef de chiffrement
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 2.
C'est vrai :)
J'imagine que le plus dure est de gérer l'accès à la carte quand elle est connecté sur un ordinateur. Mais c'est censé être rare.
Le plus simple pour qu'une carte résiste est que son contenu soit relativement unique. En général, il faut plusieurs carte pour briser leur sécurité, ce qui n'est pas le cas avec une clef privé par carte.
"La première sécurité est la liberté"