Ce qu'entendait (probablement, je ne suis pas dans sa tête) l'auteur de la news par sa phrase :
beaucoup de services importants tels que la messagerie dépendent du DNS
doit se référer aux enregistrements MX du DNS. Ces enregistrements indiquent quels sont les serveurs qui doivent traiter les emails à destination d'un domaine. Les serveurs DNS font donc beaucoup plus de travail que la "simple" resolution nom -> IP pour ce qui touche à la messagerie.
De plus, la résolution nom -> IP peut être cachée par d'autres serveurs DNS plus proches de l'utilisateur, ou même par un fichier hosts directement chez l'utilisateur (et on peut donc parfois se passer complètement d'un accès au serveur DNS du domaine pour résoudre le nom vers l'IP). Par contre, ces opérations de cache et le fichier hosts ne fonctionnent pas pour ce qui est des enregistrements MX. Donc un serveur DNS d'un domaine qui ne répond bloque complètement la messagerie du domaine, sans possibilité de contourner le problème (à l'exception, bien sûr, de l'utilisation de serveurs de noms secondaires, tertiaires, ...).
L'universitaire qui l'a trouvé n'a fait cette découverte que vingt ans après la sortie du DES. Lorsque le DES a été conçu, l'algorithme de déchiffrement différentiel n'existait pas pour le grand public.
Mais étant donné les modifications apportées par la NSA à l'algorithme DES, on en arrive à la conclusion que le déchiffrement différentiel avait déjà été trouvé par la NSA au moins vingt ans plus tôt. Et bien sûr, classé secret défense comme tout ce qui touche à la NSA.
Effectivement, la NSA peut avoir déjà de tels algorithmes. Pour se convaincre que ce n'est pas de la paranoïa, une lecture de l'excellent livre Applied Cryptography (désolé, je ne sais pas quel est son titre en français bien que je sache qu'il a été traduit) de Bruce Schneier en apporte une preuve.
Au chapitre qui traite de l'algorithme DES, Bruce Schneier explique que la NSA a apporté des modifications à l'algorithme tel qu'il a été développé par les concepteurs de base. Pendant longtemps on s'est demandé pourquoi ces modifications avaient été apportées. Vingt ans après la "création" de l'algorithme, la réponse est apparue. Un nouveau type d'attaque avait été trouvé par un chercheur universitaire : la cryptographie différentielle (utiliser des bouts de différents messages et les comparer entre eux pour trouver des failles). Il s'est alors avéré que les modifications apportées au design du DES par la NSA rendait l'algorithme quasiment invulnérable à des attaques différentielles. Et la modification apportée était le strict minimum pour rendre l'algorithme invulnérable. Alors que le design original était quant à lui très vulnérable à ce type d'attaque. Conclusion : la NSA connaissait déjà les méthodes d'attaques différentielles lors de la création du DES. Ils avaient donc au moins vingt ans d'avance sur le reste du monde pour les algorithmes de déchiffrement.
Maintenant, on peut se poser la question de savoir si cette avance a diminué, augmenté ou est restée à la même différence... À mon avis, elle n'a en tout cas pas diminué (mais je ne base cela sur aucun fait).
le plus inquiétant c'est le cassage possible du cryptage 1024 bits. tout etant encore souvent basé sur la simple clé 128 bits (commerce, etc..)
Attention à ne pas faire des amalgames entre des algorithme de chiffrement de type différents. L'article parle de clés pour des algorithmes asymétriques. Le commerce électronique est basé à la fois sur des algorithmes asymétriques (échange de clés utilisées pour créer un canal sûr) et symétriques (transfert des donées). Une fois le canal sûr créé, les deux parties l'utilisent pour s'échanger une clé de session (qui sera la clé pour le chiffrement symétrique) et n'utilisent plus qu'un algorithme symétrique pour s'échanger les informations. La raison de ceci est qu'un chiffrement symétrique est nettement, très nettement, plus rapide qu'un chiffrement asymétrique. En plus, on peut plus facilement implémenter au niveau matériel un chiffrement symétrique.
En ce qui concerne la longueur des clés, lorsqu'on parle de chiffrement pour le "e-commerce" avec des clés à 128 bits, il s'agit de la longueur de la clé utilisée dans l'algorithme symétrique. La longueur des clés utilisées pour la partie asymétrique est souvent de 1024 bits. Et n'oublions pas qu'à longueur de clé égale (bien que cela n'ait absolument aucun sens de prendre une clé symétrique de 1024 bits ou une clé asymétrique de 128 bits), un algorithme symétrique est nettement plus difficile à casser qu'un algorithme asymétrique. C'est pourquoi on trouve des longueurs de clés allant sans problème jusqu'à 4096 bits pour des clés GPG, alors que l'on a toujours du 128 bits pour le "e-commerce".
Je ne me souviens malheureusement plus quel est le facteur de correspondance sur la longueur des clés pour les deux types d'algorithme afin d'avoir le même niveau de sécurité. Peut-être quelqu'un d'autre a-t-il cela sous la main ?
Posté par zeiram .
En réponse à la dépêche LyX 1.2.0.
Évalué à 10.
Très bien, excellent choix le Joli Manuel Pour Latex2e (JMPL en abrégé). Toutefois, je conseillerais plutôt la version PS que la version PDF pour une plus grande facilité de lecture à l'écran (rassurez-vous, la qualité à l'impression est la même dans les deux cas). On peut trouver la version PS à l'adresse : http://www.ctan.org/tex-archive/info/JoliManuelPourLaTeX.ps.gz(...)
