Disons que ce n'est pas encore gagné... faut jamais dire jamais...
et puis, ati va bientôt subir une forte restructuration de la part d'AMD, les personnes assises aujourd'hui à nous affirmer que rien ne sera libéré ne seront peut-être plus à la même place demain...
Le gros problème n'est pas une incompatibilité binaire, mais bel et bien que les librairies bougent, et que la compatibilité ascendante n'est pas toujours respectée... Linux reste une cible très mobile, car en évolution constante, un studio de dev de jeux doit être extrèmement agile pour couvrir correctement un tel marché, ce qui constitue un investissement trop grand par rapport aux bénéfices que cela procure.
Les jeux et certaines applications pro constituent les dernières raisons pour lesquelles j'ai encore un pc avec windows à la maison (j'ai aussi des pc's avec linux, rassurez-vous).
Pas tellement... ce que tu dis est vrai mais n'invalide pas mon argument... Offrir du matériel bas de gamme et créer une valeur ajoutée grâce à l'ouverture des pilotes est une stratégie qui se tient parfaitement.
ça n'impactera sans doutes pas ou peu son développement, la philosophie de ce projet étant tout de même son principal pillier.
Avec une tel nouvelle, le marché des libristes susceptibles d'acheter une carte pour son côté OpenSource risque de se réduire alors qu'il n'était déjà pas énorme...
Les pilotes précédents d'Intel étaient déjà libres... Si OpenGraphics a été capable de survivre aux versions précédentes, il survivra aux suivantes...
En outre, d'ici à la commercialisation des cartes OpenGraphics (qui en sont encore au PCI), il va y avoir encore de l'eau qui coulera sous les ponts, tout le monde n'a pas envie d'attendre. Quand opengraphics sortira son produit, il sera toujours temps de peser le pour et le contre et de voir si il présente une bonne combinaison d'avantages techniques et philosophiques sur ses concurrent Intel (et AMD si celui-ci tient ses promesses)
C'est tout de même bien d'avoir tout de même un fabriquant de processeurs 3d qui fournisse une implémentation libre de son pilote.
Enfin, vu l'historique d'Intel à ce niveau, on peut dire que l'on est en présence d'une véritable politique favorable au logiciel libre, et non en face d'une manoeuvre destinée à se faire un coup de pub...
De son côté, AMD semblerait décidé à joindre l'acte à la parole concernant ses bonnes intentions envers le logiciel libre et semblerait considérer l'ouverture de pilotes pour les cartes ATI...
Il y a déjà des banques qui imposent une carte à puce
Je ne vois aucun problème avec ça, si du fric doit être retiré de mon compte en banque, je préfère une double vérification "j'ai"+"je sais" plutôt que seulement "je sais".
Si on leur dit qu'il y a l'équivalent d'une carte à puce dans tous les PC du monde, ou si le gouvernement annonce que TCPA remplit les critères techniques de la LCEN pour faire des signatures numériques non répudiables, elles vont sauter sur l'occasion.
Encore faudrait-il que le TCPA remplisse les fonctions désirées, sans provoquer de problèmes de double gestion par rapport à une carte à puce (et on ne va pas trimbaler son desktop au Leclerc pour payer avec sa puce tpm en remplacement de la carte à puce)
A ce niveau, l'avenir semble appartenir clairement aux téléphones mobiles qui incorporeront la fonctionnalité, c'est de ce côté là que les banques regardent maintenant.
Sinon, pour info, il existe aussi des méthodes raisonnables utilisées par certaines banques qui sont basées sur la carte à puce pour faire des paiements en ligne, comme par exemple, les digipass série 8xx de vasco, qui permettent à l'utilisateur d'authentifier les transactions par challenge-response sans avoir à brancher quoique ce soit sur le pc et offre un niveau de sécurité suffisant pour que tu puisse crier à haute voix la réponse au challenge dans un cyber café sans courrir de risque de hacking.
Encore des spéculations, mais est-ce que les banques demandent pour celà??? Est-ce que les banques ont confiance en ce système là??? Quel est la valeur ajoutée d'un tel système pour un service de banque en ligne???
Le TPM ne répond pas à un problème d'authentication de l'utilisateur, mais bien à un problème d'intégrité des grandes lignes de la machine.
