Beau. L'amour au temps du numérique, de l'espionnage massif, de la pérennité de la moindre donnée. Une histoire d'amour et de hackers. Je n'ai pas lu le récit, mais ça donne envie.
via : https://twitter.com/Maitre_Eolas/status/853940456853471232
Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usage, etc.). Il y a une jolie carte et c'est extrêmement bien sourcé.
D'ailleurs, ça fait chaud au cœur de voir d'où l'on vient en France et qu'il y a eu pas mal de progrès.
Il y a aussi un truc à noter : je me souviens de la gueulante terrible des internautes sur la LCEN en 2004. Pour une raison que j'ignorais. Pas parce que je trouvais que c'était un beau projet de loi, mais plutôt parce que je ne m'intéressais pas beaucoup à la question. Finalement, le nombre de progrès importants qui ont été enregistrés par cette loi me font dire que c'était une très bonne loi, bien qu'également le cache-sexe de lois bien horribles qui sont sorties en même temps ou par la suite.
Bref, si quelqu'un se souviens des motivations des militants du "contre" je suis tout à fait preneur.
EDIT : Bon, en fait je suis allé faire un tour sur Wikipedia pour m'informer sur la LCEN. Les raisons de la polémique étaient en fait tout à fait valables. Point positif : il semble que la démocratie ait fonctionné plutôt bien cette fois, et d'ailleurs je confirme que la LCEN est une bonne loi telle qu'elle fût adoptée.
Comparatif très intéressant de la sécurité des messageries instantanées les plus populaires. Et c'est fait par l'EFF, donc j'ai confiance.
Cependant, la page est vieille (outdatée, d'ailleurs c'est dit dès l'introduction) et mériterait une mise-à-jour, d'autant plus que ça change vite. Notamment pour What's App qui s'est grandement armé ces derniers mois.
Lire aussi, l'article de SebSauvage (dans le via)
Youpi, Let's Encrypt, ça me fait vraiment plaisir.
D'abord, parce que c'est gratuit, et automatisé. Ensuite, parce qu'ils implémentent le protocole Certificate Transparency qui permet d'être sûr qu'ils ne se sont pas fait pirater.
Mais surtout parce qu'ils sont en train de réussir le challenge énorme qui se posait, et en très peu de temps. En manageant quelques sites et blogs, j'utilise des outils pour vérifier les liens cassés dans les pages. Et en ce moment, c'est une pluie de liens qui sont marqués "redirection" parce que l'ancien lien http://domain.tld/path devient https://domain.tld/path !
Et après quelques vérifications au hasard, il s'agit toujours de certificats signés par Let's Encrypt.
Et bientôt, DANE s'imposera et les CA disparaitront en majorité, comme il se doit (mais pas totalement, heureusement) : http://www.commitstrip.com/fr/2016/06/13/the-end-of-an-expensive-era/
Merci aux sponsors (parmi lesquels Mozilla, Akamai, Cisco, Chrome, Gemalto, OVH, Free, Gandi, HP)
(ça fait plaisir en ce moment de voir qu'on peut œuvrer pour quelque chose de bien à plusieurs)
Mandieu. Facepalm terrible en matière de sécurité : non, le "logo Verisign" n'est pas une preuve de sécurité. Surtout en l'absence de SSL sur la connexion.
Merci Korben pour ce texte. J'ai la nausée aussi, et tout ça est bien expliqué. Je n'arrive même plus à trouver les mots.
C'est vraiment le chef des internets.
Excellent article sur la sécurité de TLS (via OpenSSL).
Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heureusement) et qui utilisait du AES-CBC (soumis à la faille POODLE, mais pas dans ce cas ; donc juste pour une best-practice)
Une rainbow table distribuée accessible en ligne. Marche aussi avec les pass MySQL :) = sha1(sha1_bin())
Microsoft va sortir une version de SQL Server "Always Encrypted". C'est bien.
