obcd

Inscrit depuis le le 17/03/2008 à 14:15
2913 messages publiés
Envoyer un message privé
Derniers sujets de obcd :
SUJET
DERNIER MESSAGE
NOMBRE DE MESSAGES
Par obcd - 2913 messages - Ouvert le 16 avril 2013
5
Par obcd - 2913 messages - Ouvert le 10 octobre 2011
9
Par obcd - 2913 messages - Ouvert le 29 août 2011
2
Par obcd - 2913 messages - Ouvert le 21 mars 2011
1
Par obcd - 2913 messages - Ouvert le 01 février 2011
6
Par obcd - 2913 messages - Ouvert le 09 novembre 2010
2
Par obcd - 2913 messages - Ouvert le 02 septembre 2010
12
Par obcd - 2913 messages - Ouvert le 25 mai 2010
8
Derniers messages de obcd :
"Donc, quoi ? On met 197 clés publiques dans chaque démon SSH , chacune capable de "déchiffrer", de fait, toute les conversations "

Tu n'as pas l'air de bien connaitre le protocole SSH.


Roohhh là là, tu pinailles....
Evidamment que les clés publiques servent pas à déchiffrer: Par contre, les clés privés de chaque gouvernement (une par gouvernement, soit 197 clés privées, une par pays) servent , elles à déchiffrer.

Aucune clef publique n'est capable de déchiffrer quoi que ce soit. La clef publique sert à authentifier le serveur uniquement.

Les clés asymétriques peuvent servir à (dé)chiffrer ou à authentifier, tu le sais aussi bien que moi . (Pour les autres  : https://fr.wikipedia...ie_asymétrique )

En SSL, les clés asymétriques servent au début , pour chiffrer une clé symétrique , qui elle est utilisés pour chiffrer le contenu (pour des raisons de perfs, simplement - le chiffrement asymétrique bien plus lent). Dans un tel cas, il suffirais de chiffrer cette clé symétrique non pas par 1 seule clé privée, mais par les 197 *en plus* (chronophage, mais avec des appliances ça peux se faire) .
 De fait, n'importe laquelle des 197 clés privés permettrait de récupérer la clé symétrique AES (ou blowfish , ou...) et donc déchiffrer le contenu.

Pour ceux qui veulent, c'est +/- bien expliqué dans ce podcast:
http://twit.tv/show/security-now/491 ,
avec un biais fortement marqué envers les "USA-centre-du-monde", et aucune interrogations sur le point de vue des autres pays du monde. Mais le principe technique est décrit.
c'est bien présomptueux d'affirmer qu'il y a une demande !

Bah, si tu t'estimes plus compétent que Apple & Google, hein...
Ceci dit, c'est bien l'affaire Snowden qui a créé cette demande: Il n'y aurait pas eu ces révélations, il n'y aurait pas eu cette demande - par ignorance.

le coup du compilateur vérolé, là on est en pleine paranoïa...

Je relate des faits qui se sont produit (et c'était il y a longtemps, au temps des premiers Unix, avant Internet). OK si t’appelle ça de la paranoïa.

Effectivement, la sécurité est toujours une histoire de confiance, je te rejoins la-dessus. Et je suis parfaitement conscient que c'est pas parce qu’on a les sources d'un logiciel qu'on est à l’abri de problèmes. Ceci dit, ça aide un peu, et c'est déjà ça.
Julien Coupat.

En fait, si toute la population française avait ton état d'esprit, ce pays serait bien plus facile à gouverner.
On fait confiance, on remet rien en question, on se pose aucune question sur les thèses officielles.

C'est ainsi que tu vois la france, marine, dirigée par la personne éponyme ?
Le truc en cryptographie c'est qu'il n'y a pas besoin de démontrer: Le doute sur la faisabilité suffit.

Quand Bruce Schneier te dit qu'ils y a un doute et qu'il te dis "This is scary stuff indeed" : https://www.schneier...t_a_secret.html , ben.... les jeux sont fait.
Pas de fourgue. Même quand on a effacé sa clé "de maintenance", le vendeur a un accès physique à la machine.

Oui, tu as raison.

Ca me rapelle l'histore de bitcoin-central qui s'etait fait taper des bitcoins... par des mecs qui avaient l'accès physique et qui se sont loggué depuis la console tty0... :-)
Je penche pour ils ne parlent que des "grandes" appli.


