Discussion :

[Beanux]

Le seuls soucis, sont les terminaux mobiles (pas les téléphone, mais les terminaux de CB et autres), qui ont une faible puissance de calcul, ce qui nécessite beaucoup plus de temps pour procéder à un cryptage fort.

Mais +1 pour la NSA. Elle n’est pas magicienne comme l'a dit sazearte, par le biais des mathématique il est démontré que retrouver les 2 multiples d'un nombre est un problème difficile.
NP pour les matheux, qui se résous en un temps polynomiale par rapport à la taille de l'entrée sur des machine "normales" (machine de turing, par opposition aux ordinateurs quantiques).
Cela signifie que pour chaque augmentation de ta clé d'encryptage que tu ajoutes (ex: 1024->2048), tu augmente d'une puissance le temps de décryptage (dans l'exemple, 2^10=>2^11, le temps passe de x^10 à x^11).

Sorry Petit edit après coup pour mieux illustrer.

[Aeson]

Tu sais quel puissance faudrait pour décrypter une clé de 1024bits ?

Tu vas me sortir que la NSA dispose d'ordinateur quantique

lis l'article. Ils n'ont meme pas eu besoin d'ordinateur quantique. Ils ont inseré dansle code de chiffrement du code qui leur permet de déchiffré beaucoup plus rapidement (donc sans ordi quantique) les messages chiffré via RSA.

Et on remarquera que ceci a ete trouvé alors que le code source est fermé. Alors trouver des failles ou Backdoor dans Windows ... pas besoin du code source. CQFD

[RyzenOC]

Le seuls soucis, sont les terminaux mobiles (pas les téléphone, mais les terminaux de CB et autres), qui ont une faible puissance de calcul, ce qui nécessite beaucoup plus de temps pour procéder à un cryptage fort.

Mais +1 pour la NSA. Elle n’est pas magicienne comme l'a dit sazearte, par le biais des mathématique il est démontré que retrouver les 2 multiples d'un nombre est un problème difficile (NP pour les matheux, qui se résous en un temps polynomiale par rapport à la taille de l'entrée sur des machine "normales").

Pour fois je suis d'accord avec toi (+1 aussi).

Par contre je comprend pas trop quand tu parle de crypter un CB ?, je ne connais pas du tout le fonctionnement de ces terminaux, ils ont des processeurs embarqué pour le cryptage ? Je pense qu'il doit y avoir un autre procédé que le chiffrement pas clé.

[Zirak]

Parce que je suis allé à l'école et que j'ai fait des maths.

Et bien si tu y a également appris à lire, ainsi que l'anglais, va donc lire l'article, au lieu de t'obstiner sans savoir...

[Beanux]

Et bien si tu y a également appris à lire, ainsi que l'anglais, va donc lire l'article, au lieu de t'obstiner sans savoir...

J'ai éditer mon post précédent qui explique cela.
Ce que tu dis, signifie simplement que c’est l'implantation elle même du RSA qui est défaillante, pas les mathématique qui en sont l'origine.
Et ça, c'est complétement différent. Il "suffit" de changer modifier, améliorer l'implantation du protocole.


@sazearte
En gros il est simple de mettre en place un cryptage fort, mais pour l'embarqué, la puissance de calcul est moindre, et cela demande beaucoup de ressources.
Dans les terminaux mobiles que sont les lecteurs de carte bancaire, la puce chargée de la crypto est dans la carte de crédit ....

[RyzenOC]

Oui j'ai lu l'article, et c'était HS, car dans mon 1er post je parlais de l'inviolabilité technique de l'algo, c'est bien évidement dans sa mise en place que les failles peuvent intervenir. Mais sa n'a rien a voir avec l'algo en lui même.
Je pense pas qu'il faille être un génie pour le déduire.

J'ai fait de la sécurité il y'a quelque temps, et j'ai vite vue que 90% des failles ne vienne pas des programmes en eux même mais bien de l’environnement dans lequel il s’exécute.

