Lors d'un congrès récent, des chercheurs du MIT ont présentés une solution paliant à un problème épineux : comment permettre un accès à une base de données chiffrée sans pour autant tout déchiffrer ? Quid de la garantie de confidentialité (possibilité d'attaques externes) ? Quid de la délégation des droits de gestion (possibilité d'accès aux données par un administrateur système ou DB) ?
En pratique il s'agit d'un proxy écrit en C++ (pour la bibliothèque) et Lua (pour le module). Côté implémentation, l'usage d'un proxy permet un déploiement sur une infrastructure existante et ne perturbe pas l'usage des applications existantes. Il peut s'utiliser aussi bien sur MySQL que sur PostgreSQL. Il utilise un nouveau protocole issu de NTL. Ainsi que RND (Random), DET (Deterministic), OPE (order preserving encryption) & Join, HOM (Homomorphic encryption). CryptDB est en mesure de basculer à la volée entre divers systèmes de chiffrement en fonction des opérations... Donc de travailler sur des données dont le chiffrement est de type "oignons" (chiffrement sur chiffrement)
Le champ applicatif semble vaste... Militaire, médical, entreprises, communautés ... Il permet une délégation plus aisée de la gestion physiques et systèmes des bases de données. Une garantie de sureté même lorsque la totalité de la chaîne de gestion a été compromise (accès aux serveurs, failles dans les applications). Une exposition plus faible, et plus atomisées, des données déchiffrées (principe jusqu'alors théorique de la boite : toute les manipulations se passent à l'intérieur, ce qui est à l'intérieur n'est jamais exposé). Enfin, il fait cela en quelques secondes lorsque les systèmes actuels demanderaient plusieurs milliers d'années.
On notera que des mauvaises langues supputent qu'il sera difficile de trouver des clients comprenant CryptDB. On notera, à contrario, que la DARPA serait d'ores et déjà intéressée, puisque CryptDB s'avère proche de l'objectif initial énoncé par l'organisme de défense, qui n'avait jusqu'à alors pas été atteint, même en théorie... De nombreux "cas d'usages" ont été étudiés, et des tests de tenues en charge, sur diverses applications, réalisés. Ainsi que des tests comparés. Enfin ses limitations sont minces, il remplit 99,5% des cas d'usages des requêtes SQL. Pour le test c'est pour leur GIT public que cela se passe.
git clone -b public git://g.csail.mit.edu/cryptdb
- Dernière révison du PDF publié
- Archives de la liste de diffusion (qui démarre tout juste)
- Site de publication initiale
- Site officiel de CryptDB
CryptDB est disponible sous license GPL v3.
Bonne lecture. Et bons tests, éventuellement! ;-)
# ca pourrait faire une depeche
Posté par NeoX . Évalué à 7.
tout est dans le titre ;)
[^] # Re: ca pourrait faire une depeche
Posté par Jiehong (site web personnel) . Évalué à 2. Dernière modification le 20 décembre 2011 à 13:32.
Exactement !
J'en profite pour signaler une erreur que bien trop de gens font (en première ligne) : « pallier quelque chose et non pallier à. Je suppose qu'il s'agit d'une confusion avec remédier à
et puis on ne peut supputer que des chiffres/quantités…
[^] # Re: ca pourrait faire une depeche
Posté par windu.2b . Évalué à 3.
J'en rajoute une couche :
[^] # Re: ca pourrait faire une depeche
Posté par bubar🦥 (site web personnel) . Évalué à 2. Dernière modification le 20 décembre 2011 à 15:44.
et des s en trop, également.
mais au delà de corriger les fautes, et dans l'objectif d'en faire une dépêche digne de ce nom, il faudrait que quelqu'un zieute le code, parceque là, j'ai l'impression qu'il en manque un morceau... Sinon pour faire une dépêche, ça serait bien de sauter sur l'occasion pour détailler ce que décris oinkoink_daotter< dans son dernier commentaire (ainsi faire le distingo entre les méthodes citées, et les algo utilisés. En l'Etat il est vrai que cela peut amener à un mélange, et il n'y a pas de citation concernant blowfish en cbc (un seul exemple)...bref étoffer !!)
[^] # Re: ca pourrait faire une depeche
Posté par Marotte ⛧ . Évalué à 4.
PALLIER, verbe trans.
A. −Dissimuler, faire excuser (une faute, une chose fâcheuse) en présentant sous un jour favorable, en mettant en avant un élément positif. Pallier un défaut, une faute, une ignominie.
1. Qqn pallie qqc.1 (de, par qqc.2). Quand une femme a le malheur de ne pas aimer son mari, elle trouve toujours des raisons pour pallier à ses propres yeux un tort que sa conscience réprouve (Feuillet, Honn. d'artiste, 1890, p.211)
[...]