Si les banques continuent à considérer que la sécurité de la machine n'est pas leur problème mais celui du client, elles ne chercheront pas à imposer le TPM.
Si on force la main des banques en leur collant la responsabilité de la sécurité OS du client, alors elles chercheront peut-être à vérifier la sécurité des machines, mais le TPM n'est pas non-plus une réponse valide à ce problème, vérifier que l'OS n'a pas été bidouillé au niveau des pilotes et du noyau n'est pas suffisant.
Que les sites de vente de merde DRMisée utilisent le TPM, c'est une chose, que les FAI obligent tous leurs utilisateurs à utiliser windows avec TPM actif en est une autre.
Le seul cas concret où je verrais une obligation d'avoir un os signé et certifié pour avoir le droit de se ballader sur le web, via un FAI normal, c'est que le législateur, dans un délire sécuritaire, oblige les FAI à exiger cette certification... et dans un tel cas, je pense que le problème principal serait plutôt la dérive fasciste du système démocratique que le TPM en lui-même.
En attendant, moi ce que j'espère, c'est que le monde du logiciel libre va aller un peu de l'avant et conquérir des parts de marché pour sortir de la marginalité et avoir un poids suffisant pour que les mauvaises idées ne soient plus appliquables. Si d'ici 10 ans, il faudrait qu'une personne sur 4 soit sous linux ou un autre OS libre.
Et si la quasi totalité des sites commerciaux et les fournisseurs d'acces exigent que ta configuration matérielle et logicielle rapportée par le "remote attestation" de tcpa (dont je parle en détail dans des réponses plus bas) comprend windows, tu fais comment ?
Ce sont des spéculations gratuites.
Réellement,
Quel serait l'intéret pour un fai de certifier l'OS de ses clients?
Et quel serait l'intéret d'un site E-Commerce?
Un tel scénario semble difficilement possible à moins que des lois ne soient votées pour obliger les FAI à le faire. De même, les sites commerciaux qui prendraient des mesures trop strictes s'exposeraient à des pertes de clientèles importantes.
De plus, pour qu'une chose pareille arrive, il faudrait que Linux, Firefox, et le logiciel libre dans son ensemble aient complètement disparus.
A force de crier "au loup" à tort et à travers, il devient difficiel d'avoir de la crédibilité dans les vrais dossiers.
Packard Bell bloque l'installation d'autres os que le windows fourni sur certains de ses PC's?
Sont-ce des desktops? des laptops?
Tu as des sources, des articles? Je pense que ça mériterait de remonter un peu auprès de certaines instances dans la boîte où je bosse... Si tu as du concret, je suis preneur.
Ouais, mais si Windows a chiffré tous mes documents avec des clés stockées dans le TPM, ça me fait une belle jambe de savoir que je peux le débrancher...
Si un jour Windows fait ça et que tu n'es pas d'accord, tu n'as qu'à ne pas utiliser Windows... C'est les softs qui utilisent le tpm n'importe comment qu'il faut combattre avant tout.
De fait, il est extrêmement peu probable que nous assistions à ce genre d'abus sous Linux.
Pourquoi la NSA (ou toutes autres agences ou structure de n'importe quel pays (le notre inclus)) aurait-elle plus en ligne de mire les TPM que les autres systèmes (smartcard, cartes SSL, etc) ?
Parcequ'elle est le plus gros client des sociétés comme Intel, IBM, ... aux usa, c'est l'organisation la plus grosse consommatrice de ressources cpu, le plus gros client d'Intel, sans doutes le plus gros d'IBM... Elle a donc une influence... En plus, il me semble qu'avec le contexte "terrorisons-nous avec nos amis les terroristes", ça doit faciliter les choses...
Intéressant, je me disais aussi que la NSA n'aurait pas laissé un truc pareil sans ce genre de backdoor...
Maintenant pour, sniffer le mot de passe constructeur, il faut qu'il passe quelque-part, et ça, je suppose que ça nécessite une ingénierie sociale assez poussée...
Tu as déjà eu l'occasion de tester le toolkit sinon?
A vraiment, donc tu peux me donner les algorithmes de récupérations de clé dans la puce tpm , ainsi que les algorithmes de stockage de clés ?