Certains reprochent à ce guide d'être trop vieux (il a été écrit en 1995), toutefois les concepts de base de LaTeX n'ont pas évolué depuis. Seules beaucoup d'extensions (packages) ont évolué. Ce manuel reste donc une excellente introduction aux bases de LaTeX.
Non, ce n'est pas tout à fait vrai. En effet, le package de WineX contient des DLLs qu'ils ne peuvent pas redistribuer sous une forme autre que binaire. Ces DLLs ne peuvent donc pas être dans les packages de Debian... et du coup cela va faire de la mauvaise pub à Transgaming, donc ils risquent de perdre des ventes.
Pour plus de détails, voir mon autre message plus bas.
J'avoue par contre, meme apres lecture, tres mal cerner les raisons qui font qu'ils veulent interdire les packages tout en laissant les sources libres.
En gros, ce message dit ceci : ils (Transgaming) souhaitent ne pas autoriser la distribution de packages binaires pour éviter de la confusion chez les utilisateurs. En effet, ils proposent une version binaire de WineX qui contient plusieurs DLLs (utilisées principalement pour tout ce qui touche la protection contre la copie des jeux) qu'ils ont le droit de redistribuer, mais pas de "sous-licencer". Donc ces DLLs ne sont absolument pas libres et ne pourront donc jamais apparaitre dans une autre distribution binaire que celle de Transgaming.
Par conséquent, on va se retrouver avec des versions binaires de WineX qui font tourner tous les jeux (celles de Transgaming) et des versions binaires qui ne feront tourner que peu de jeux (les versions des distributeurs, par exemple Debian). Tout cela risque de faire de la mauvaise publicité à Transgaming et c'est pourquoi ils envisagent de modifier leur licence.
Toutefois, le message du CTO de Transgaming est plus modéré que ce que l'on pourrait croire en lisant le message cité dans la news. En effet, il dit se "réserver le droit de changer de licence s'ils estiment que la version distribuée par Debian porte atteinte à leurs revenus" mais que toutefois "ils préféreraient ne pas avoir à le faire" (traduction par moi-même). Ce n'est donc pas une menace à effet immédiat.
Ca existe déjà en partie... Grub en est une approche. Il s'agit d'un moteur de recherche basé sur un système distributed.net (ou Seti@Home selon vos préférences personnelles) pour parcourir le web et indexer les pages webs. Les concepteurs prévoient d'ouvrir leur base de données gratuitement pour des utilisations non commerciales et de vendre des licences pour une utilisation commerciale. Le client de parcours des pages est Open-Source.
À mon avis, les tests dont ils parlent sont en rapport avec le trou de sécurité qui a affecté NS6 et Mozilla récemment, voir la news LinuxFR qui a déjà bien parlé de ce bug : http://www.linuxfr.org/2002/05/02/8144,0,0,0,1.php3(...)
Pour rappel, ce trou de sécurité permettait à du code Javascript d'accéder au contenu d'un fichier sur le disque, ceci à cause d'un problème de gestion de la sécurité lorsque l'utilisateur (ou le code javascript) fait un "back". Ce bug a été corrigé en moins de 24h chez Mozilla et n'est plus présent dans la RC2, je ne sais pas ce qu'il en est de NS6. La RC1 de Mozilla n'était, parait-il, pas sujette à ce bug car la fonction qui buggait n'était pas implémentée dans cette version-là (pour ce point-là, ce sont des oui-dire, je n'ai pas vérifié).
À noter également que IE a eu ce même problème il y a quelque temps déjà, donc si c'est effectivement lié à ce bug que les banques refusent NS6 ou Mozilla, elles font preuve de pas mal de mauvaise foi en acceptant IE... (mais ce ne serait pas la première fois que cela arrive).
Petite correction en ce qui concerne Mozilla. Le bug a été ouvert dans Bugzilla le 29 avril (soit la veille du communiqué de presse des inventeurs du bug, cela étant probablement dû aux fuseaux horaires). Le bug a été corrigé moins de 24h après l'ouverture du bug... Donc dire que Mozilla n'est pas "corrigé de ce point de vue" est une légère entorse à la réalité. Pour plus d'infos, voir le bug sur bugzilla : http://bugzilla.mozilla.org/show_bug.cgi?id=141061(...)
Par contre, il est vrai que les inventeurs de ce bug n'ont malheureusement pas pris la peine d'informer directement Mozilla lorsqu'ils l'ont découvert. :-(
Je suis tombé par hasard sur Grub récemment, qui n'est pas vraiment P2P mais s'en rapproche pas mal. Leur système de récupération de pages web est en fait basé sur une "collaboration" de type Seti@Home ou distributed.net (les utilisateurs font tourner un client qui récupère un certain nombre de pages puis les soumet à un serveur qui gère les résultats).
À noter que les concepteurs de Grub prévoient d'ouvrir leur base de données pour des utilisations non commerciales (et de la licensier pour d'autres).
L'adresse de leur site : http://www.grub.org
Petite question, as-tu compilé ton application avec cygwin en mode natif (donc avec l'option -mno-cygwin [1]) ? Si ce n'est pas le cas, c'est effectivement la DLL de cygwin qui aura géré cet appel fautif, donc plus d'erreur apparente.
Il serait intéressant de refaire le test en compilant avec l'option que je mentionne ci-dessus. Malheureusement n'ayant pas installé cygwin sur ce poste, je ne peux pas faire ce test moi-même.
[1] L'option -mno-cygwin indique au compilateur de cygwin d'utiliser les librairies de mingw pour les appels systèmes, en lieu et place des librairies de cygwin. Ainsi, on obtient des applications qui peuvent se passer de la DLL de cygwin, mais qui ne peuvent rien faire de plus que ce qui est mis à disposition par Win32.
