Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Oui, c'est une option technologique intéressante
Non, je n'opte pas pour cette voie
Je suis partagé
Pas d'avis
C'est exactement ce qu'on dit depuis le début du thread : il faut une autorité émettrice d'identité (l'Etat, etc.)Envoyé par Marco46
La blockchain est un des rouages, pas une solution magique en soi. Le bullshit c'est de brandir le mot blockchain comme un talisman alors que la solution est beaucoup plus vaste que ça.
Le web est sincèrement de mieux en mieux sécurisé, l'erreur c'est d'utilisé le même mot de passe partout et la même adresse mail. La valeur ajoutée du blockchain est la même qu'utilisé un service de SSO.
Si le blockchain garantis l'intégrité des données, le faite de pouvoir les lires c'est totalement autre chose. Dans un cas de BDD centralisé, faut déjà accéder à cette dernière, dans le cas du blockchain tu n'a pas cette étape. Derrière trouver la clé bla-bla oui c'est sécurisé. Mais clairement bien moins que des BDD centralisé comme iCloud
Le blockchain c'est utile pour transmettre des informations qu'on souhaite partager, comme des transactions financières, des actes de propriétés, des contrats, décentralisé l'information des actes de propriétés, ça existait bien avant le premier transistor.
tu le dis très bien c'est du bullshit, le blockchain n'est pas une solution pour de l'authentification. Et l'autre débat autour d'une authentification commune, universelle et centralisé, qui tourne autour d'une autorité suprême c'est même pas envisageable, jamais ça ne dois exister.
Avant même de parler de perte ou de vol, comment t'associe l'être humain à la blockchain? Tu lui donnes une clé physique ou il doit mémoriser une clé privée
Si les clés physiques étaient plus pratiques que le couple identifiant/mot de passe, on aurait toujours utilisé une solution à base de clé physique, je crois.
L'empreinte digitale est en aucun cas une clé privée puisqu'elle traine partout. Et il est très facile de la capter (sur un verre, par exemple) avec un gant en latex et un peu de ninhydrine (révélateur des acides aminés).
Et puis essayez donc de révoquer votre empreinte digitale si vous l'estimez compromise...
Il me semble que tout ça c'est du pipo et que ça veut surfer sur la mode. La bonne vieille paire clés publique/privée façon PGP me semble indémodable. Il faut juste pouvoir saisir son password par des clics souris sur un pavé numérique aléatoire comme le font toutes les banques pour entrer dans son espace perso, afin qu'un éventuel scruteur de frappes clavier ne puisse rien en faire.
Dépriment, qu'est ce qu'y vous échappe dans :
La confusion doit provenir d'avoir nommé cela une "clé" alors que techniquement c'est plus un "trousseau de clés" alors je vais le redire avec ce terme.
Cet "e-keyring" ne ferait rien d'autre que retenir pour toi les multitudes d'identifiants et mots de passes de tes sites internets. Au lieu de chercher dans ta mémoire ou dans ton calepin, il tape pour toi l'identifiant et le mot de passe enregistré (dans sa mémoire interne) pour le site sélectionné. Pour un autre site ça sera évidemment un autre mot de passe et l'identifiant que tu auras choisi. C'est clair non !? Je n'invente rien. Je ne doit pas plus inventer que pour l'inscription sur un site cet "e-keyring" généra lui-même un mot de passe fort pour simplifier et surtout pour éviter à l'humain de rentrer lui même un mot de passe peu fiable.
Il n'y a aucune centralisation là dedans. A moins que pour toi l'existence d'un simple calepin papier soit aussi géré par une "autorité"
ça existe déjà, tu as littéralement une application trousseau de clés sur Mac.Dépriment, qu'est ce qu'y vous échappe dans :
La confusion doit provenir d'avoir nommé cela une "clé" alors que techniquement c'est plus un "trousseau de clés" alors je vais le redire avec ce terme.
Cet "e-keyring" ne ferait rien d'autre que retenir pour toi les multitudes d'identifiants et mots de passes de tes sites internets. Au lieu de chercher dans ta mémoire ou dans ton calepin, il tape pour toi l'identifiant et le mot de passe enregistré (dans sa mémoire interne) pour le site sélectionné. Pour un autre site ça sera évidemment un autre mot de passe et l'identifiant que tu auras choisi. C'est clair non !? Je n'invente rien. Je ne doit pas plus inventer que pour l'inscription sur un site cet "e-keyring" généra lui-même un mot de passe fort pour simplifier et surtout pour éviter à l'humain de rentrer lui même un mot de passe peu fiable.
Il n'y a aucune centralisation là dedans. A moins que pour toi l'existence d'un simple calepin papier soit aussi géré par une "autorité"
Maintenant si tu perds l'accès à ton trousseau tu fais comment ?