Je pense aussi - je suis pas bien sur qu'ils sachent exactement de quoi ils parlent. 

Par contre, la masse du trafic ssh peut difficilement être suspectée vu qu'elle provient à 99.99% d'admins pour des raisons légitimes. Echanger entre users d'une même machine limite considérablement la sphère de la communication, mais reste cependant un moyen totalement secret, pourvu bien sûr que le démon ssh n'ait pas été backdooré (ou peut-être le client, ce qui risque d'être plus facile).

Pas bête du tout ! Surtout qu'on peux désormais louer une VM pour pratiquement rien, en payant en bitcoins...

Admettons toutefois que ce serait une solution baroque.

Baroque mais pas idiote :-) Pis ya rien besoin d'installer: Au lieu de mails tu laisse des fichiers texte écrits avec nano dans ~user/ , et pour le chat, t'a "write" :-)

les mecs, même pas besoin de faire un apt-get install de quelque chose :-)

Bon, après, faut quand même être sur de son fourgue de VM :-)

Donc je pense qu'ils parlent WhatsApp, Facebook, Skype, iMessage et tutti quanti.

J'pense aussi. Mais ptet qu'ils cherchent d'abord les petits poissons, les gamins un peu débile, pour faire des exemples. Les instigateurs, eux.... sont tranquilles :-)
Ca c'était pas faute de l'avoir hurlé , à l'époque....Même les flics le disait.
encrypter les conversations de tata suzane c'est débile :

Peut-être mais c'est ce qui est fait , en tous cas c'est que Apple prétends quand il vends iOS 7 et 8 avec des modifications dans les protocoles spécifiquement fait pour qu'ils ne puissent pas garder les clés (les clés sont générés sur le terminal en fait, sauvegardé chiffrées par le code de déblocage du terminal (ou touchID) .

Tata suzane sais même pas que quand elle débloque son téléphone elle utilise de la crypto qui était réservé aux militaires ya pas 20 ans.

WhatsApp c'est pareil.

T'a beau dire, OK tu trouves ça débile, mais il y a cette demande . Ptet pas de tata Suzanne, mais de bon nombre de clients potentiels, un minimum intéressés par ces sujets.
Donc les industriels répondent à la demande, et le font.
Et comme c'est tout ou rien , ils le font pour tout le monde, tous les clients, tous les terminaux.

c'est pas backddorable vu que c'est moi qui compile)
T'a compilé ton compilateur ?
Un des premiers  ver qui a circulé sur Internet a été conçu en trouant un compilateur qui insérait le ver *au moment* de la compilation (juste avant le main() en fait). Du coup, même l'examen du code source te montrait rien, fallait regarder le code binaire et valider l'assembleur ligne par ligne... :-)
Je sais pas si on peux qualifier ça de porte dérobé, mais apparemment ils ont imposé un certain code de générateur de nombres aléatoires.... dont ils pouvaient prédire l'évolution et en déduite les données passées.

Or, la crypto s'appuie essentiellement sur le fait que les nombres aléatoires sont vraiment aléatoires (par exemple, le protocole Diffie-Hellman qui consiste à établir une communication chiffrée sans avoir les clés privées des 2 parties avant s'appuie essentiellement sur l'aléa). (*)

En pouvant prédire ou déduire les chiffres aléatoires "tirés" , alors rien qu'avec une capture des com. chiffrés, on peux "dérouler le protocole" à l'envers et en déduire la clé de chiffrement, ce qui bien sur ensuite permet d'avoir les données en clair.

Apparemment la somme de calculs à faire par la NSA pour récupérer ces infos était importante, mais loin, très loin d'être improbable.
Plus grave: Une fois le standard annoncé par le NIST, la NSA a ensuite fait pression sur la société RSA pour que celle-ci inclue *par défaut* ce protocole de génération de nombres aléatoire dans tous leurs produits (SDK , bibliothèques, programme).



(*) Cette raison explique aussi pourquoi, actuellement, il y a un _GROS_ doute sur les générateurs de nombre aléatoire matériel - cad ceux situés directement sur les processeurs (car l'un des problèmes des nombre aléatoire c'est de non seulement les générer vraiment aléatoire, mais en plus de les générer rapidement , ce qui a mené au dev. d'unités spécifiques des processeurs , tant en ARM qu'en x86 et autre).