Je n'ai pas regardé dans les détails, donc je ne sais pas si elle opère l'arithmétique.
Connaissez-vous d'ailleurs ça ? J'en ai entendu quand j'étais en master, il y a une huitaine d'année. Des bases de données qui peuvent manipuler des objets toujours chiffrés, y compris en appliquant des opérateurs arithmétiques. En gros : a op b = dec(enc-a enc-op enc-b) = dec(en-c) = c
via : https://twitter.com/FranmerMS/status/606695465619488768
Héhé. Un peu de cryptologie appliquée sur des hashs censés être "anonymisés". C'est drôle :)
L'article 132-79 est une véritable saloperie.
Afin de condamner plus fortement les coupables qui auraient refuser de donner leurs clés de chiffrement, mais en restant OK avec les règles de non-incrimination par soi-même, nos malhonnêtes députés, dans leur perversion habituelle, ont détourné l'esprit de la loi.
Pour ça, ils ont écrit à l'envers : la peine est forcément plus lourde que d'ordinaire, mais réduite si la personne a, d'elle-même, donné ses clés…
Malhonnêteté je dis. Mais continuez à ne rien respecter, et quand ce sera cassé, on s'étonnera.
Coup de bol incroyable pour l'ami Zythom.
Et une pointe d'humour qui ne manque pas de piquant à la fin : « Ah, et le remontage du scellé s'est bien passé. Je n'ai laissé aucune trace ni fait de rayures et toutes les vis ont retrouvé leur place. Le propriétaire a du être content. »
Très bon ce Tumblr : des gifs en tous genres sur le monde de la sécu (informatique)
via : https://twitter.com/crypt0ad/status/489505680202547201
Les recommandations d'un spécialiste (Bortzmeyer) pour générer sa clé PGP/GPG. Fascinant.
Excellent ce « jeu de piste » (quelqu'en soit l'issue d'ailleurs)
Ça me rappelle « Ouverture Facile » : http://www.ouverture-facile.com/
Affreux. La NSA aurait payé 10M$ à la société RSA pour utiliser un algorithme faible. Et la société aurait accepté.
Il est loin le temps des barbus idéalistes (http://www-history.mcs.st-and.ac.uk/BigPictures/Adleman_R_S.jpeg)
En attendant, il faut boycotter cette société.
Bon, j'ai voulu tester ces deux extensions.
Mailvelope me paraît pas mal du tout. WebPG est déjà sur le store, mais je n'ai pas réussi à le faire fonctionner.
Pour l'instant, je supprime les deux, mais il faudrait que je prolonge le test avec des partenaires (je pense à Adrian et PA surtout). On tente ? Je crois en plus que j'ai encore mes masters keys GPG dans un coin qqu'part.
via : http://sebsauvage.net/links/?dCNzvA et http://sebsauvage.net/links/?9ZYoRg
Distinction entre source chiffrée et source compressée.
Je pense qu'il est possible d'aller plus loin ;-)
Tiens, intéressant.
Le cryptosystème de Paillier est un cryptosystème pour le chiffrement homomorphique.
Soient A, B et C tels que A + B = C et A_c, B_c, C_c leurs versions chiffrées respectives. Soit +_c l'opération isomorphe à + pour le chiffrement c.
Alors dans un cryptosystème homomorphique pour l'addition, on a : A_c +_c B_c = C_c
Bref, ça permet de manipuler des données sur un serveur distant sans jamais les déchiffrer. Sympa pour le Cloud.
Pour revenir au système de Paillier, on voit qu'il reprend "seulement" la théorie des groupes isomorphes en l'appliquant au chiffrement. Donc en fait, il ne faut pas changer grand chose aux fonctions de chiffrements asymétriques actuels. Je pensais que c'était beaucoup plus tordu comme truc. Du coup, je n'avais jamais jeté d'œil dessus (mon cerveau a démissionné)