Rem. Dans ce dernier sens (et p.anal. avec obvier à, parer à, remédier à) l'emploi trans. indir. pallier à qqc., critiqué par les grammairiens puristes, est fréq.: Je serais parfaitement heureux, si je n'avais le coeur plein de la tristesse de Ghéon. J'ai écrit à Jean Schlumberger d'y pallier s'il se peut dans une note (Gide, Journal, 1914, p.418). On pourrait, pour pallier immédiatement aux symptômes asphyxiques, (...) pratiquer l'intubation (Bory ds Nouv. Traité Méd. fasc. 8 1925, p.288). Le tannage au fer constitue seulement un procédé de crise destiné à pallier au manque éventuel d'approvisionnement en sels chromiques (Bérard, Gobilliard, Cuirs et peaux, 1947, p.94).
Tu es un grammairien puriste, le savais-tu ?
SUPPUTER, verbe trans.
[...]
P. anal. Estimer la qualité d'une matière. Ce (...) goût qui fait qu'un tailleur en vous voyant suppute instinctivement l'étoffe de votre habit et même ne peut s'empêcher de la palper (Proust, Prisonn., 1922, p. 366).
Encore plus puriste que Proust ! :)
source
[^] # Re: ca pourrait faire une depeche
Posté par ɹǝıʌıʃO . Évalué à 7.
Ou comment faire dire à un exemple le contraire de ce qu'il dit…
C'est-à-dire : elle trouve toujours des raisons pour, à ses propres yeux, pallier un tort que sa conscience réprouve. L'exemple illustre donc l'emploi de pallier comme verbe transitif direct.
[^] # Re: ca pourrait faire une depeche
Posté par Marotte ⛧ . Évalué à 0. Dernière modification le 20 décembre 2011 à 20:43.
Grosso modo, on ne peut pas dire "pallier à ceci cela" mais "pallier cela à ceci" serait correct ?
Pallier à ses propres yeux un tort vs Pallier un tort à ses propres yeux
La langue française ne cesse de me démontrer son illogisme.
OK, soit, mais j'ai quand même du mal à comprendre pourquoi pallier à serait si moche...
PS : on peut éditer mais pas supprimer son message. Je crois que j'ai compris le truc...
Néanmoins les autres exemples restes valides.
[^] # Re: ca pourrait faire une depeche
Posté par Grunt . Évalué à 6.
"pallier" vient du latin palliare qui signifie "recouvrir d'un manteau". c'est un non sens de "pallier à".
C'est comme "suicider", qui signifie étymologiquement "se tuer": on ne devrait pas dire "se suicider". Même si les circonstances où l'on emploie ce verbe font que l'erreur est rarement corrigée.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: ca pourrait faire une depeche
Posté par Jux (site web personnel) . Évalué à 1.
Oui mais on ne parle plus latin et le français a eu quelques siècles d'usage pour changer.
Bref, c'est bon, tu nous as exposé ta culture, on peut passer à autre chose.
[^] # Re: ca pourrait faire une depeche
Posté par barmic . Évalué à 4.
Non il a présenter l'étymologie du mot ce qui se fait généralement pour tenter de comprendre l'usage d'un mot. Toi tu en déduit qu'il cherche à montrer sa culture parce que tu es aigris, mais il est tout à fait possible qu'il ai simplement chercher dans un dictionnaire étymologique :
http://fr.wiktionary.org/wiki/pallier
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: ca pourrait faire une depeche
Posté par Grunt . Évalué à 10.
En fait je n'ai pas cherché, je me suis fait reprendre sur l'usage du verbe "pallier" par un ami écrivain, il y a quelques temps.
Après, il y a deux attitudes quand quelqu'un nous fait remarquer une erreur: on peut soit accepter qu'on s'est trompé, prendre note du bon usage, et transmettre à son tour la correction. Ou bien on peut réagir comme un aigri, et laisser des aberrations se répandre, jusqu'à ce qu'elles soient tellement répandues que l'Académie ne puisse faire autrement que les accepter comme étant le bon usage.
On en arrive ainsi à des aberrations délirantes, dont la dernière réforme de l'orthographe est un bon exemple:
http://www.leparisien.fr/societe/nouvelles-regles-d-orthographe-dix-points-a-connaitre-09-11-2011-1710512.php
Les mots perdent leur étymologie ( coût, entraîner), les accords se font à l'encontre du bon sens (un compte-gouttes est un appareil qui compte plusieurs gouttes. S'il n'y en avait qu'une on n'aurait pas besoin de compter. compte-goutte au singulier et compte-gouttes au pluriel n'a aucun fondement.)