Non, puisque les données sont obfusquées. Ce qui est à disposition, c'est les interfaces hardware de la puce, comment dialoguer avec, les spécifications de ce qui y entre et de ce qui en sort. Il serait même aisé de faire un émulateur de puce TPM. Les algos sont connus, pas leurs implémentations.
Pour le reste, je suis parfaitement d'accord avec toi sur les attaques par variation de voltage et les attaques par chronométrage, et effectivement, je ne saurais pas te dire avec exactitude quelles attaques marchent ou non.
Je suis plutôt d'avis qu'IBM n'aurait pas lancé une puce tpm sans qu'un back-door hardware existe à l'attention de la NSA
Toutefois, la question n'est pas "le TPM est-il fiable" mais "le TPM est-il maléfique", et force est de constater que tu continues dans l'amalgame:
Tiens ce sont les majors qui ont créer des drm ?
Le tpm n'est PAS un système de DRM, au pire il peut être utilisé par des systèmes DRM comme si il s'agissait d'une librairie de gestion crypto, mais ce n'est pas son seul contexte d'utilisation, loin de là.
Maintenant, ce qui est sûr, c'est que tant qu'on en a pas l'usage, autant le laisser coupé.
Marrant , parce qu'en crypto , une sécurité par l'obfuscation (ce qui est dans la puce tcpa : on ne connais rien de son datasheet complet , etc...) n'est pas sure.
Les données sont obfusquées, pas les algorithmes.
Maintenant, il est clair qu'un back-door peut toujours exister, mais ça la foutrait très mal pour les supporters du tpm.
Le TPM, ce n'est jamais que l'équivalent d'une carte à puce performante intégrée directement dans le pc, et, ô chance, l'utilisateur a son mot à dire sur son utilisation (sauf éventuellement si il tourne un windows utilisant le tpm de manière dictatoriale)
Dans 10 ans avec protection de l'os et la norme tcpa 2.0 , pas si sur ..
Si dans 10 ans on en est à l'ordinateur jetable à 20¤ , effectivement il sera peut-être décidé qu'il vaut mieux jeter l'ordinateur et prendre un nouveau avec tpm vierge... Pouvoir redémarrer avec un tpm fait partie de la norme, même microsoft n'a pas intéret à empècher la réinitialisation du TPM sous peine de ne plus pouvoir vendre d'upgrades OS sans remplacer le PC une fois le TPM initialisé.
Sans blague au lieu de croire que les fabricants sont tous des gentils, faudrait se renseigner sur ce qui se passe actuellement, tant sur le point de vue législatif (les développeurs de p2p sont des criminels) que sur le point de vue guerre économique et tentative de capture de l'utilisateur (drm toussa).
Sans blagues, tu fais un sérieux amalgame entre industrie du disque/film et fabriquants de matos.
Oui mais quand la technologie a clairement été créée pour une utilisation "dangueureuse"
Il faudrait revoir le dossier pour laisser tomber le perceptuel et en venir au concret.
Le TPM, c'est quoi?
Un keystore hardware, capable de signer des transactions dans des sessions.
Dan quel but l'utiliser? protéger des données cryptographiques (clefs et signatures) pour les rendre extrèmement difficiles à récupérer si on est pas la personne à les avoir mises dedans (p.ex.: protection d'ordinateur portable contenant des données importantes)
Quel but? éviter que ces données soient compromises trop facilement.
Usage concret sous Linux? Loopbacks cryptés, utilisation de pilotes signés, vérification de l'authenticité du kernel, protection de keystores soft.
Qui décide des points précédents? L'administrateur. Et si on en veut pas/plus? On réinitialise le chip tpm (depuis le bios) qui perdra toutes ses clefs, ce qui permet de tout recommencer depuis zéro, avec ou sans tcpa.
Maintenant, sous windows, les choses peuvent être un peu différentes, mais pas fondamentallement.
Sans blagues, au lieu de continuer à spéculer sur le côté maléfique du tpm, il faudrait un peu lire les docs techniques...