Il faut quand même noter que l'article (bien que très intéressant) n'est pas récent. Il date en effet du mois de mars 1996... Ce qui m'a mis la puce a l'oreille ? Le passage où il est indiqué que la date de sortie de PGP 3.0 est difficile à estimer : "automne 1996 semble le plus probable". (Traduction de mon cru, la citation n'est probablement pas 100% exacte.) Donc n'oubliez pas que les logiciels et certaines des technologies qui sont décrits ici ont évolués depuis six ans.
Pour moi, Lynch a atteint ici le sommet de son art. Et je dois avouer ne pas etre d'accord du tout avec toi quand tu dis :
>D'ailleurs il est même plutot facile d'interpréter la logique et le fil conducteur de l'histoire.
D'accord, au premier abord la trame semble lineaire (et cela est certainement du au fait qu'elle est bel et bien lineaire durant la premiere partie du film), mais elle recelle malgre tout plein de details dont je suis persuade qu'ils ne prendront sens que lors d'une deuxieme, voire troisieme, vision et qui remettront totalement en cause cette trame lineaire. Mais n'ayant pas encore revu le film, cela reste pour l'instant un sentiment.
Mais c'est vrai qu'il est moins troublant qu'un Lost Highway ou un Twin Peaks. (Je ne suis reste avec le regard dans le vide que trois quarts d'heure apres avoir vu Mulholland Drive contre plus d'une heure et demie apres Lost Highway. :-) )
>Dans tous les cas, lisez The Cathedral And The Bazaar !
Pour tous ceux que ce texte intéresse, voici un lien vers la page de ESR où l'on peut le trouver (ca évitera une recherche Google à certains) : http://tuxedo.org/~esr/writings/(...)
>Si aucun avion n'a ete detoune, c'est plutot grace au fait qu'ils ont moins d'avions que les autres compagnie.
Cela est peut-être un facteur, toutefois ce n'est pas 100% vrai. Il y a eu en effet deux tentatives de détournement d'un avion ElAl durant ces trente dernières années. Les deux tentatives se sont soldées par un échec, grâce aux agents de sécurité qui se trouvaient à bord de l'avion.
Au niveau de la sécurité chez ElAl, ils sont en effet très pointilleux. Depuis qu'ils ont découvert une bombe qui possédait un détonateur altimétrique (donc qui fait boum lorsque la pression dans la soute à bagage descend en dessous d'une certaine limite), tous les bagages passent par une chambre de décompression en plus des rayons X. Dans le même ordre d'idée, partout dans le monde, ce sont des soldats israéliens qui assurent la protection de leurs avions lorsqu'ils sont parqués dans un aéroport. Chaque bagage abandonné dans l'aéroport de Tel Aviv déclenche une alerte à la bombe prise très au serieux et ils sont capables d'évacuer complètement l'aéroport en moins de 10 minutes et dans le plus grand calme... Essayez d'obtenir un tel résultat dans un aéroport européen :-)
Bruce Schneier (ponte de la cryptographie, boss de Counterpane et très sensible à tout ce qui concerne la sécurité) a écrit une édition spéciale de sa newsletter suite aux pertes de liberté en conséquence des attentats du 11 septembre. Il y parle entre autres des mesures de ElAl et propose plusieurs liens permettant d'approfondir le sujet. Vous pouvez trouver tout cela ici : http://www.counterpane.com/crypto-gram-0109a.html#2(...) (en anglais).
Voici un magnifique exemple de la loi de Godwin en pleine application. Par consequent, on peut attribuer un point Godwin a cet Anonyme et declarer le thread (comme bmc l'a fait) comme etant termine. Circulez, y a plus rien a voir.
Pour rappel, voici ce que dit la loi de Godwin :
As a Usenet discussion grows longer, the probability of a comparison involving Nazis or Hitler approaches one.
Ce qui donne en francais (traduction maison) :
Plus une discussion sur Usenet s'allonge, plus la probabilite d'une comparaison impliquant des nazis ou Hitler s'approche de un.
Allez, -1 car j'ai devie en touche (tout en essayant vaguement de ramener cela a un sujet plus proche de la nouvelle de depart). J'espere que vous ne m'en voudrez pas d'essayer de ramener un petit peu d'humour la-dedans...
Ca depend... Pour les revendeurs et constructeurs d'ordinateurs c'est illegal de proposer des solutions dual-boot a la vente. En effet, le contrat qu'ils ont du signer avec MSoft leur interdit strictement de proposer de telles solutions... C'est pourquoi on ne trouve pas de telles solutions directement dans un magasin (ou alors il s'agit de l'artisan informatique du coin qui n'a pas de contrat revendeur MSoft).
Par contre, bien sur, si le particulier decide de se debrouiller pour partitionner son disque et installer un dual-boot Linux-MSoft, c'est tout a fait legal...
Posté par zeiram .
En réponse à la dépêche LaTeX Fr.
Évalué à 3.
>pourquoi un PDF à la place du PS ?
Simplement parce qu'une grande majorite de navigateurs sont capables d'afficher directement les PDF a l'aide d'un plugin (tandis que pour les PS il faut generalement demarrer une application externe).
L'autre avantage du PDF sur le PS (mais ce n'est la que mon avis personnel), est que pdfLaTeX permet une gestion beaucoup plus fine de la micro-typographie et par consequent on peut obtenir des documents beaucoup plus beau avec cet outil. C'est cette raison qui m'a fait totalement arreter de generer des fichiers PS a partir de mes sources LaTeX...
>Les lecteurs PDF savent lire les PS..