Toutes ces réformes ont pour cause le fait que de plus en plus de français (et je parle là de gens nés en France de parents français, pas d'étrangers qui pour certains pourraient donner des cours de langue à la majorité de la population dite de souche ) ne respectent plus les règles simples de construction de la langue, ne cherchent plus à comprendre d'où viennent les mots. Face à un problème (une population qui devient analphabète), on entérine l'analphabétisme au lieu de faire respecter les règles de la langue. C'est un nivellement par le bas qui est à l’œuvre, et qui conduit à un appauvrissement de la langue. On perd du sens quand on abandonne l'étymologie des mots et la logique des accords. On perd également la beauté de la langue, voire sa capacité à exprimer des idées complexes: La "novlangue" décrite par Orwell dans son roman 1984 a pour but, en appauvrissant le langage, d'appauvrir la pensée.
Tout ceci fait qu'il me semble nécessaire de résister, que ce soit en corrigeant au feutre les fautes trouvées dans l'espace public, ou en reprenant les gens sur LinuxFR, même si ça les aigrit.
Bonne journée.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: ca pourrait faire une depeche
Posté par NeoX . Évalué à -2.
y a pas aussi des trucs comme
nenuphare => nenufare
sinon dans leur reforme en 10 points, y en quelques uns qui m'arrangent comme l'oubli de l'accent circonflexe (deja que je ne met pas les accents meme avec un clavier francais)
au moins maintenant je pourrais dire que c'est dans la "norme"
[^] # Re: ca pourrait faire une depeche
Posté par Grunt . Évalué à 8.
Tu as un peu d'avance : on met encore quelques accents pour décorer. Sur déjà par exemple.
Mais, la bouillie en 7 bits que tu déverses ici et qui nous arrache les yeux sera peut-être la norme dans vingt ans, si on ne réagit pas. C'est triste, non?
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: ca pourrait faire une depeche
Posté par NeoX . Évalué à -1.
cool je suis en avance sur mon temps ;)
merci grunt de me remonter le moral en ces tristes jours de grisailles.
et pour nenufar (cf le post ci-dessous, je ne savais point que c'etait l'ecriture d'origine
merci pour l'info aussi
[^] # Re: ca pourrait faire une depeche
Posté par Marotte ⛧ . Évalué à 4.
Tu n'es pas le seul à ne pas utiliser d'accent. Si je ne dis pas de bêtises cette habitude date d'une époque ou il n'y avait que l'ASCII. Maintenant on a les moyens de le faire alors pourquoi continuer sur cette voie ? Les accents permettent parfois d'éviter des ambiguïtés, on a pas toujours le contexte.
Personnellement je trouve ça parfois dur à lire. Est-ce que tu ne mets non plus aucun accent quand tu fais une lettre, ou un rapport, ou que sais-je à destination de tes collègues, de l'administration ?
[^] # Re: ca pourrait faire une depeche
Posté par NeoX . Évalué à 2.
selon la nouvelle reforme on dit :
ambigüités
:p
pour les accents en fait je les mets quand mes doigts y pensent.
et quand je passe un correcteur d'orthographe sur mon texte (pour un rapport par ex.)
sinon dans mon metier, on cause anglais, alors les accents j'en croise pas souvent.
ca doit venir de là. (ah tient, un accent sur le a )
[^] # Re: ca pourrait faire une depeche
Posté par Marotte ⛧ . Évalué à 1. Dernière modification le 21 décembre 2011 à 18:09.
Il s’agit de recommandations ; ces rectifications ne sont pas imposées, mais recommandées officiellement :
En France, l’ancienne et la nouvelle orthographes sont officiellement toutes deux valables dans les examens officiels.
Mais merci quand même. Ça m'évitera peut-être de passer pour un con en reprenant quelqu'un qui mettrait le tréma sur le u :)
Je trouve la nouvelle forme effectivement plus logique. Si j'en crois cette source le tréma sert à ce que l'on prononce la voyelle indépendamment des lettres qui l'entourent. Donc dans ce cas s'il est sur le i il sert à rien et on devrait prononcer ambiGUité avec le son "GU" (comme dans "guilde") (oui je sais l'API toussa, flemme...)
Espèce d'assisté ! :)
Du coup tu serais légèrement dans la merde si tu devais taper ton rapport avec un autre outil moins évolué...
Tu as de la chance. Personnellement je trouve que l'anglais est une langue qui brille par sa simplicité. À mon avis c'est une des raisons qui font qu'elle se répend ainsi autour de la planète.