Bloquer l'apparition des puces TPM dans les machines, je ne pense pas que celà soit possible, par contre éduquer les gens sur le rôle du tpm, leur expliquer les avantages et inconvénients qu'un tel système peut représenter pour eux, ainsi que leur apprendre à le désactiver et à contrôler les softs qu'ils installent et qui utilisent le tpm, ce sera déjà un grand pas.
Il est trop tard pour bloquer le TPM, de plus, celui-ci a des usages légitimes.
Enfin, si les abus du TCPA posent trop de problèmes pour le grand public, celui-ci le rejettera peut-être.
déjà, tu fais un amalgame entre libre et bénévola. Tous les projets libres ne sont pas basés sur des bénévoles. Rien que pour le kernel linux, il y a des un grand nombre de salariés bossant dessus. MySQL est aussi basé sur des salariés.
Ensuite, si le projet est bien géré et concerne des domaines intéressants, que ce soit un projet libre ou non, la motivation vient de ce que l'informaticien en apprend, de ce qu'il en retire dans sa propre évolution, de son impression de faire avancer les choses sans pour autant tout devoir porter sur ses épaules.
Dans le cas d'un projet mal géré, où le développeur ne voit pas où il va, où les questions importantes sont gérées trop lentement et deviennent bloquantes, le développeur pedra sa motivation. Il sera juste un peu plus difficile pour lui de quitter un projet où il est salarié et a signé un contrat qu'un projet où il est bénévole.
Sinon concernant les risques sécurité/confidentialité/vie privée d'un tel système, on peut aussi se dire qu'il y'a de fortes chances que les données d'une personne qui n'a aucune formation/connaissance en informatique seront bien plus en sécurité sur les serveurs d'une société offrant ce type de services plutôt que sur son pc (virus et failles de sécu, pas ou mauvais password, disque dur non crypté sur un portable facilement volable, etc).
C'est en effet un bel argument marketting, mais pas de très bonne fois... Dire aux utilisateurs qu'ils ne sont pas assez responsables pour avoir la garde de leurs données, afin d'en prendre le contrôle, ça reste de la manipulation...
De plus, un système pareil n'est pas exempt de problèmes de virus et de failles de sécurité, loin de là (il y a déjà pas mal de précédents avec des systèmes comme MS Passeport), de même qu'un mot de passe mal torché sur un tel système sera bien plus dangereux que sur un linux moyennement sécurisé (voir un XP décemment patché).
Sans compter les risques de perdre toutes les données dans le cadre de désastre ou même d'enquêtes de police (saisie de serveurs, des backups, disques confisqués/perdus/détruits ..., car des serveurs contenant les données d'utilisateurs deviendront vite des cibles de choix dans les enquêtes).
Il y a plus de critiques à propos de Java Script que de remarques sur les risques sécurité/confidentialité/vie privée d'un tel système...
De nos jours, la grande tenance est d'inciter les utilisateurs à confier leurs données à des sociétés tierces, et cette tendance ne devrait pas rester sans réactions et questions de la part du public concernant les responsabilités en cas de vol de données, de vol d'identité, de pertes de données, d'abus...
C'est clair que l'utilisation de l'Ogg Vorbis est anecdotique comparée à celle du MP3 pour les balladeurs, mais il y a quand même quelques lecteurs supportés :
certainement, mais comme je l'ai dit, tant qu'il n'y a pas un gros produit en ligne de mire, ...
Et puis nombreux sont les lecteurs récents dont les constructeurs payent les brevets sur le mp3, mp4-aac-HC/LE,... et certainement que les licenses concernant ces brevets couvrent aussi ces constructeurs pour l'ogg... Le seul moyen de vérifier si l'ogg pose problème au niveau brevets serait d'avoir un produit majeur offrant la fonctionnalité et dont le constructeur ne payerait aucun brevet ni pour mp3, ni pour mp4, ...
Pour les jeux, effectivement, c'est pas les moindres, il faudrait voir quelles sont les mesures préventives prises par les producteurs pour ne pas se faire chopper par un procès.
Ils sont en vigueur aux Etats-Unis, comme pour le MP3, et on ne voit toujours rien venir...
En effet, pareil pour le noyau Linux... toutefois, les gros joueurs payent les licenses des brevets, donc pas de vagues.