Du coup, les OS libre évitent de les utiliser , ou bien les utilisent juste à la marge , parmi une floppé d'autre sources. Pour windows, pour Apple, .... on sais pas : T'a pas ls sources, et quand bien même tu les as, tu peux pas savoir si le binaire correspond bien au source.
(Dans les distrib linux/BSD/... non plus , remarquez)
1) on commence par "think of the children", et là tout le monde approuve. On continue après un massacre antisémite avec "antiraciste/antisémite". Étape suivante ?

Bah en toute logique, t'a les ayants-droits qui devraient se réveiller bientôt en disant : Si vous pouvez le faire pour la pédophilie et le terrorisme, pourquoi vous pouvez pas le faire pour les sites de partage de fichiers entre internautes ? C'est très très grave, le partage de fichier entre internautes si on est pas là pour se servir au milieu ! "

2) Si la notion de fermeture administrative était nécessaire pour assurer souplesse et réactivité, je ne comprends pas pourquoi le passage par une décision judiciaire ne devrait pas suivre (confirmer ou infirmer)  sous un délai donné.

Je pense que c'est tout bêtement parce que c'est pas le but recherché. Le but (de la fermeture administrative) est de ne pas être contestable ni contestée. (En France, la LCEN oblige  *déjà* un hébergeur à fermer immédiatement un site si un plaignant se plaint - il y a juste un formaliste avant & après qui implique le passage par un juge pour valider, ou pas , le fait que les données soient illicites)
C'est pas l'algo que tu backdoor : c'est le logiciel dans lequel tu l'implémentes (cf le sujet récent sur la compromission de certains services SSH par l'insertion *dans le binaire* du programme (mais évidemment pas dans le code source public) d'une "master-clé publique" qui , en plus des clés "normales", permettaient l'accès au détenteur de la clé privée associée.

Je pense que c"est à ce genre de chose que pensent l'ANSSI , le FBI, Cameron.
(Parceque tu comprends, cette clé, il faut qu'il n'y ait que EUX qui l'aient).


Sauf que pourquoi il n'y auraient qu'eux ?
Après tout, TOUS les gouvernements de TOUS les pays du monde sont TOUS auto-persuadé d'avoir cette légitimité aussi !  Alors pourquoi que le triplet {USA-UK-FR}  ?

Donc, quoi ? On met 197 clés publiques dans chaque démon SSH , chacune capable de "déchiffrer", de fait, toute les conversations (et , du coup, de faire du man-in-the-middle : Bah oui, il est *impossible* de faire l'un sans permettre l'autre).

Ou bien alors, ils ne parlent que des "grandes" appli : Facebook , les trucs apple & android, skype, quelques autres. Et tous ceux qui n'utilisent pas ces applis sont plus suspect que les autres, par définition (puisqu'on pourra pas déchiffré ce qu'ils se disent).

Et ça empêchera pas un terroriste-wannabe de se recompiler une appli (oui, je sais, ils sont tous complètement con à la limite du débile mental, à laisser leur ID dans une voiture volée... bref. N'empêche qu'avec la stigmatisation actuelle, certaines personnes pas du tout jihadistes vont devenir des "sympathisant"... et eux pourront fournir des outils vérifiés.

Bref, pour moi, c'est complètement utopique de vouloir *tout* déchiffrer: Ils pourront déchiffrer les "grands" services les plus populaires, ceux qui sont utilisés par plein de monde mais qui seront justement évité (ou plus exactement utilisé de manière anodine) par ceux qui veulent se planquer - après qu'une palette de gens se soient fait chopper avant d'agir via ces plate-forme, même eux comprendront qu'il faut plus.

Par contre le gvnmt y aura gagné un "pass illimité" sur la vie des gens "normaux", sur la population à priori sans "danger". Mais avec les crises qui se répètent.... et ensuite, ceux qui seront visés, c'est plus les terroristes: Ce seront les employés d'une usine qui ferme et qui projettent (via WhatsApp ou par iMessage) de prendre le patron en otage...
En même temps, il ne faut pas se payer d'illusions : un état mal intentionné n'aura aucune hésitation pour mettre en place de telle mesures, et n'aura effectivement pas la délicatesse d'en informer la population.

C'est sur ce point que je pense que les terroristes (tant ceux du Charlie Hebdo que du 11/09) ont pleinement gagné: Il ont réussi à forcer les gouvernements à voter un espionnage généralisé *et à le légitimer* auprès de la population, population qui en redemande par-dessus le marché.

