Beau. L'amour au temps du numérique, de l'espionnage massif, de la pérennité de la moindre donnée. Une histoire d'amour et de hackers. Je n'ai pas lu le récit, mais ça donne envie.
via : https://twitter.com/Maitre_Eolas/status/853940456853471232
Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui conserve les clés déchiffrées et qui les restitue entièrement au client demandeur.
Sachant qu'en gros n'importe quel programme apte à lire le socket de l'agent pourra requérir les clés. Bref, pas secure du tout.
Je pensais honnêtement, vu le boulot qui a été fait (et bien fait) autour de SSH, que l'agent était capable de répondre aux requêtes du client (signe-moi ça, calcule-moi ce hash, etc.) En gros, il conserverait la clé privée mais fournirait une API pour accéder aux primitives cryptographiques.
Bon, heureusement, il y a un agent un chouilla plus sécurisé dans KeePass (keeagent) : il peut demander une interaction à chaque utilisation, mais ça n'empêche pas complètement les usages délictueux.
J'espère qu'une sorte de v2 sortira un jour :)
EDIT : changer le vocable autour des routines cryptographiques
Pour plus tard : l'ANSSI vient de réaliser un webdoc sur la cryptologie en abordant pas mal de facettes différentes. À voir certainement.
via : https://twitter.com/ANSSI_FR/status/783612493147082752
Hmmm, intéressant. Un service qui authentifie les identités en ligne pour les mapper avec des clés (GPG, etc.)
Excellent article sur la sécurité de TLS (via OpenSSL).
Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heureusement) et qui utilisait du AES-CBC (soumis à la faille POODLE, mais pas dans ce cas ; donc juste pour une best-practice)
Mais génial ! Cet outil pour comprendre et jouer avec les concepts de cryptographie est tellement intéressant.
via : http://korben.info/cryptool-pour-sinitier-a-la-cryptographie.html
Excellent. Je ne savais pas que l'ANSSI avait glissé un challenge dans l'un de ses fonds d'écran. Awesome.
Très bon ce Tumblr : des gifs en tous genres sur le monde de la sécu (informatique)
via : https://twitter.com/crypt0ad/status/489505680202547201
Des recherches Google forgées pour tomber sur des documents top secrets.
Attention toutefois, après le procès Bluetouff, on sait plus à quoi s'attendre (lol)
Bon, j'vais peut être finir par utiliser Keepass (la version 2.x je pense, mais pas sûr encore)
Ce logiciel est certifié par l'ANSSI. Donc a priori, on peut faire confiance :-)
Pas mal cet article synthétique de Bortzmeyer. Il rappelle les limites de la cryptographie pour protéger nos secrets.
Petite précision de fin d'article qui m'a tout de même beaucoup fait rire : « Merci surtout au relecteur anonyme qui a fait l'essentiel de la relecture mais ne souhaite pas que son nom apparaisse. »
Tiens, intéressant.
Le cryptosystème de Paillier est un cryptosystème pour le chiffrement homomorphique.
Soient A, B et C tels que A + B = C et A_c, B_c, C_c leurs versions chiffrées respectives. Soit +_c l'opération isomorphe à + pour le chiffrement c.
Alors dans un cryptosystème homomorphique pour l'addition, on a : A_c +_c B_c = C_c
Bref, ça permet de manipuler des données sur un serveur distant sans jamais les déchiffrer. Sympa pour le Cloud.
Pour revenir au système de Paillier, on voit qu'il reprend "seulement" la théorie des groupes isomorphes en l'appliquant au chiffrement. Donc en fait, il ne faut pas changer grand chose aux fonctions de chiffrements asymétriques actuels. Je pensais que c'était beaucoup plus tordu comme truc. Du coup, je n'avais jamais jeté d'œil dessus (mon cerveau a démissionné)
Ouais, enfin les crypto-systèmes proposés en graphiques sont vraiment pas terrible.
Ce qui est plus intéressant avec cette histoire, c'est de générer de la donnée aléatoire. En plus on peut casser/fondre le verre ensuite, pour faire disparaître le générateur.
« According to another top official also involved with the program, the NSA made an enormous breakthrough several years ago in its ability to cryptanalyze, or break, unfathomably complex encryption systems employed by not only governments around the world but also many average computer users in the US. »
Bad…