Rien ne le garantit, mais le Ogg Vorbis existe depuis pas mal de temps maintenant, est très connu et très utilisé.
enfin, le "très" correspond à "pas beaucoup" si on regarde la pénétration du marché grand public. Personne ne fera de procès à l'ogg si il n'y a pas gros gains à la clef. Si l'ogg avait ne fut-ce que le tiers du succès du mp3, ça bougerait peut-être pour essayer de vendre des licenses aux fabriquants de balladeurs ogg (si ces brevets ne sont pas déjà couverts par une écentuelle license mp3 déjà acquise pour le lecteur)...
[^] # Re: Pour ATI c'est perdu
Posté par ragoutoutou . En réponse à la dépêche Intel libère ses pilotes graphiques. Évalué à 2.
Si ce sont des pc business à base Intel, ce sont généralement des chips graphiques intel, parfois ati voir nvidia.
Si ce sont des pc business à base AMD, ce sont majoritairement des chipsets graphiques ATI, et éventuellement nvidia.
[^] # Re: [hors sujet]Pas très discret..
Posté par ragoutoutou . En réponse à la dépêche Glade 3 : l'échappée belle. Évalué à 3.
[^] # Re: Pour ATI c'est perdu
Posté par ragoutoutou . En réponse à la dépêche Intel libère ses pilotes graphiques. Évalué à 4.
et puis, ati va bientôt subir une forte restructuration de la part d'AMD, les personnes assises aujourd'hui à nous affirmer que rien ne sera libéré ne seront peut-être plus à la même place demain...
[^] # Re: OpenGraphics ?
Posté par ragoutoutou . En réponse à la dépêche Intel libère ses pilotes graphiques. Évalué à 5.
Les jeux et certaines applications pro constituent les dernières raisons pour lesquelles j'ai encore un pc avec windows à la maison (j'ai aussi des pc's avec linux, rassurez-vous).
[^] # Re: Mouaif
Posté par ragoutoutou . En réponse à la dépêche Intel libère ses pilotes graphiques. Évalué à 4.
Pas tellement... ce que tu dis est vrai mais n'invalide pas mon argument... Offrir du matériel bas de gamme et créer une valeur ajoutée grâce à l'ouverture des pilotes est une stratégie qui se tient parfaitement.
[^] # Re: OpenGraphics ?
Posté par ragoutoutou . En réponse à la dépêche Intel libère ses pilotes graphiques. Évalué à 10.
ça n'impactera sans doutes pas ou peu son développement, la philosophie de ce projet étant tout de même son principal pillier.
Les pilotes précédents d'Intel étaient déjà libres... Si OpenGraphics a été capable de survivre aux versions précédentes, il survivra aux suivantes...
En outre, d'ici à la commercialisation des cartes OpenGraphics (qui en sont encore au PCI), il va y avoir encore de l'eau qui coulera sous les ponts, tout le monde n'a pas envie d'attendre. Quand opengraphics sortira son produit, il sera toujours temps de peser le pour et le contre et de voir si il présente une bonne combinaison d'avantages techniques et philosophiques sur ses concurrent Intel (et AMD si celui-ci tient ses promesses)
# Les bonnes habitudes perdurent...
Posté par ragoutoutou . En réponse à la dépêche Intel libère ses pilotes graphiques. Évalué à 10.
Enfin, vu l'historique d'Intel à ce niveau, on peut dire que l'on est en présence d'une véritable politique favorable au logiciel libre, et non en face d'une manoeuvre destinée à se faire un coup de pub...
De son côté, AMD semblerait décidé à joindre l'acte à la parole concernant ses bonnes intentions envers le logiciel libre et semblerait considérer l'ouverture de pilotes pour les cartes ATI...
http://www.infoworld.com/article/06/08/02/32OPcurve_1.html
Pourvu que cela se confirme.
[^] # Re: C'est con ce que je vais dire mais...
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 5.
Ce genre de magouille et tout bonnement inacceptable.
[^] # Re: Les TPM sont dangeureux, remote attestation
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 2.
Je ne vois aucun problème avec ça, si du fric doit être retiré de mon compte en banque, je préfère une double vérification "j'ai"+"je sais" plutôt que seulement "je sais".