Si, un jour, ils arrivent (de gré ou de force) au pouvoir, les gens, les générations seront *déjà* habitué à être surveillé, à ne plus avoir de vie privée, à voir les "gardiens de la paix" comme une milice et se sentir coupable de se regrouper.

Du coup, après, une fois le totalitarisme mis en place, on se fout que ce soit des barbus, des cols blancs ou des cols mao : Prendre le pouvoir ne sera qu'une formalité, les gens obéiront au plus fort du moment sans discuter, et ne trouveront pas anormal que les écoutes généralisés aient permis que leur voisin ai "disparu" un beau jour. 

Ce que les terroristes honnissent, c'est que les gens se posent des questions, et les remettent en cause: Ils veulent qu'il y ait un chef, une voix, et que tout le monde obéisse sans moufter tant dans la vie publique que le vie privée.
Si on arrive à faire pareil en France, petit à petit,... quelle différence y aura-t-il entre la vie en France et la vie en Arabie Saoudite ? Un voile d’étoffe devant le visage de 50% des citoyens?
et ensuite on l'oubliera , noyé dans le déferlement.

Tu te souviens de la 1ère personne à qui on a pris l'ADN, ADN qui est maintenant relevé systématiquement dès au moindre désaccord avec les forces de "l'ordre" ?
Ouais fin tu pars du postulat qu'on est "gouverné" par des espèces de comploteurs qui n'ont que ça à foutre de mentir à la "population".

Mhh... je pense _pas_ que ce soit aussi "clair" que ça.
Je pense que chacun a ses ambitions personnelles, additionné de convictions sur la manière dont la population "devrait" se comporter , la manière dont les choses devrait marcher.

Ensuite, il se trouve que, et c'est humain, les gens qui pensent pareil ont tendance à se regrouper, et écarter les voix discordantes. Or, en France (et c'est pas forcément pareil partout), il y a un système de "caste" qui a toujours été présent , dont l'ENA n'est qu'une composante - on retrouve toujours les mêmes familles, les mêmes cercles aux plus hautes fonction du gouvernement _et_ parfois même aux plus hautes fonction des multinationales.

Pour moi c'est pas un "complot" - par contre il y a des intérêts personnels convergents de ces personnes à faire de l'entre-soi, a prendre des décisions qui ne nuiront pas (trop) à une connaissance tout en considérant l'intérêt général comme "au second plan".
Il n'y a pas besoin de complot explicite, pas d'entente, pas de réunion secrète , juste des gens qui pensent pareil, qui ont une grande influence (politique, économique, financière) et qui utilisent cette influence dans une direction commune pour leurs propres intérêts (qu'ils confondent souvent avec ceux des gens qu'ils dirigent)

Si tu regardes la réalité, tu verras que les politiciens sont peut-être d'incompétents bureaucrate,

Même pas tous !

mais n'empêche qu'ils n'ont pas réellement les moyens de manipuler la presse ou l'opinion.

Pourtant, c'est baileys il y a très peu de temps qui nous a rappelé (dans l'article sur le référendum populaire je crois) comment en 2002 , tous les journaux TV (y compris les chaines publiques) ont fait leur une sur l'insécurité systématiquement durant des mois avant l'élection la présidentielle , alors que la situation était similaire à d'habitude sur le domaine, 
pour disparaitre immédiatement après le 1er tour.

Résultat: Jospin éliminé au 1er tour, duel Chirac-FN au second.

Là encore, je ne connais pas les détails, mais je suppose que effectivement , chirac n'est pas venu faire du porte-à-porte aux TV pour leur dire de faire cela. Par contre, dans les chaines elle-même, il devrait y avoir un intérêt que ce soit pas Jospin.



Tu imagines combien de gens au sommet de l'état il faudrait convaincre de mentir ? Le complot serait connu de tellement de fonctionnaires, flics, juges, journalistes, que bon ce ne serait plus vraiment un complot.

Il n'y a pas _mensonge éhonté_, il y a manipulation. C'est plus subtil, mais aussi presque "légitime": Tout le monde tire la couverture à soi, tout le temps, quitte à travestir les faits légèrement où ne pas en dire la totalité , ne serait-ce qu'a cause de ses opinions personnelles.