Par exemple, une fois que tu as saisi la concordance des temps et appris les verbes irréguliers la conjugaison est un jeu d'enfant. De plus presque chaque mot peut être un nom ou un verbe, avec la même orthographe, a run une course, to run courir, a soap un savon, to soap savonner, etc...
J'aime bien aussi un des concept de l'espagnol (il y a d'autres langues dans ce cas) où toutes les lettres se prononcent, toujours de la même manière, et où on transcrit les mots étrangers (ex : fùtbol)
[^] # Re: ca pourrait faire une depeche
Posté par Marotte ⛧ . Évalué à 2.
Et flûte... trop tard : s/répend/répand/
[^] # Re: ça pourrait faire une dépêche
Posté par portninwak_ . Évalué à 1.
Normalement, le tréma se met (mettait ?) sur la deuxième lettre du digramme qui n'en est pas un comme dans coït ou les prénoms bretons type Maël & co. En ce qui concerne ambigu et ses dérivés, on devrait donc avoir (comme je l'ai appris et comme mon Petit Robert d'il y a dix ans me le dit) ambiguë et ambiguïté (visiblement le correcteur orthographique n'aime pas ça...). Je pense que ça vient de la difficulté de beaucoup pour le ë d'ambiguë qui du coup précise que le e est muet, ce qui n'est pas très naturel (mais logique).
Sur ton lien, y a des choses un peu étranges, comme ajouter des trémas sur le u de gageure alors que c'est un digramme prononcé "normalement".
Mettre le tréma sur la première lettre peut conduire à des exemples franchement bizarres. Lu sur une page web à ce sujet : "du coup, il faut écrire mäis au lieu de maïs ?"
[^] # Re: ca pourrait faire une depeche
Posté par ɹǝıʌıʃO . Évalué à 3.
Excellent exemple de très bonne mesure prise dans le cadre de cette réforme. Nénufar (sans e) s'est écrit avec un f de l'origine à 1935, date à laquelle apparait le ph sans aucune justification, peut-être pour ressembler à phare. Depuis 1990, on retrouve l'orthographe d'origine, qui se justifie par l'étymologie. Et une anomalie de moins, une !
[^] # Re: ca pourrait faire une depeche
Posté par JGO . Évalué à 4.
mémé toi-même dis donc !
L'accent circonflexe ne disparait pas, son usage est
1) modifié pour suivre les évolutions de la prononciation. même ≠ mémé, casserole ≠ casse-rôle, jeune ≠ jeûne…
2) maintenu pour les mots ambigus : du/dû, mur/mûr, sur/sûr, je crois/je croîs, il fut/qu'il fût
3) maintenu au passé simple et à l'imparfait du subjonctif
L'accent qui est retiré dans les Recommandations est celui qui s'utilisait à la troisième personne du singulier des verbes en -itre (sauf croître), n'ayant plus de rôle grammatical ni phonétique
[^] # Re: ca pourrait faire une depeche
Posté par barmic . Évalué à 3.
Ah mais tu as tout à fait raison. Je me fais de temps en temps reprendre par ici et, même si ça ne me fait pas plaisir, je tente de prendre en compte les remarques :)
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: ca pourrait faire une depeche
Posté par barmic . Évalué à 4.
Pour tant on sait bien que certains (comme la branche clandestine de la CIA) suicide des gens.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: ca pourrait faire une depeche
Posté par Guillaume Rossignol . Évalué à 4. Dernière modification le 20 décembre 2011 à 22:21.
On peut dire "pallier à ceci cela" comme le montre la phrase d'exemple mais il faut bien voir ce qui est pallié dans l'histoire.
pallier à ses propres yeux un tort
c'est le tort qui est pallié vis-à-vis de soit même. Le "à ses propres yeux" est (il me semble) juste un complément circonstanciel (d'ailleurs, si on le retire, la phrase garde son sens) alors que "tort" et le complément d'objet du verbe.
[^] # Re: ca pourrait faire une depeche
Posté par koxinga . Évalué à 3.
Aïe.
# huh ?
Posté par oinkoink_daotter . Évalué à 4.
Si tu ne précises pas que le système en question est capable d'empiler les mécanismes précités (je n'ai pas vérifié), le "donc" est hardi : ce n'est pas parce qu'il est capable d’utiliser au choix une brique pour accéder à une donnée qu'il est capable de les empiler.
Euuuh je ne vois qui rien qui protège contre une divulgation de la clef, ce qui va arriver si toute la chaîne est compromise (auquel cas tu es coincé) ! D'ailleurs j'aimerais bien savoir ce qu'a la DARPA derrière la tête...
Tu peux expliquer ? Même dans le contexte du paragraphe, ça n'a aucun sens !