Encore faudrait-il que le TCPA remplisse les fonctions désirées, sans provoquer de problèmes de double gestion par rapport à une carte à puce (et on ne va pas trimbaler son desktop au Leclerc pour payer avec sa puce tpm en remplacement de la carte à puce)
A ce niveau, l'avenir semble appartenir clairement aux téléphones mobiles qui incorporeront la fonctionnalité, c'est de ce côté là que les banques regardent maintenant.
Sinon, pour info, il existe aussi des méthodes raisonnables utilisées par certaines banques qui sont basées sur la carte à puce pour faire des paiements en ligne, comme par exemple, les digipass série 8xx de vasco, qui permettent à l'utilisateur d'authentifier les transactions par challenge-response sans avoir à brancher quoique ce soit sur le pc et offre un niveau de sécurité suffisant pour que tu puisse crier à haute voix la réponse au challenge dans un cyber café sans courrir de risque de hacking.
[^] # Re: Les TPM sont dangeureux, remote attestation
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 1.
Le TPM ne répond pas à un problème d'authentication de l'utilisateur, mais bien à un problème d'intégrité des grandes lignes de la machine.
Si les banques continuent à considérer que la sécurité de la machine n'est pas leur problème mais celui du client, elles ne chercheront pas à imposer le TPM.
Si on force la main des banques en leur collant la responsabilité de la sécurité OS du client, alors elles chercheront peut-être à vérifier la sécurité des machines, mais le TPM n'est pas non-plus une réponse valide à ce problème, vérifier que l'OS n'a pas été bidouillé au niveau des pilotes et du noyau n'est pas suffisant.
[^] # Re: Les TPM sont dangeureux, remote attestation
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 3.
Que les sites de vente de merde DRMisée utilisent le TPM, c'est une chose, que les FAI obligent tous leurs utilisateurs à utiliser windows avec TPM actif en est une autre.
Le seul cas concret où je verrais une obligation d'avoir un os signé et certifié pour avoir le droit de se ballader sur le web, via un FAI normal, c'est que le législateur, dans un délire sécuritaire, oblige les FAI à exiger cette certification... et dans un tel cas, je pense que le problème principal serait plutôt la dérive fasciste du système démocratique que le TPM en lui-même.
En attendant, moi ce que j'espère, c'est que le monde du logiciel libre va aller un peu de l'avant et conquérir des parts de marché pour sortir de la marginalité et avoir un poids suffisant pour que les mauvaises idées ne soient plus appliquables. Si d'ici 10 ans, il faudrait qu'une personne sur 4 soit sous linux ou un autre OS libre.
[^] # Re: Les TPM sont dangeureux, remote attestation
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 3.
Ce sont des spéculations gratuites.
Réellement,
Quel serait l'intéret pour un fai de certifier l'OS de ses clients?
Et quel serait l'intéret d'un site E-Commerce?
Un tel scénario semble difficilement possible à moins que des lois ne soient votées pour obliger les FAI à le faire. De même, les sites commerciaux qui prendraient des mesures trop strictes s'exposeraient à des pertes de clientèles importantes.
De plus, pour qu'une chose pareille arrive, il faudrait que Linux, Firefox, et le logiciel libre dans son ensemble aient complètement disparus.
A force de crier "au loup" à tort et à travers, il devient difficiel d'avoir de la crédibilité dans les vrais dossiers.
[^] # Re: C'est con ce que je vais dire mais...
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 2.
Sont-ce des desktops? des laptops?
Tu as des sources, des articles? Je pense que ça mériterait de remonter un peu auprès de certaines instances dans la boîte où je bosse... Si tu as du concret, je suis preneur.
Merci d'avance!
[^] # Re: Les TPM sont dangeureux mais peuvent être utiles
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 4.
Si un jour Windows fait ça et que tu n'es pas d'accord, tu n'as qu'à ne pas utiliser Windows... C'est les softs qui utilisent le tpm n'importe comment qu'il faut combattre avant tout.
De fait, il est extrêmement peu probable que nous assistions à ce genre d'abus sous Linux.
[^] # Re: Les TPM sont dangeureux mais peuvent être utiles
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 4.