Un bon politicien , un bon juge, un bon avocat, un bon flic, un bon journaliste est _censé_ avoir appris l'objectivité et traiter les faits uniquement et exhaustivement. Or à mon avis dans notre société actuelle, l'objectivité n'est plus considéré comme une qualité - l'émotion, l'excès , l'instantanéité sont sacralisés. Du coup, il y a peu d'intérêt pour ces corps de métier de valoriser cette objectivité, il est bien plus "rentable" de se couler dans le moule et de nager dans le sens du courant dominant.
Bannir non mais tu peux interdire la diffusion & l'utilisation.

Ca empêchera rien, _mais_ ça te fera des billes le jour où tu choppera quelqu'un pour pouvoir l'interner pendant 96h pour "terrorisme":

"Vous avez vu, il utilise le chiffrement, _donc_ il a quelque chose à cacher, _donc_ c'est un terroriste".

Je suis pas certain que 100% des juges (surtout à charge ^W d'instruction) ont un raisonnement plus poussé: On leur demande des résultats, ils produisent des résultats, peu importe lesquels.
Bon.... ben.... OK. Ya rien à ajouter, effectivement on ne vit pas sur la même planète.
considérer par défaut que ce que tu entends est faux, c'est une maladie mentale.
soigne toi.


euh....  sans vouloir être désagréable, un Picsou ou un Bruce Willys c'est largement moins débile que reopen 911 !

Alors , là.... on a des révélations dans ce fil !!!

On a dnc ici une personne qui considère que l'esprit critique est une maladie mentale et que la science-fiction est moins débile qu'un documentaire (quelque soit la position du documentaire par ailleurs).

J'pense que t'a raté ton époque, marinebis: C'était au moyen-age que la "parole de dieu" (bien entendue rapporté sur terre par ses suppôts) n'était pas critiquable, même lorsqu'elle était plus que contestable, et que ceux qui passaient outre étaient brulés vifs, ce qui mettait un point final à la contestation.

C'est sur que dans ces conditions, considérer par défaut que ce que tu entends est vrai, t'assurais une vie plus longue...
J'ai pas parlé de "la classe moyenne" , j'ai parlé de  "la moyenne".

Et si les gens en eux-même savent pas, leur fournisseur le font pour eux:

Justement, Apple, Android, mais aussi les fournisseurs d'appli (ex: WhatsApp, et d'autre aussi) utilisent le chiffrement et la non-possession des clés comme arguments commerciaux , ce qui a d'ailleurs "inquiété" le FBI : http://www.huffingto..._n_5882874.html

Donc apparemment, on a pas la même définition de "classe moyenne" - cette classe moyenne déjà est un minimum concerné par la vie privée , sinon les sociétés n'auraient pas dépensé de la R&D pour modifier leurs applis & système.

Alors OK, dans le monde PC c'est beaucoup moins le cas:
Skype est vérolé jusqu'a la moelle, la VOIP à base de SIP standard n'est même pas chiffré dans 99% des cas, sans parler des mails. Mais vu que de plus en plus de gens disposent de smartphone, tablettes, ... ça deviens l'un des premiers moyens de communication - simplement, les gens intègrerons le fait qu'un mail est une carte postale (et dans la plupart des cas on s'en fout). Mais *les autres* communications, elles, seront de plus en plus chiffrés , sans même que les gens le voient. 
On en revient au principe de la lettre cachée d'Edgar Poe : si tu ne veux pas être découvert, il faut être exactement dans la moyenne.

Exactement, mais justement la moyenne commence à s'élever avec le chiffrement systématique avec des clés non détenue par un tiers.  Conséquence directe des actions révélées par snowden des espionnages systématique.

Donc soit on considère comme coupable la population entière en rendant le chiffrement illégal (du moins sans possibilité de déchiffrement). Mais ça n'a pas de sens: Si'il veulent, ils peuvent *déjà* considérer que tlm est coupable de quelque chose , peux importe quoi , si besoin réel on peux maquiller des preuves.

Soit, effectivement les gens "singuliers", pas "dans la moyenne" (par exemple, les abrutis qui n'ont même pas de compte facebook, donc sans amis, donc asociaux, dont serial killer et traitres pédonazi crypto-terroriste-wannabe  (Oui , l'enchainement est facile, mais après tout c'est quasiment du niveau de ce qu'on entend aux tables rondes ces derniers temps) .
Mouais..... tu veux dire que tu laisse faire les actes violents en espérant qu'une fois tous les attentats commis, on ai chopé tout  veux  susceptible de les faire ? bizarrement, je suis pas convaincu par cette théorie :-)
Numerama sur les réseaux sociaux