Par exemple, un serveur web, dans 90% des cas, le problème ne viens pas de l'os ou d'apache, mais de sa mauvaise configuration.

[Beanux]

c'est bien évidement dans sa mise en place que les failles peuvent intervenir. Mais sa n'a rien a voir avec l'algo en lui même.

D’où la nécessite d'avoir cet implantation opensource (ou libre, au choix) pour être sur de son inviolabilité !! CQFD

[Aeson]

D’où la nécessite d'avoir cet implantation opensource (ou libre, au choix) pour être sur de son inviolabilité !! CQFD

Ca ne garantie absolument rien. Regarde OpenSSL.

Et on peut meme se poser la question pour voir si ca n'aide pas. Trouver une faille quand on a les sources c'est plus facile.

Vous allez me dire que alors c'est plus facile a corrigé. Mais la communauté a laisser passé deja pas mal de faille (qui etait public, suffisait de les trouver). Donc il faut savoir si on fait confience a la communauté ou pas.

[RyzenOC]

D’où la nécessite d'avoir cet implantation opensource (ou libre, au choix) pour être sur de son inviolabilité !! CQFD

1) Pour le noyaux Linux oui je veut bien, mais pour des projets open source avec seulement 2-3 contributeurs, j'ai des doutes.
2) Qu'es ce qui me prouve que le code compiler est le même que celui sur github ?, vous aller me dire que je n'ai qu'a compiler le noyaux moi même, pour un environnement de production, perso j'utilise de vrai distribution déjà toute faites (Debian, ubuntu ou CentOS) avec des iso authentique grâce a la clé md5), pas ma distribution faite maison.

[Beanux]

Ca ne garantie absolument rien. Regarde OpenSSL.

Donc si OpenSSL avait eu une implantation privée, elle n'aurait pas eu cette faille ? ou pas une autre potentielle ?
Est-ce que son utilisation aurait pu etre possible si elle etait sous licence privée ?

Vu que ça réponds à coté trop fréquemment, la réponse est non, on a aucune garantie que ça aurait pu être mieux, et peut être même un penchant pour que cela ait pu être pire.

1) Pour le noyaux Linux oui je veut bien, mais pour des projets open source avec seulement 2-3 contributeurs, j'ai des doutes.
2) Qu'es ce qui me prouve que le code compiler est le même que celui sur github ?, vous aller me dire que je n'ai qu'a compiler le noyaux moi même, pour un environnement de production, perso j'utilise de vrai distribution déjà toute faites (Debian, ubuntu ou CentOS) avec des iso authentique grâce a la clé md5), pas ma distribution faite maison.

Pour des librairie de ce niveau en terme de sécurité, c'est vital. Pour moi, un serveur devrait être opensource, et le cœur d'un ordinateur aussi (kernel, drivers et librairies principales). afin de pouvoir être sur d'un minimum de chose et de ne pas avoir à douter de tout. Ainsi les applications au dessus, pourrait être contrôlés/supervisé.

Et oui, si tu veux en être sur, il faut que tu le compiles toi même. a des fin de vérification. Une fois établie l'authenticité, tu peux te baser sur l'iso que tu as récupéré. Tu n'as à le faire qu'une seul fois (sauf si tu veux vérifier l'ensemble des paquets installé sur la distribution)

[Aeson]

Donc si OpenSSL avait eu une implantation privée, elle n'aurait pas eu cette faille ? ou pas une autre potentielle ?
Est-ce que son utilisation aurait pu etre possible si elle etait sous licence privée ?
Vu que ça réponds à coté trop fréquemment, la réponse est non, on a aucune garantie que ça aurait pu être mieux, et peut être même un penchant pour que cela ait pu être pire.

mon avis c'est que ca ne change rien. (Certainement pas face a la NSA)

Les serveurs utilisants OpenSSL on ete vulnerable des dixaines d'anées car personne n'as vu le bug (ceux qui l'ont vu l'ont gardé pour eux en tous cas) et le chiffrement RSA (qui est donc fermé) a ete compromis en interne.