Parcequ'elle est le plus gros client des sociétés comme Intel, IBM, ... aux usa, c'est l'organisation la plus grosse consommatrice de ressources cpu, le plus gros client d'Intel, sans doutes le plus gros d'IBM... Elle a donc une influence... En plus, il me semble qu'avec le contexte "terrorisons-nous avec nos amis les terroristes", ça doit faciliter les choses...
[^] # Re: Les TPM sont dangeureux mais peuvent être utiles
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 2.
Maintenant pour, sniffer le mot de passe constructeur, il faut qu'il passe quelque-part, et ça, je suppose que ça nécessite une ingénierie sociale assez poussée...
Tu as déjà eu l'occasion de tester le toolkit sinon?
[^] # Re: Les TPM sont dangeureux mais peuvent être utiles
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 2.
Pour le reste, je suis parfaitement d'accord avec toi sur les attaques par variation de voltage et les attaques par chronométrage, et effectivement, je ne saurais pas te dire avec exactitude quelles attaques marchent ou non.
Je suis plutôt d'avis qu'IBM n'aurait pas lancé une puce tpm sans qu'un back-door hardware existe à l'attention de la NSA
Toutefois, la question n'est pas "le TPM est-il fiable" mais "le TPM est-il maléfique", et force est de constater que tu continues dans l'amalgame:
Le tpm n'est PAS un système de DRM, au pire il peut être utilisé par des systèmes DRM comme si il s'agissait d'une librairie de gestion crypto, mais ce n'est pas son seul contexte d'utilisation, loin de là.
Maintenant, ce qui est sûr, c'est que tant qu'on en a pas l'usage, autant le laisser coupé.
[^] # Re: Les TPM sont dangeureux mais peuvent être utiles
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 5.
Les données sont obfusquées, pas les algorithmes.
Maintenant, il est clair qu'un back-door peut toujours exister, mais ça la foutrait très mal pour les supporters du tpm.
Le TPM, ce n'est jamais que l'équivalent d'une carte à puce performante intégrée directement dans le pc, et, ô chance, l'utilisateur a son mot à dire sur son utilisation (sauf éventuellement si il tourne un windows utilisant le tpm de manière dictatoriale)
Si dans 10 ans on en est à l'ordinateur jetable à 20¤ , effectivement il sera peut-être décidé qu'il vaut mieux jeter l'ordinateur et prendre un nouveau avec tpm vierge... Pouvoir redémarrer avec un tpm fait partie de la norme, même microsoft n'a pas intéret à empècher la réinitialisation du TPM sous peine de ne plus pouvoir vendre d'upgrades OS sans remplacer le PC une fois le TPM initialisé.
Sans blagues, tu fais un sérieux amalgame entre industrie du disque/film et fabriquants de matos.
[^] # Re: Les TPM sont dangeureux mais peuvent être utiles
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 10.
Il faudrait revoir le dossier pour laisser tomber le perceptuel et en venir au concret.
Le TPM, c'est quoi?
Un keystore hardware, capable de signer des transactions dans des sessions.
Dan quel but l'utiliser? protéger des données cryptographiques (clefs et signatures) pour les rendre extrèmement difficiles à récupérer si on est pas la personne à les avoir mises dedans (p.ex.: protection d'ordinateur portable contenant des données importantes)
Quel but? éviter que ces données soient compromises trop facilement.
Usage concret sous Linux? Loopbacks cryptés, utilisation de pilotes signés, vérification de l'authenticité du kernel, protection de keystores soft.
Qui décide des points précédents? L'administrateur. Et si on en veut pas/plus? On réinitialise le chip tpm (depuis le bios) qui perdra toutes ses clefs, ce qui permet de tout recommencer depuis zéro, avec ou sans tcpa.
Maintenant, sous windows, les choses peuvent être un peu différentes, mais pas fondamentallement.
Sans blagues, au lieu de continuer à spéculer sur le côté maléfique du tpm, il faudrait un peu lire les docs techniques...
# Ce qu'il faut , c'est de l'éducation...
Posté par ragoutoutou . En réponse à la dépêche TCPA/TPM : la déferlante silencieuse. Évalué à 7.
Il est trop tard pour bloquer le TPM, de plus, celui-ci a des usages légitimes.