Ah bon ? C'est nouveau ca alors :-) Acrobat Reader n'a jamais ete (et ne sera probablement jamais) capable d'afficher du PS (et cela reste quand meme le lecteur de PDF le plus repandu). Dans les faits, c'est plutot le contraire... ce sont des lecteurs PS qui sont devenus des lecteurs PDF. C'est en effet plus simple d'implementer un lecteur PDF par dessus un lecteur PS (car les commandes PDF ne sont quasiment qu'un sous-ensemble des commandes PS) que le contraire (qui oblige a developper tout un langage de programmation interprete par dessus ce qui n'etait qu'un langage de description de page).
J'avais ecrit une belle et longue reponse, malheureusement une fausse manipulation m'a fait tout perdre. N'ayant pas le courage de tout recrire (et ne me souvenant pas exactement de ce que j'avais mis), je vais resumer ma reponse.
>Et que se passe-t-il même si c'est la grosse entreprise [...] qui attaque l'inventeur parcequ'il essaye de tirer profit de son invention ?
Si l'inventeur est capable de prouver qu'il y a art anterieur (merci Eddy pour la traduction), le tribunal annulera immediatement le brevet detenu par la grosse entreprise (et il y a egalement bien des chances que la grosse compagnie doive payer des dommages a l'inventeur). Le probleme pour l'inventeur est de reussir a prouver efficacement qu'il y a bien art anterieur. C'est dans ce but la (prouver l'existence de l'art anterieur) que beaucoup de compagnies brevetent a tort et a travers la moindre petite innovation. A noter que, jusqu'a il y a quelques annees en arriere, l'office des brevets suisse avait quand meme quelques experts charges d'etudier l'etat de l'art anterieur. Toutefois, cette verification n'etait effectuee que dans le domaine de l'horlogerie.
Dans le cas des brevets suisses (car il ne faut surtout pas oublier que chaque pays a son propre systeme de brevet et qu'il n'existe rien d'unifier), je crois me rappeler qu'il existe une periode d'acceptation du brevet durant laquelle n'importe qui peut faire etat de existence de l'art anterieur et s'il arrive a le prouver la demande de brevet est refusee. (Car le depot d'une demande de brevet implique la publication de cette demande, donc n'importe qui peut la lire. Sauf que, dans certains cas, je crois me souvenir que l'on peut emettre le souhait que la demande reste confidentielle.) Je ne suis pas sur a 100% de ce que j'avance dans ce paragraphe, mais cela correspond en tout cas au souvenir du cours que j'ai eu l'annee passee sur le sujet.
On se trouve donc dans la situation suivante : tout le monde depose un brevet pour un oui ou un non ; donc les offices charges de traiter cela se trouvent debordes et n'arrivent plus a traiter toutes les demandes dans des delais raisonnables ; par consequent ces offices ont decide de supprimer toute la partie de verification car c'est elle qui prend le plus de temps et coute le plus cher. On se retrouve donc avec les aberrations que l'on connait actuellement dans le systeme des brevets.
Bien sur que c'est degueulasse, toutefois on ne pourra pas ameliorer le systeme actuel. A mon avis, la seule solution serait de revoir completement ce systeme, qui etait quand meme parti d'une bonne intention. Mais ce n'est certainement pas en etendant ce principe a d'autres domaines jusqu'alors epargne que cela va s'ameliorer...
Etant donne que l'on parle de plus en plus d'accepter les brevets dans un domaine qui me touche personnellement (celui du code et des algorithmes), je fais mon possible pour rendre le public conscient des problemes poses par le systeme actuel. Malheureusement, ne faisant pas partie de l'Union Europenne, il m'est difficile d'intervenir aupres des politiques.
Bon, je m'en vais arreter de precher ici aupres de convaincus. Bonne soiree a tous.
Zeiram
PS: Si si, je vous assure, c'est un resume de ce que j'avais ecrit prealablement. :-)
Il me semble que dans certains cas il y a un bug qui se produit lors de l'affichage du temps separant un commentaire de ses reponses dans la page commentaire de l'utilisateur. Voici en tout cas ce que j'ai sur ma page commentaires :
Commentaire poste le : Mercredi 07 Novembre à 15:12
Avant : 3 commentaires - 0j 1h 59m
Apres : 1 commentaire + 11633j 14h 12m
(alors que si l'on va voir la reponse, on s'apercoit qu'elle a ete postee le : Mercredi 07 Novemebre à 15:19)
Le "+11633j" et des poussieres me parait enorme pour une reponse postee 7 minutes apres mon commentaire. Je ne sais pas dans quels cas ce bug se produit, ni meme si d'autres personnes que moi le vivent...
>Je croyais qu'on ne pouvait pas breveter qqchose qui a déjà eu une application commerciale... ??
C'est en theorie effectivement le cas. Toutefois, de plus en plus d'offices des brevets (ceux de Suisse et d'Australie par exemple et tres probablement tous ceux des pays de l'ex-bloc de l'est) n'ont pas les experts necessaires pour verifier qu'une demande de brevet ne couvre pas un brevet deja existant. Car n'oublions pas qu'il y a un nombre enorme de domaines differents possibles pour le depot d'un brevet et qu'avoir des experts dans chacun de ces domaines coute tres tres cher (et en plus, ces experts seront generalement mieux payes dans l'industrie, ils n'ont donc pas forcement envie de travailler pour un office de brevet).
Les offices de brevet ont par consequent comme politique d'accepter toute demande de brevet, a condition qu'elle soit bien formulee.