De plus. Pour heartBleed un 'bete' unit test aurait decouvert l'erreur..

http://martinfowler.com/articles/testing-culture.html

The change introducing the bug was code reviewed; it is apparent that the reviewer did not insist that the change include unit tests. The bug was not discovered and fixed until April 2014 and released as part of 1.0.1g.

Bon je ne dis pas que je test tous mais ici on parle d'un truc utilisé mondialement et tres critique. Personellement je n'en revient toujours pas que c'est passé si longtemp a travers les mails du filet.

[Beanux]

mon avis c'est que ca ne change rien. (Certainement pas face a la NSA)

Au contraire, la meilleur solution pour luter contre quelque chose qui oeuvre caché et qui souhaite le rester, c'est d'exposer un maximum pour percevoire les

le chiffrement RSA (qui est donc fermé) a ete compromis en interne.

on va juste partir sur la logique plutot que de te donner un exemple qui montre que des implantationd e RSA libre existent (openssl), mais comment pense tu que linux et tous ses horribles puriste font-il pour utiliser le vilain et fermé protocol RSA ? ils utilisent un très gentille implantation fermé du RSA ?
Non, sinon il aurait développé la leur depuis bel lurette (et c’est probablement ce que certains ont fait).

[Aeson]

Au contraire, la meilleur solution pour luter contre quelque chose qui oeuvre caché et qui souhaite le rester, c'est d'exposer un maximum pour percevoire les

Je suis d'accord sur le principe. Mais si t'expose mais que personne ne test ca sert a rien. Libre ou fermé on test le code critique. Regle de base.

Toute la communauté se felicite et avance l'argument des code review. Apres on s'appercois que ces code review c'est plus des arguments 'commerciaux' qu'autre chose.

[Beanux]

Je suis d'accord sur le principe. Mais si t'expose mais que personne ne test ca sert a rien. Libre ou fermé on test le code critique. Regle de base.

Toute la communauté se felicite et avance l'argument des code review. Apres on s'apperois que ces code review c'est plus des arguments 'commerciaux' qu'autre chose.

Le probleme c'est que tu ne sais pas si c’est pire ou non dans le privé, le code review, il y a plusieurs dev qui le font sur le kernel.
Or je pense que c’est pire dans le privé. Si toi non, ben on y peut rien.

[Aeson]

Le probleme c'est que tu ne sais pas si c’est pire ou non dans le privé

Dison que dans le privé le programmeur n'a pas envie de perdre sa place et a besoin de son salaire pour vivre, alors que celui qui a fait le commit du code openSSL sans le tester ne risquai pas grand chose ?

Si moi je commit un code sans tester et qu'en prod un pirate arrive a voler les donnée de l'entreprise... comment dire... tu vois ou je veus en venir.

En plus la gouvernance de la boite force les test et ca passe donc par plusieur personne et systeme de verification avant le deploiement. Alors sans test c'est meme pas possible de deployer (le serveur TFS ne compilera meme pas). Ca s'apelle la bonne gouvernance.

C'est dommage que je n'ai plus le lien mais chez Microsoft ca se passe également comme ca. Dommage que la communauté responsable d'openSSL n'ai pas copié Microsoft sur ce point.

[bmoraut]

Je me permets une apparté et je cite:

SurferXX

"C'est marrant, en fonction des citations, on devine l'âge de la personne : soit trop jeune ("Linux c'est toujours du minitel") soit pas mis à jour du tout ("c'est gratuit, ça tue les développeurs")... "

Ce sous-entendue dénote un dogmatisme: trop jeune = inexpérimenté et vieux (plus vieux que moi) = dépassé.

Pour le ""c'est gratuit, ça tue les développeurs"" Lit d'abord les articles économiques du CNRS que j'ai mis, avant de contester...

Mais je pense que le surnom que tu t'es attribué va bien avec ce que tu sait faire: du NET avec des bib toutes faites... (j'ai regardé ton CV)

Tu es l'image même de ceux qui défendent bec et ongle leur "Open" parce que sans celui-ci ils seraient bien embêtés.