Enfin, si les abus du TCPA posent trop de problèmes pour le grand public, celui-ci le rejettera peut-être.
[^] # Re: conclusion
Posté par ragoutoutou . En réponse à la dépêche Les impacts de l'idéologie sur l'efficacité des projets Open Source. Évalué à 5.
déjà, tu fais un amalgame entre libre et bénévola. Tous les projets libres ne sont pas basés sur des bénévoles. Rien que pour le kernel linux, il y a des un grand nombre de salariés bossant dessus. MySQL est aussi basé sur des salariés.
Ensuite, si le projet est bien géré et concerne des domaines intéressants, que ce soit un projet libre ou non, la motivation vient de ce que l'informaticien en apprend, de ce qu'il en retire dans sa propre évolution, de son impression de faire avancer les choses sans pour autant tout devoir porter sur ses épaules.
Dans le cas d'un projet mal géré, où le développeur ne voit pas où il va, où les questions importantes sont gérées trop lentement et deviennent bloquantes, le développeur pedra sa motivation. Il sera juste un peu plus difficile pour lui de quitter un projet où il est salarié et a signé un contrat qu'un projet où il est bénévole.
[^] # Re: Amusant...
Posté par ragoutoutou . En réponse à la dépêche You OS, un OS en ligne. Évalué à 4.
C'est en effet un bel argument marketting, mais pas de très bonne fois... Dire aux utilisateurs qu'ils ne sont pas assez responsables pour avoir la garde de leurs données, afin d'en prendre le contrôle, ça reste de la manipulation...
De plus, un système pareil n'est pas exempt de problèmes de virus et de failles de sécurité, loin de là (il y a déjà pas mal de précédents avec des systèmes comme MS Passeport), de même qu'un mot de passe mal torché sur un tel système sera bien plus dangereux que sur un linux moyennement sécurisé (voir un XP décemment patché).
Sans compter les risques de perdre toutes les données dans le cadre de désastre ou même d'enquêtes de police (saisie de serveurs, des backups, disques confisqués/perdus/détruits ..., car des serveurs contenant les données d'utilisateurs deviendront vite des cibles de choix dans les enquêtes).
# Amusant...
Posté par ragoutoutou . En réponse à la dépêche You OS, un OS en ligne. Évalué à 8.
De nos jours, la grande tenance est d'inciter les utilisateurs à confier leurs données à des sociétés tierces, et cette tendance ne devrait pas rester sans réactions et questions de la part du public concernant les responsabilités en cas de vol de données, de vol d'identité, de pertes de données, d'abus...
[^] # Re: l'ogg, je suis à fond pour mais...
Posté par ragoutoutou . En réponse à la dépêche Radio France arrêterait-elle le Ogg Vorbis ?. Évalué à 2.
certainement, mais comme je l'ai dit, tant qu'il n'y a pas un gros produit en ligne de mire, ...
Et puis nombreux sont les lecteurs récents dont les constructeurs payent les brevets sur le mp3, mp4-aac-HC/LE,... et certainement que les licenses concernant ces brevets couvrent aussi ces constructeurs pour l'ogg... Le seul moyen de vérifier si l'ogg pose problème au niveau brevets serait d'avoir un produit majeur offrant la fonctionnalité et dont le constructeur ne payerait aucun brevet ni pour mp3, ni pour mp4, ...
Pour les jeux, effectivement, c'est pas les moindres, il faudrait voir quelles sont les mesures préventives prises par les producteurs pour ne pas se faire chopper par un procès.
[^] # Re: l'ogg, je suis à fond pour mais...
Posté par ragoutoutou . En réponse à la dépêche Radio France arrêterait-elle le Ogg Vorbis ?. Évalué à 3.
enfin, le "très" correspond à "pas beaucoup" si on regarde la pénétration du marché grand public. Personne ne fera de procès à l'ogg si il n'y a pas gros gains à la clef. Si l'ogg avait ne fut-ce que le tiers du succès du mp3, ça bougerait peut-être pour essayer de vendre des licenses aux fabriquants de balladeurs ogg (si ces brevets ne sont pas déjà couverts par une écentuelle license mp3 déjà acquise pour le lecteur)...