Ces offices partent du principe que l'existence de "prior art" (quelqu'un a une bonne traduction en francais pour ce terme ?) sera prouvee si le brevet est conteste en justice. Il est bien sur evident que tout tribunal rira au nez de la personne tentant de defendre le brevet de la roue en justice. :-) (Du moins si les membres dudit tribunal ont un tant soi peu de bon sens logique.)
A noter egalement que l'office des brevets suisse avait, jusqu'a il y a quelques annees, effectivement des experts pour verifier les brevets. Toutefois ces experts n'exercaient que dans un seul domaine, celui de l'horlogerie (haute tradition suisse) et uniquement ce domaine-la.
>Tiens, juste une question naive : ".net" est international, où faire le procès ?
Le fait que ".net" soit international n'a aucune incidence dans ce cas-la. Ce qui importera, c'est le pays dans lequel sont basees les deux entreprises concernees, donc ici la France.
Au fait, vous avez vu qu'il existe un domaine appele ipfrance.com ? Je souhaite la bon courage aux avocats d'IFrance pour s'y attaquer, le proprietaire etant coreen :-) Encore un coup ou les avocats vont s'en mettre plein les poches.
[^] # Re: messagerie ?
Posté par zeiram . En réponse à la dépêche Vulnérabilité de type DoS sur BIND 9. Évalué à 10.
doit se référer aux enregistrements MX du DNS. Ces enregistrements indiquent quels sont les serveurs qui doivent traiter les emails à destination d'un domaine. Les serveurs DNS font donc beaucoup plus de travail que la "simple" resolution nom -> IP pour ce qui touche à la messagerie.
De plus, la résolution nom -> IP peut être cachée par d'autres serveurs DNS plus proches de l'utilisateur, ou même par un fichier hosts directement chez l'utilisateur (et on peut donc parfois se passer complètement d'un accès au serveur DNS du domaine pour résoudre le nom vers l'IP). Par contre, ces opérations de cache et le fichier hosts ne fonctionnent pas pour ce qui est des enregistrements MX. Donc un serveur DNS d'un domaine qui ne répond bloque complètement la messagerie du domaine, sans possibilité de contourner le problème (à l'exception, bien sûr, de l'utilisation de serveurs de noms secondaires, tertiaires, ...).
[^] # Re: si c'est un universitaire qui l'avait trouvé
Posté par zeiram . En réponse à la dépêche Fork d'OpenBSD. Évalué à 5.
Mais étant donné les modifications apportées par la NSA à l'algorithme DES, on en arrive à la conclusion que le déchiffrement différentiel avait déjà été trouvé par la NSA au moins vingt ans plus tôt. Et bien sûr, classé secret défense comme tout ce qui touche à la NSA.
[^] # Re: les clefs de cryptages
Posté par zeiram . En réponse à la dépêche Fork d'OpenBSD. Évalué à 10.
Au chapitre qui traite de l'algorithme DES, Bruce Schneier explique que la NSA a apporté des modifications à l'algorithme tel qu'il a été développé par les concepteurs de base. Pendant longtemps on s'est demandé pourquoi ces modifications avaient été apportées. Vingt ans après la "création" de l'algorithme, la réponse est apparue. Un nouveau type d'attaque avait été trouvé par un chercheur universitaire : la cryptographie différentielle (utiliser des bouts de différents messages et les comparer entre eux pour trouver des failles). Il s'est alors avéré que les modifications apportées au design du DES par la NSA rendait l'algorithme quasiment invulnérable à des attaques différentielles. Et la modification apportée était le strict minimum pour rendre l'algorithme invulnérable. Alors que le design original était quant à lui très vulnérable à ce type d'attaque. Conclusion : la NSA connaissait déjà les méthodes d'attaques différentielles lors de la création du DES. Ils avaient donc au moins vingt ans d'avance sur le reste du monde pour les algorithmes de déchiffrement.
Maintenant, on peut se poser la question de savoir si cette avance a diminué, augmenté ou est restée à la même différence... À mon avis, elle n'a en tout cas pas diminué (mais je ne base cela sur aucun fait).
[^] # Re: j'en ai oublié un - cassage de clés
Posté par zeiram . En réponse à la dépêche Fork d'OpenBSD. Évalué à 10.
Attention à ne pas faire des amalgames entre des algorithme de chiffrement de type différents. L'article parle de clés pour des algorithmes asymétriques. Le commerce électronique est basé à la fois sur des algorithmes asymétriques (échange de clés utilisées pour créer un canal sûr) et symétriques (transfert des donées). Une fois le canal sûr créé, les deux parties l'utilisent pour s'échanger une clé de session (qui sera la clé pour le chiffrement symétrique) et n'utilisent plus qu'un algorithme symétrique pour s'échanger les informations. La raison de ceci est qu'un chiffrement symétrique est nettement, très nettement, plus rapide qu'un chiffrement asymétrique. En plus, on peut plus facilement implémenter au niveau matériel un chiffrement symétrique.
En ce qui concerne la longueur des clés, lorsqu'on parle de chiffrement pour le "e-commerce" avec des clés à 128 bits, il s'agit de la longueur de la clé utilisée dans l'algorithme symétrique. La longueur des clés utilisées pour la partie asymétrique est souvent de 1024 bits. Et n'oublions pas qu'à longueur de clé égale (bien que cela n'ait absolument aucun sens de prendre une clé symétrique de 1024 bits ou une clé asymétrique de 128 bits), un algorithme symétrique est nettement plus difficile à casser qu'un algorithme asymétrique. C'est pourquoi on trouve des longueurs de clés allant sans problème jusqu'à 4096 bits pour des clés GPG, alors que l'on a toujours du 128 bits pour le "e-commerce".