Mais merci de cette information, je viens de prendre conscience que sans cet open, il y aurrai moins de frimeurs.

Quand au "pas mis à jour du tout" tu m'as fait bien rire !!!!!!!

Cordialement

[Beanux]

Dison que dans le privé le programmeur n'a pas envie de perdre sa place et a besoin de son salaire pour vivre, alors que celui qui a fait le commit du code openSSL sans le tester ne risquai pas grand chose ?

Si moi je commit un code sans tester et qu'en prod un pirate arrive a voler les donnée de l'entreprise... comment dire... tu vois ou je veus en venir.

Oui, donc c'est une question d'éthique encore une fois. Si tu ne comprends pas l'éthique des libristes, alors ton point de vu est justifié.
Mais ils n'ont pas ta logique et se dire "qu'est-ce que je risque" c'est plus "je veux faire quelque chose bien". Ta vision est restreinte a TA boite, et donc profitable uniquement pour elle, pas pour tout le reste. Donc c'est assez égoïste de ta part.

[Invité]

Ce type est vraiment un abruti.

Et il est pas le seul, hein ?

[Aeson]

Non, notre boite fournis des services et outils pour beaucoup d'autres personnes (+ de 5000 au denier comptage) en. Alors c'est plus que de la bonne volonté qu'il faut donner. Il faut des résultats concluants sinon dehors. Pour arriver a ce niveau de services ont a mis en place une gouvernance et des budgets conséquent. Y a pas de secrets la motivation est le meilleurs moyen. Et il n'y a pas que la motivation financiere.

Imaginer livrer une solutions comme OpenSSL sans tester dans tous les sens a chaque version est totalement impossible quand on fait un travail serieux et PRO. Alors pour le serieux de la gouvernance dans le libre on passera... De plus quand on voit les propos tenu par les elite du libre Stallman et Linus ont se demande si on ne parle pas a des syndicalistes frustré.

Au lieu de venter votre qualité de code vous feriez bien mieux de venter l'architecture de Linux qui est bien mieux pensée que windows server.Le point fort de Linux c'est son architecture, pas son code. D'ailleur il suffit de voir la direction que prend Microsoft avec la Version VNext et d'entendre leur discours. C'est difficile a croire que cette personne a travaillé depuis 10 ans sur Windows Server et qui affirme haut et fort que les GUI c'est le mal absolu sur les serveurs

http://channel9.msdn.com/events/Ignite/2015/BRK2461

Je vous conseil vivement les 10 première minutes (surtout la comparaison entre le GUI et l'Heroine )

[Invité]

booo, Richard Stallman a raison mais il a la mémoire courte de ses débuts avc linux je suppose (et je l'espère).

[mode humour mais vrai]

Après 10ans à faire de l'administration d'un serveur linux, je me sens comme un malware :

- j'exploite les logs pour voir qui utilisait ceci ou ça.....booh la vie privée
- j'exploite les logs pour voir les ip des gens et connaître de quel pays mon application est connu, utilisé pour en rendre compte à mes comemrciaux
- j'exploite les logs voir qui a l'oeil trop curieux
- j'exploite les contenus des cache internet (anciens proxy) pour voir les sites les plus consultés et par qui....
- je développe tel tracker dans tel appli avec VI, perl pour mieux suivre les utilisateurs et tracer leurs faits&gestes ils ont besoin d'être surveillés n'est-ce pas....

Donc qu'est-ce qui me différencie d'un réel créateur de malware ou d'un éditeur privé ? Juste une chose, je ne fais signer, ni cocher aucune cases ou chartes à mes utilisateurs pour les avertir de me actes et donc je le fais dans le dos parce que c'est opensource.....ouahhhh je suis root Aka voyeur numérique.
[/mode humour mais vrai]

Open Source ne signifie pas être autorisé à l'utiliser pour commettre des actes illégaux.