Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui conserve les clés déchiffrées et qui les restitue entièrement au client demandeur.
Sachant qu'en gros n'importe quel programme apte à lire le socket de l'agent pourra requérir les clés. Bref, pas secure du tout.
Je pensais honnêtement, vu le boulot qui a été fait (et bien fait) autour de SSH, que l'agent était capable de répondre aux requêtes du client (signe-moi ça, calcule-moi ce hash, etc.) En gros, il conserverait la clé privée mais fournirait une API pour accéder aux primitives cryptographiques.
Bon, heureusement, il y a un agent un chouilla plus sécurisé dans KeePass (keeagent) : il peut demander une interaction à chaque utilisation, mais ça n'empêche pas complètement les usages délictueux.
J'espère qu'une sorte de v2 sortira un jour :)
EDIT : changer le vocable autour des routines cryptographiques
Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usage, etc.). Il y a une jolie carte et c'est extrêmement bien sourcé.
D'ailleurs, ça fait chaud au cœur de voir d'où l'on vient en France et qu'il y a eu pas mal de progrès.
Il y a aussi un truc à noter : je me souviens de la gueulante terrible des internautes sur la LCEN en 2004. Pour une raison que j'ignorais. Pas parce que je trouvais que c'était un beau projet de loi, mais plutôt parce que je ne m'intéressais pas beaucoup à la question. Finalement, le nombre de progrès importants qui ont été enregistrés par cette loi me font dire que c'était une très bonne loi, bien qu'également le cache-sexe de lois bien horribles qui sont sorties en même temps ou par la suite.
Bref, si quelqu'un se souviens des motivations des militants du "contre" je suis tout à fait preneur.
EDIT : Bon, en fait je suis allé faire un tour sur Wikipedia pour m'informer sur la LCEN. Les raisons de la polémique étaient en fait tout à fait valables. Point positif : il semble que la démocratie ait fonctionné plutôt bien cette fois, et d'ailleurs je confirme que la LCEN est une bonne loi telle qu'elle fût adoptée.
Un nouveau système de téléportation quantique sur fibre et à longue distance (> 100km). J'suis pas sûr d'avoir tout compris, c'est assez complexe (et ce sont forcément des notions difficiles à appréhender)
Excellent article sur la sécurité de TLS (via OpenSSL).
Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heureusement) et qui utilisait du AES-CBC (soumis à la faille POODLE, mais pas dans ce cas ; donc juste pour une best-practice)
Mais génial ! Cet outil pour comprendre et jouer avec les concepts de cryptographie est tellement intéressant.
via : http://korben.info/cryptool-pour-sinitier-a-la-cryptographie.html
Excellent. Je ne savais pas que l'ANSSI avait glissé un challenge dans l'un de ses fonds d'écran. Awesome.
L'article 132-79 est une véritable saloperie.
Afin de condamner plus fortement les coupables qui auraient refuser de donner leurs clés de chiffrement, mais en restant OK avec les règles de non-incrimination par soi-même, nos malhonnêtes députés, dans leur perversion habituelle, ont détourné l'esprit de la loi.
Pour ça, ils ont écrit à l'envers : la peine est forcément plus lourde que d'ordinaire, mais réduite si la personne a, d'elle-même, donné ses clés…
Malhonnêteté je dis. Mais continuez à ne rien respecter, et quand ce sera cassé, on s'étonnera.
Très bon ce Tumblr : des gifs en tous genres sur le monde de la sécu (informatique)
via : https://twitter.com/crypt0ad/status/489505680202547201
Affreux. La NSA aurait payé 10M$ à la société RSA pour utiliser un algorithme faible. Et la société aurait accepté.
Il est loin le temps des barbus idéalistes (http://www-history.mcs.st-and.ac.uk/BigPictures/Adleman_R_S.jpeg)
En attendant, il faut boycotter cette société.
Un petit récapitulatif sur l'outil TOR. Je ne le trouve pas super complet, mais c'est une introduction.
Dommage qu'il n'explique pas comment surfer dans le DW (moins facile sans Google :p)
Pas mal : l'échange de Diffie-Hellman expliqué avec des couleurs.
Ce qui est intéressant, c'est aussi de comprendre pourquoi ça ne marche qu'avec un nombre premier (shorter : parce que Z/pZ est un corps commutatif, alors que Z/nZ est "seulement" un anneau commutatif)
Les codes de Reed-Solomon. Ce sont des codes correcteurs extrêmement performants, basés sur les corps de Galois. Ils permettent de choisir la quantité de redondance d'information. Ce sont ces codes qui sont utilisés dans les CD/DVD, dans les modems, dans les transmissions en général, mais également dans le super logiciel QuickPar que je conseille grandement pour du stockage "froid" (à long terme).
Les corps de Galois sont aussi utilisés pour les s-box dans la crypto, par exemple le champ fini GF256 = GF(2^8) pour l'algorithme AES.