Je ne la connais pas mais bien sûr que cela existe déjà sur quasi tous les systèmes d'exploitation et même sous forme de clé USB... je ne vais pas réécrire ce que j'ai déjà dit.J'ai bien sûr des pistes... en espérant que cela ne reparte pas comme ma proposition de sécurité digitale... pour comprendre tout autre chose
Il faut donc une copie de secours. Copie qui devra pouvoir se faire dans n'importe quel cloud (donc pas de centralisation !) et qui proposera cette unique fois là de noter et conserver bien précautionneusement sur papier un code pour pouvoir accéder et décoder(*) la copie en cas de perte du trousseau. ((*) : comme la copie serait fortement cryptée, non la CIA ne pourrait pas y avoir accès)
Un "cloud" hors réseau pourrait même être proposer pour ceux voulant que la copie ne puisse pas sortir physiquement et virtuellement de leur bureau ou domicile.
Il pourrait même avoir la possibilité d'enregistrer dans différents clouds à la fois pour minimiser les risques de perte.
@ijk-ref :Une solution serait que tous les objets répondant à cette clé (donc, le verrou électrique d’une porte, par exemple) soient connectés, de sorte qu’une inhibition demandée suite à un vol puisse fonctionner immédiatement (ou au plus tôt). Et puis il leur faudra probablement être alimentés en permanence, pour ça et pour fonctionner. Internet est-il disponible quand la panne de courant concerne tout un secteur ? Combien de temps en réserve d’énergie ? On arrive ainsi à une solution de secours (genre clé mécanique, pour un verrou)……
Il faut vraiment aussi une procédure pratique en cas de perte ou de vol.
…
Un objet "simple" connecté est une source pour l'espion, sinon source d’ennui.
Je ne sais pas si c'est sincère ou pas, mais cette idée que certaines banques et services utilisent est totalement stupide.
Un clavier, si tu admets que c'est sur ta machine et que tu n'installes pas de merdes, tu peux rapidement taper dessus et "cacher" ton mot de passe à la vue de quiconque. De plus, tu as accès à tout le charset d'un clavier, donc tu as beaucoup plus de choix pour ton mot de passe.
Ces horreurs de digicodes numériques imposent plusieurs choses:
- Un MdP uniquement composé d'un charset extrêmement réduit: il ne faut pas que le pad prenne la moitié de l'écran. On verra alors généralement seulement des chiffres, généralement pour un mot de passe de 6 ou 8 chiffres...
- Le pad va placer aléatoirement les chiffres, sinon ce serait trop simple à l'aide de n'importe quel programme de lecture d'écran, voire caméra ou autre, de, à force d'utilisation, "déterminer" un chemin probable de mot de passe: Du coup, tu passe 40 plombes à la souris à chercher à taper ton code, lentement.
N'importe qui qui regarde par dessus ton épaule a tout le temps de le regarder, et les limitations abberrantes que ce système impose permet même à ceux regardant de le mémoriser sans effort.
Le principal défaut des objets "simples" connectés est qu'ils réinventent quasiment leur système de sécurité à chaque fois. D'où l'intérêt de leurs proposer une brique libre-universelle de connection-identification... le meilleur de la sécurité du moment.Une solution serait que tous les objets répondant à cette clé (donc, le verrou électrique d’une porte, par exemple) soient connectés, de sorte qu’une inhibition demandée suite à un vol puisse fonctionner immédiatement (ou au plus tôt). Et puis il leur faudra probablement être alimentés en permanence, pour ça et pour fonctionner. Internet est-il disponible quand la panne de courant concerne tout un secteur ? Combien de temps en réserve d’énergie ? On arrive ainsi à une solution de secours (genre clé mécanique, pour un verrou)…
Un objet "simple" connecté est une source pour l'espion, sinon source d’ennui.
Bien que je n'approuve pas que tous les objets répondant à cette "clé" soient connectés. En cas de (déclaration de) vol, la procédure de la création de copie devrait nous prévenir des objets non connectés demandant un déplacement physique pour rendre inutilisable la clé volé. A mon avis le nombre d'objets non-connectés ne devrait pas être énorme.
Sinon je pense aussi à un détail non négligeable. En cas de vol il serait possible que son "nouveau" propriétaire met à jour rapidement tous les mots de passes rendant la copie du "vrai" propriétaire obsolète. Ou inversement un voleur s'empare du code de la copie rendant la clé du propriétaire obsolète.
C'est pourquoi il faudrait donc une procédure pour qu'un individu en possession du code de la copie ou (du code) de la clé puisse devenir prioritaire sur tout changement. Et là seul un organisme garantissant son identité physique devra être capable de délivrer un nouveau code à partir du code donné par l'individu.