Je ne me souviens malheureusement plus quel est le facteur de correspondance sur la longueur des clés pour les deux types d'algorithme afin d'avoir le même niveau de sécurité. Peut-être quelqu'un d'autre a-t-il cela sous la main ?
Bonne journée.
[^] # Re: Euh !
Posté par zeiram . En réponse à la dépêche LyX 1.2.0. Évalué à 10.
Certains reprochent à ce guide d'être trop vieux (il a été écrit en 1995), toutefois les concepts de base de LaTeX n'ont pas évolué depuis. Seules beaucoup d'extensions (packages) ont évolué. Ce manuel reste donc une excellente introduction aux bases de LaTeX.
[^] # Re: changement de licences
Posté par zeiram . En réponse à la dépêche Transgaming et Debian. Évalué à 4.
Pour plus de détails, voir mon autre message plus bas.
[-1 parce que je me répète]
[^] # Re: changement de licences
Posté par zeiram . En réponse à la dépêche Transgaming et Debian. Évalué à 7.
La lecture d'un message de clarification du CTO de Transgaming t'apportera certainement la réponse : http://lists.debian.org/debian-devel/2002/debian-devel-200205/msg02(...)
En gros, ce message dit ceci : ils (Transgaming) souhaitent ne pas autoriser la distribution de packages binaires pour éviter de la confusion chez les utilisateurs. En effet, ils proposent une version binaire de WineX qui contient plusieurs DLLs (utilisées principalement pour tout ce qui touche la protection contre la copie des jeux) qu'ils ont le droit de redistribuer, mais pas de "sous-licencer". Donc ces DLLs ne sont absolument pas libres et ne pourront donc jamais apparaitre dans une autre distribution binaire que celle de Transgaming.
Par conséquent, on va se retrouver avec des versions binaires de WineX qui font tourner tous les jeux (celles de Transgaming) et des versions binaires qui ne feront tourner que peu de jeux (les versions des distributeurs, par exemple Debian). Tout cela risque de faire de la mauvaise publicité à Transgaming et c'est pourquoi ils envisagent de modifier leur licence.
Toutefois, le message du CTO de Transgaming est plus modéré que ce que l'on pourrait croire en lisant le message cité dans la news. En effet, il dit se "réserver le droit de changer de licence s'ils estiment que la version distribuée par Debian porte atteinte à leurs revenus" mais que toutefois "ils préféreraient ne pas avoir à le faire" (traduction par moi-même). Ce n'est donc pas une menace à effet immédiat.
[^] # Re: idée absurde...
Posté par zeiram . En réponse à la dépêche Faut-il encore faire confiance à Google ?. Évalué à 4.
Adresse de leur site : http://www.grub.org/(...)
(PS: Ce commentaire est un quasi-repompage éhonté de mon commentaire sur le même sujet dans la news : http://www.linuxfr.org/2002/04/20/7901,0,0,0,1.php3(...) )
[^] # Re: Une chtite news sur tf1
Posté par zeiram . En réponse à la dépêche Mozilla 1 Release Candidate 2. Évalué à 6.
Pour rappel, ce trou de sécurité permettait à du code Javascript d'accéder au contenu d'un fichier sur le disque, ceci à cause d'un problème de gestion de la sécurité lorsque l'utilisateur (ou le code javascript) fait un "back". Ce bug a été corrigé en moins de 24h chez Mozilla et n'est plus présent dans la RC2, je ne sais pas ce qu'il en est de NS6. La RC1 de Mozilla n'était, parait-il, pas sujette à ce bug car la fonction qui buggait n'était pas implémentée dans cette version-là (pour ce point-là, ce sont des oui-dire, je n'ai pas vérifié).
À noter également que IE a eu ce même problème il y a quelque temps déjà, donc si c'est effectivement lié à ce bug que les banques refusent NS6 ou Mozilla, elles font preuve de pas mal de mauvaise foi en acceptant IE... (mais ce ne serait pas la première fois que cela arrive).
Bonne journée à tous.
[^] # Re: Relatif le danger, attention ...
Posté par zeiram . En réponse à la dépêche Faille de sécurité sur Netscape / Mozilla. Évalué à 10.
Par contre, il est vrai que les inventeurs de ce bug n'ont malheureusement pas pris la peine d'informer directement Mozilla lorsqu'ils l'ont découvert. :-(
[^] # Re: [HS] Moteur de recherche en P2P
Posté par zeiram . En réponse à la dépêche Un moteur de recherche alternatif. Évalué à 2.
[^] # Re: Marche pas avec cygwin
Posté par zeiram . En réponse à la dépêche Comment planter NT et W2K avec 5 malheureuses lignes de code ?. Évalué à 10.
Il serait intéressant de refaire le test en compilant avec l'option que je mentionne ci-dessus. Malheureusement n'ayant pas installé cygwin sur ce poste, je ne peux pas faire ce test moi-même.
[1] L'option -mno-cygwin indique au compilateur de cygwin d'utiliser les librairies de mingw pour les appels systèmes, en lieu et place des librairies de cygwin. Ainsi, on obtient des applications qui peuvent se passer de la DLL de cygwin, mais qui ne peuvent rien faire de plus que ce qui est mis à disposition par Win32.
Zeiram
# Article un peu ancien
Posté par zeiram . En réponse à la dépêche Messagerie et cryptage. Évalué à 6.
Zeiram
[^] # Re: Réfléchir
Posté par zeiram . En réponse à la dépêche Mulholland Drive. Évalué à 1.