[^] # Re: huh ?
Posté par Maclag . Évalué à 3.
C'est parce que tu n'as pas la bonne clé!
Mais que c'est beau de voir tous les efforts faits pour construire des systèmes sûrs, inviolables sans supers-ordinateurs qui mettront des siècles à casser les clés.
Alors qu'en réalité, les pirates se contenteront de craquer le Windows pas mis à jour des utilisateurs pour récupérer leurs clés et/ou mots de passe pas protégés stockés dans un e-mail comprenant la mention "détruire après lecture".
--------------> [ ]
[^] # Re: huh ?
Posté par bubar🦥 (site web personnel) . Évalué à 2.
vrai, mais avec cette clef, et cryptdb, il fera quoi le pirate ?
à part s'il obtiens les bonnes clefs, pas grand chose. mais si le gars qui a les bonnes clefs laissent ça trainer sur un windows, comment dire ? pfffuuuu ?
[^] # Re: huh ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 4.
Non, il se contentera de demander le mot de passe à l'utilisateur parce que c'est le moyen le plus simple et le plus efficace.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Et les indexes ?
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 5.
Comment se passe le chiffrement de colonnes indexées ?
[^] # Re: Et les indexes ?
Posté par oinkoink_daotter . Évalué à 3.
OPE a l'air d'être capable de préserver les relations d'ordre. Je pense que ça doit aider (mais les bases de données c'est pas mon métier - et je les vomis).
# SELinux
Posté par barmic . Évalué à 2.
N'est ce pas la problématique addressé par l'intégration de SELinux dans postgresql 9.1 ?
Si c'est le cas, y a-t'il eu des comparaison entre l'un et l'autre ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: SELinux
Posté par bubar🦥 (site web personnel) . Évalué à 2.
Donc non, du tout.
Je pense même que cela peut venir en plus. (cad : utiliser sepgsql par dessus cryptdb afin de certifier les requêtes au préalable)
[^] # Re: SELinux
Posté par barmic . Évalué à 2.
Donc j'imagine que l'objectif est de passer à une granularité au tuple près
Je ne me suis pas trop penché sur la question, mais en quoi est ce que ça pose problème ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: SELinux
Posté par oinkoink_daotter . Évalué à 2. Dernière modification le 20 décembre 2011 à 22:15.
C'est un peu la même finalité en fait : offrir un contrôle d'accès durci aux données, mais pas les même moyens.
sepsql via SELinux va imposer via les mécanismes du noyau un contrôle d'accès MAC très fin aux données.
cryptdb lui, va cloisonner les données par de la crypto.
L'un repose sur la robustesse du noyau, l'autre sur le fait que les clefs restent secrètes.
La solution crypto est plus robuste, mais je pense qu'elle est moins souple sur ce qui est protégé (ex: OPE pour les relations d'ordres ne me semble marcher que si toute la colonne est protégée). Je n'ai pas regardé donc je ne sais pas comment est géré le multiutilisateur dans une table ... Ca suppose aussi que la machine ne soit pas complètement corrompue, car si c'est le cas, l'admin pourra récupérer la clef des opérations crypto faites en local.
sepsql est plus souple mais n'offre de cloisonnemnt crypto au cas ou il serait bypassé (m'enfin à ce niveau, on doit être déjà marron ;) ). Et comme il marche dans la bdd, il ne faut pas oublier de mettre des acl selinux sur les fichiers physiques pour éviter que l'admin parte avec :)
edit: je ne connaissais pas sepsql, j'ai regardé la doc développeur, j'aime bien :)
[^] # Re: SELinux
Posté par bubar🦥 (site web personnel) . Évalué à 2. Dernière modification le 21 décembre 2011 à 03:17.
oui, mais je t'invite à lire au moins le pdf qui a servi pour la conférence, tu en tirera des élements intéressants, j'en doute pas. Par exemple, dans le cas de sepsql il n'a pas de notion de délégation de droits (les réels) : l'admindb ou le sysadmin continue d'avoir un full-accès à la base, assez facilement (y compris si le fs ou la base est/sont chiffrées). Avec cryptdb ce n'est plus le cas. Et ce n'est qu'un exemple des différences entre les deux.
[^] # Re: SELinux
Posté par Krunch (site web personnel) . Évalué à 2.
Ah vrai dire je pense qu'il devrait être possible d'utiliser sepsql en conjonction avec un système à la CryptDB. On fait du contrôle d'accès au niveau de la structure de la base de données et le contenu n'est déchiffré que par les clients. Les deux systèmes ne protègent pas la même chose mais ils ne me semble pas incompatibles.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.