Attention je vois encore les paranos imaginer qu'il devrait donc avoir "centralisation" de toutes nos données. Alors que pas du tout. Même si mathématiquement je ne suis pas sûr de prouver la viabilité du concept
Ça sert à protéger madame michu sur son vieux windows cramoisi et non mis à jour des 18 keyloggers installés par les .ppt envoyés par ses copines ou auto-installés par les bots qui ont zombifié son PC depuis des années.
Du coup c'est pertinent.
Enfaite tu as juste pas poussée assez loin ta réflexion sur le sujetLe principal défaut des objets "simples" connectés est qu'ils réinventent quasiment leur système de sécurité à chaque fois. D'où l'intérêt de leurs proposer une brique libre-universelle de connection-identification... le meilleur de la sécurité du moment.
Bien que je n'approuve pas que tous les objets répondant à cette "clé" soient connectés. En cas de (déclaration de) vol, la procédure de la création de copie devrait nous prévenir des objets non connectés demandant un déplacement physique pour rendre inutilisable la clé volé. A mon avis le nombre d'objets non-connectés ne devrait pas être énorme.
Sinon je pense aussi à un détail non négligeable. En cas de vol il serait possible que son "nouveau" propriétaire met à jour rapidement tous les mots de passes rendant la copie du "vrai" propriétaire obsolète. Ou inversement un voleur s'empare du code de la copie rendant la clé du propriétaire obsolète.
C'est pourquoi il faudrait donc une procédure pour qu'un individu en possession du code de la copie ou (du code) de la clé puisse devenir prioritaire sur tout changement. Et là seul un organisme garantissant son identité physique devra être capable de délivrer un nouveau code à partir du code donné par l'individu.
Attention je vois encore les paranos imaginer qu'il devrait donc avoir "centralisation" de toutes nos données. Alors que pas du tout. Même si mathématiquement je ne suis pas sûr de prouver la viabilité du concept
C'est ce qu'on t'expliques depuis le premier message :
Que c'est ce point là qui bloque, car tu centralises l'accès à toutes tes données dans un organisme, je suis pas parano, tu es naïf pour le coup de croire que c'est sans danger, c'est tellement dangereux que c'est même plus qu'illégale, c'est anticonstitutionnel. Même l'état n'a pas le droit de faire ça.Et là seul un organisme garantissant son identité physique devra être capable de délivrer un nouveau code à partir du code donné par l'individu.
Non hélas c'est encore toi incapable de voir dans une autre sens que celui que tu souhaites donné pour assouvir ton drôle de fantasme.Enfaite tu as juste pas poussée assez loin ta réflexion sur le sujet
C'est ce qu'on t'expliques depuis le premier message :
Que c'est ce point là qui bloque, car tu centralises l'accès à toutes tes données dans un organisme, je suis pas parano, tu es naïf pour le coup de croire que c'est sans danger, c'est tellement dangereux que c'est même plus qu'illégale, c'est anticonstitutionnel. Même l'état n'a pas le droit de faire ça.
Je n'ai jamais dit : un organisme capable de donner un code à partir de rien... ouvrant tout !
J'ai pas envie de faire un schéma super compliqué mais je pense qu'il est tout à fait possible à partir de cryptographie asymétrique & co qu'un organisme te donne un code 'B' à partir d'un code 'A' vérifié comme t'appartenant... sans qu'à aucun moment l'organisme soit en possession du code 'A' ou du code 'B' !!!
Dans ce cas arrête avec ta centralisation qui est aussi la dernière chose que je souhaite.
Pour que l'organisme assure l'identité de ses utilisateurs sans connaître la clé publique et la clé privée il faudrait que ce ne soit pas lui qui fournisse de nouveaux identifiants mais qu'il obtienne une preuve d'identité avant d'accepter un changement de clé (il ne connaitra que la clé publique) mais finalement la clé publique suffit, et elle est là pour ça, pour identifier chacun des utilisateurs il n'y a malheureusement aucun anonymat avec ce genre de système.
La blockchain qui est une simple base de données (ou historique) distribuée et hachée fait parler d'elle par le truchement du Bitcoin qui fait beaucoup parler de lui (ça existait déjà dans le protocole Torrent). Alors oui c'est une technologie très intéressante mais pas au point d'être LA solution à toutes les problématiques existantes
Oui c'est possible, c'est même très simple à mettre en place, mais ça change pas le problème.
Comment vérifier que le code 'A' t'appartient à 100% ? on parle bien d'un code 'A' à utiliser au cas où tu perds ta clé ? ton code 'A' est déjà sensée être ta preuve d'identité pour récupérer un nouveau code, mais faut qu'il sois fiable à 100%.