D'accord, au premier abord la trame semble lineaire (et cela est certainement du au fait qu'elle est bel et bien lineaire durant la premiere partie du film), mais elle recelle malgre tout plein de details dont je suis persuade qu'ils ne prendront sens que lors d'une deuxieme, voire troisieme, vision et qui remettront totalement en cause cette trame lineaire. Mais n'ayant pas encore revu le film, cela reste pour l'instant un sentiment.
Mais c'est vrai qu'il est moins troublant qu'un Lost Highway ou un Twin Peaks. (Je ne suis reste avec le regard dans le vide que trois quarts d'heure apres avoir vu Mulholland Drive contre plus d'une heure et demie apres Lost Highway. :-) )
[^] # Re: il court il court le kernel
Posté par zeiram . En réponse à la dépêche Kernel 2.4.15/2.5.0 buggé. Attention !. Évalué à 1.
Pour tous ceux que ce texte intéresse, voici un lien vers la page de ESR où l'on peut le trouver (ca évitera une recherche Google à certains) :
http://tuxedo.org/~esr/writings/(...)
[^] # Re: Politiques....
Posté par zeiram . En réponse à la dépêche Libertés immuables. Évalué à 5.
Cela est peut-être un facteur, toutefois ce n'est pas 100% vrai. Il y a eu en effet deux tentatives de détournement d'un avion ElAl durant ces trente dernières années. Les deux tentatives se sont soldées par un échec, grâce aux agents de sécurité qui se trouvaient à bord de l'avion.
Au niveau de la sécurité chez ElAl, ils sont en effet très pointilleux. Depuis qu'ils ont découvert une bombe qui possédait un détonateur altimétrique (donc qui fait boum lorsque la pression dans la soute à bagage descend en dessous d'une certaine limite), tous les bagages passent par une chambre de décompression en plus des rayons X. Dans le même ordre d'idée, partout dans le monde, ce sont des soldats israéliens qui assurent la protection de leurs avions lorsqu'ils sont parqués dans un aéroport. Chaque bagage abandonné dans l'aéroport de Tel Aviv déclenche une alerte à la bombe prise très au serieux et ils sont capables d'évacuer complètement l'aéroport en moins de 10 minutes et dans le plus grand calme... Essayez d'obtenir un tel résultat dans un aéroport européen :-)
Bruce Schneier (ponte de la cryptographie, boss de Counterpane et très sensible à tout ce qui concerne la sécurité) a écrit une édition spéciale de sa newsletter suite aux pertes de liberté en conséquence des attentats du 11 septembre. Il y parle entre autres des mesures de ElAl et propose plusieurs liens permettant d'approfondir le sujet. Vous pouvez trouver tout cela ici : http://www.counterpane.com/crypto-gram-0109a.html#2(...) (en anglais).
Zeiram
[^] # Un point Godwin, un...
Posté par zeiram . En réponse à la dépêche Un répertoire des solutions libre pour l'administration. Évalué à -1.
Pour rappel, voici ce que dit la loi de Godwin :
Ce qui donne en francais (traduction maison) :
Si vous souhaitez plus d'infos sur la loi de Godwin (en anglais) :
http://www.faqs.org/faqs/usenet/legends/godwin/(...)
Allez, -1 car j'ai devie en touche (tout en essayant vaguement de ramener cela a un sujet plus proche de la nouvelle de depart). J'espere que vous ne m'en voudrez pas d'essayer de ramener un petit peu d'humour la-dedans...
[^] # Re: Conclusion intéressante !
Posté par zeiram . En réponse à la dépêche "Microsoft est-il dangereux ?". Évalué à 10.
Ca depend... Pour les revendeurs et constructeurs d'ordinateurs c'est illegal de proposer des solutions dual-boot a la vente. En effet, le contrat qu'ils ont du signer avec MSoft leur interdit strictement de proposer de telles solutions... C'est pourquoi on ne trouve pas de telles solutions directement dans un magasin (ou alors il s'agit de l'artisan informatique du coin qui n'a pas de contrat revendeur MSoft).
Par contre, bien sur, si le particulier decide de se debrouiller pour partitionner son disque et installer un dual-boot Linux-MSoft, c'est tout a fait legal...
Zeiram
[^] # Re: Cool
Posté par zeiram . En réponse à la dépêche LaTeX Fr. Évalué à 3.
Simplement parce qu'une grande majorite de navigateurs sont capables d'afficher directement les PDF a l'aide d'un plugin (tandis que pour les PS il faut generalement demarrer une application externe).
L'autre avantage du PDF sur le PS (mais ce n'est la que mon avis personnel), est que pdfLaTeX permet une gestion beaucoup plus fine de la micro-typographie et par consequent on peut obtenir des documents beaucoup plus beau avec cet outil. C'est cette raison qui m'a fait totalement arreter de generer des fichiers PS a partir de mes sources LaTeX...
>Les lecteurs PDF savent lire les PS..
Ah bon ? C'est nouveau ca alors :-) Acrobat Reader n'a jamais ete (et ne sera probablement jamais) capable d'afficher du PS (et cela reste quand meme le lecteur de PDF le plus repandu). Dans les faits, c'est plutot le contraire... ce sont des lecteurs PS qui sont devenus des lecteurs PDF. C'est en effet plus simple d'implementer un lecteur PDF par dessus un lecteur PS (car les commandes PDF ne sont quasiment qu'un sous-ensemble des commandes PS) que le contraire (qui oblige a developper tout un langage de programmation interprete par dessus ce qui n'etait qu'un langage de description de page).
Zeiram
[^] # Re: un nouveau brevet..
Posté par zeiram . En réponse à la dépêche Nouvelle attaque sur le front des brevets logiciels. Évalué à 4.