J'espère qu'après je n'aurai pas aussi une interrogation sur les détails du 'HTTPS' ni sur les cryptomonnaies
Donc je réponds seulement à "Comment vérifier que le code 'A' t'appartient à 100% ?". Sans prendre en compte les multiples autres détails qu'il faudrait ajouter - par exemple pour que 'A' ne soit pas lu par l'organisme... sinon je vais m'embrouiller (encore plus)
Ce code doit contenir une signature numérique. Par exemple tu donnes à l'organisme "Pierre Dupond 04/11/1985 S5V#SP4dSsg47f2c3o" qui permet de t'identifier plus un "grain de sel" rendant la signature unique.
Si ce code 'A' contient la signature cryptée : c'est bon le code t'appartient. Evidemment le code 'A' seul ne permettrait absolument pas de retrouver le signature en clair.
Ca aussi ça existe non ?
Ce n'est pas (que) ça le problème, c'est que des preuves d'identité ou des métadonnées sensibles - copie de pièce d'identité, adresse, téléphone, photos, mail, etc. - se baladent partout. Une grosse partie de ces données n'est pas stockée de manière chiffrée actuellement et il suffit de regarder les fuites de données de ces derniers temps chez des grands acteurs (Uber, Adobe, Yahoo, etc.) pour se rendre compte de la vulnérabilité de ces emplacements.
Don non, on ne peut pas réduire ça à du SSO.
J'ai pas dit ça, j'ai dit que ce n'était pas une silver bullet et que l'identification nécessitait une autorité de confiance, ce qui va au-delà de la simple blockchain. La blockchain peut être un des ingrédients, pas le remède.tu le dis très bien c'est du bullshit, le blockchain n'est pas une solution pour de l'authentification.
@ijk-ref : Tu balances des infos pêle-mêle, ça ne va pas forcement aider à éclaircir les choses
Pour ceux qui ne sont pas familiers avec la cryptographie, il faut savoir que la cryptographie asymétrique est une technique qui consiste à donner un nombre aléatoire (ou presque) à une fonction mathématique pour générer deux ensembles de caractères hexadécimales, des clés. Ces deux clés sont liées mais de manière à ce qu'il soit difficile d'en retrouver une en fonction de l'autre. On en choisi une qu'on garde secrète (la clé privée) et on diffuse l'autre (la clé publique). Chacun des interlocuteurs génère leur propre jeu de clés.
Premier cas :
Lorsque A veux envoyer un message chiffré (un condensat) à B il va appliquer une fonction sur le message + la clé publique de B. B pourra le déchiffrer en appliquant la même fonction sur le condensat + sa propre clé privée.
Autre cas :
Lorsque A veut prouver son identité il applique la fonction sur le message + sa propre clé privée. N'importe qui, muni de la clé publique de A, pourra déchiffrer le message, s'il y parvient il saura que l'auteur est bien A (à moins que sa clé privée soit compromise).
On peut bien sûr mélanger les deux techniques.
L'authentification simple (par mot de passe) est la plus pratique mais n'est pas suffisante, l'authentification forte (par exemple : mot de passe + objet fournissant une clé privée) est bien plus satisfaisante, elle mêle possession et connaissance (c'est le système utilisée pour la carte bancaire) mais on peut aussi ajouter d'autres preuves (biométrique etc). La clé à usage unique devrait aussi plus être mise en avant je crois mais je ne connait pas bien la techno sous-jacente. Il me semble qu'il s'agit de générer à chaque usage un nouveau trousseau de clé (en fonction du précédent), pour un compte donné, sur un support local et sur le service puis de comparer.
Je rappelle aussi que les systèmes de révocation de compte sont les endroits privilégiés pour tenter d'usurper une identité.
Il est positif que du monde cherche à se passer des autorité de confiance, on verra ce qu'il en ressort.
Une solution pour un Internet plus sûr serai déjà de former tout un chacun à la sécurité pour lui permettre de gérer lui-même son informatique et gagner en indépendance de sorte à pouvoir héberger soit-même ses services (genre une autorité de confiance, un cloud) ou de manière distribuée (pour reprendre l'idée de la blockchain).
D'ailleurs partager les ressources de nos machines pour gérer tout les services qu'on utilise (open source et libres de préférence) serait une très bonne chose pour l'indépendance des individus et pour lutter contre le développement des fermes de serveurs (autant utiliser les machines dont on dispose plutôt que d'en construire d'autres et d'épuiser plus rapidement nos réserves de terres rares et autres ressources)
Voir même de louer à d'autres une partie de notre puissance pour des trucs intéressants (genre pas le bitcoin qui consomme trop d'énergie entres autres mais pourquoi pas pour des studios de films d'animation) on se rapproche du système esclavagiste uber/youtube (il faudrait améliorer la transparence et le partage des clients de notre puissance, genre redistribuer une partie des bénéfices) mais en tout cas c'est la direction que prends actuellement la société).
Répondre avec citation
Partager