>Et que se passe-t-il même si c'est la grosse entreprise [...] qui attaque l'inventeur parcequ'il essaye de tirer profit de son invention ?
Si l'inventeur est capable de prouver qu'il y a art anterieur (merci Eddy pour la traduction), le tribunal annulera immediatement le brevet detenu par la grosse entreprise (et il y a egalement bien des chances que la grosse compagnie doive payer des dommages a l'inventeur). Le probleme pour l'inventeur est de reussir a prouver efficacement qu'il y a bien art anterieur. C'est dans ce but la (prouver l'existence de l'art anterieur) que beaucoup de compagnies brevetent a tort et a travers la moindre petite innovation. A noter que, jusqu'a il y a quelques annees en arriere, l'office des brevets suisse avait quand meme quelques experts charges d'etudier l'etat de l'art anterieur. Toutefois, cette verification n'etait effectuee que dans le domaine de l'horlogerie.
Dans le cas des brevets suisses (car il ne faut surtout pas oublier que chaque pays a son propre systeme de brevet et qu'il n'existe rien d'unifier), je crois me rappeler qu'il existe une periode d'acceptation du brevet durant laquelle n'importe qui peut faire etat de existence de l'art anterieur et s'il arrive a le prouver la demande de brevet est refusee. (Car le depot d'une demande de brevet implique la publication de cette demande, donc n'importe qui peut la lire. Sauf que, dans certains cas, je crois me souvenir que l'on peut emettre le souhait que la demande reste confidentielle.) Je ne suis pas sur a 100% de ce que j'avance dans ce paragraphe, mais cela correspond en tout cas au souvenir du cours que j'ai eu l'annee passee sur le sujet.
On se trouve donc dans la situation suivante : tout le monde depose un brevet pour un oui ou un non ; donc les offices charges de traiter cela se trouvent debordes et n'arrivent plus a traiter toutes les demandes dans des delais raisonnables ; par consequent ces offices ont decide de supprimer toute la partie de verification car c'est elle qui prend le plus de temps et coute le plus cher. On se retrouve donc avec les aberrations que l'on connait actuellement dans le systeme des brevets.
Bien sur que c'est degueulasse, toutefois on ne pourra pas ameliorer le systeme actuel. A mon avis, la seule solution serait de revoir completement ce systeme, qui etait quand meme parti d'une bonne intention. Mais ce n'est certainement pas en etendant ce principe a d'autres domaines jusqu'alors epargne que cela va s'ameliorer...
Etant donne que l'on parle de plus en plus d'accepter les brevets dans un domaine qui me touche personnellement (celui du code et des algorithmes), je fais mon possible pour rendre le public conscient des problemes poses par le systeme actuel. Malheureusement, ne faisant pas partie de l'Union Europenne, il m'est difficile d'intervenir aupres des politiques.
Bon, je m'en vais arreter de precher ici aupres de convaincus. Bonne soiree a tous.
Zeiram
PS: Si si, je vous assure, c'est un resume de ce que j'avais ecrit prealablement. :-)
# [Bug] "Calcul" du temps separant un commentaire de sa reponse
Posté par zeiram . En réponse à la dépêche Mise à jour de LinuxFr. Évalué à 2.
Le "+11633j" et des poussieres me parait enorme pour une reponse postee 7 minutes apres mon commentaire. Je ne sais pas dans quels cas ce bug se produit, ni meme si d'autres personnes que moi le vivent...
[^] # Re: un nouveau brevet..
Posté par zeiram . En réponse à la dépêche Nouvelle attaque sur le front des brevets logiciels. Évalué à 10.
C'est en theorie effectivement le cas. Toutefois, de plus en plus d'offices des brevets (ceux de Suisse et d'Australie par exemple et tres probablement tous ceux des pays de l'ex-bloc de l'est) n'ont pas les experts necessaires pour verifier qu'une demande de brevet ne couvre pas un brevet deja existant. Car n'oublions pas qu'il y a un nombre enorme de domaines differents possibles pour le depot d'un brevet et qu'avoir des experts dans chacun de ces domaines coute tres tres cher (et en plus, ces experts seront generalement mieux payes dans l'industrie, ils n'ont donc pas forcement envie de travailler pour un office de brevet).
Les offices de brevet ont par consequent comme politique d'accepter toute demande de brevet, a condition qu'elle soit bien formulee.
Ces offices partent du principe que l'existence de "prior art" (quelqu'un a une bonne traduction en francais pour ce terme ?) sera prouvee si le brevet est conteste en justice. Il est bien sur evident que tout tribunal rira au nez de la personne tentant de defendre le brevet de la roue en justice. :-) (Du moins si les membres dudit tribunal ont un tant soi peu de bon sens logique.)
A noter egalement que l'office des brevets suisse avait, jusqu'a il y a quelques annees, effectivement des experts pour verifier les brevets. Toutefois ces experts n'exercaient que dans un seul domaine, celui de l'horlogerie (haute tradition suisse) et uniquement ce domaine-la.
Zeiram
[^] # Re: Avocats, allez, un volontaire
Posté par zeiram . En réponse à la dépêche Au revoir IpFrance. Évalué à 10.
Le fait que ".net" soit international n'a aucune incidence dans ce cas-la. Ce qui importera, c'est le pays dans lequel sont basees les deux entreprises concernees, donc ici la France.
Au fait, vous avez vu qu'il existe un domaine appele ipfrance.com ? Je souhaite la bon courage aux avocats d'IFrance pour s'y attaquer, le proprietaire etant coreen :-) Encore un coup ou les avocats vont s'en mettre plein les poches.
Zeiram