33 private links
« « Sécurité ne veut pas dire impossibilité pour les services de sécurité d'accéder aux communications » assure le responsable. Il suffirait de prévoir les bons mécanismes « de sécurité, de chiffrement, d'autorité indépendante de contrôle, enfin tout ce qu'on veut... » pour concilier les deux. »
Donc une faiblesse dans les protocoles de chiffrement. Donc une porte dérobée. CQFD.
Un court exposé de l'histoire de la cryptanalyse.
Un guide très didactique, très bien illustré et à la portée de n'importe qui. Un incontournable, assurément :)
Via : https://blog.seboss666.info/2017/04/quelques-liens-en-vrac-et-en-francais-18-edition/
Un logiciel de "cryptage" (sic), payant, à sources fermées, "réellement inviolable" (de leurs mots), inutile de dire que ça attire ma méfiance la plus totale ! Je ne devrais même pas en parler d'ailleurs (ça leur fait de la pub), mais il faut que ça sorte >_<
Le pire, c'est que sur la page d'accueil, ils précisent bien que la sécurité est vérifiable. Vraiment ? Je rappelle que les sources sont fermées, inaccessibles, alors bon, je ne sais pas ce qui est vraiment vérifiable au final.
Honnêtement, j'ai beaucoup de peine à prendre au sérieux un logiciel qui se prétend "réellement inviolable", sachant qu'aucun expert en sécurité digne de ce nom n'oserait affirmer une chose pareille - la sécurité à 100% n'existant pas.
Ah pardon, ils disent utiliser le principe du masque jetable (one-time pad), seule méthode de chiffrement reconnue comme étant réellement invulnérable, mais À CONDITION que l'implémentation soit parfaite, d'un bout à l'autre (masque véritablement aléatoire, utilisé qu'une seule fois, etc.) ! Chose impossible à vérifier en l'état. Et comme ledit masque est généré à partir d'une clé, de taille forcément plus réduite que les données à chiffrer, autant dire que s'il y a une faille dans l'algo, toute la sécurité est compromise - masque jetable ou pas.
La cerise sur le gâteau, c'est quand même les citations sur le site, totalement sorties de leur contexte de manière à faire croire qu'elles se réfèrent directement au logiciel, ce qui n'est pas le cas.
Comment je le sais ? En-dehors du fait qu'elles parlent du principe de chiffrement en lui-même (one-time pad, masque jetable) plutôt que du logiciel (manœuvre subtile), j'en ai la preuve ici : https://groups.google.com/forum/#!msg/fr.misc.cryptologie/fo4RXoxn3bU/OrBQBJcxZLYJ
Il s'agit de François Weissbaum, l'auteur de la première citation, qui refuse que son mon nom soit associé à ce produit et qui voulait que la citation soit retirée. Il n'a pas obtenu gain de cause en contactant les auteurs, sous prétexte qu'ils respectent les dispositions légales (ce qui n'est pas le cas : en Suisse, l'auteur et la source - qui manque - doivent être présents et l'emploi de la citation doit être justifié - à mon avis, ici c'est quelque peu abusif). Ça sent la tentative de tromper le consommateur, mais on me dira que je suis mauvaise langue... Chacun pense ce qu'il veut.
Dans le fil NG que j'ai posté plus haut, l'auteur de Swisscrypt prend part à la discussion et... il s'en suit un démontage en règle du logiciel par les autres participants. C'est vieux (2006), mais ça vaut la peine de lire si vous avez le temps.
Bref, en ce qui me concerne : mauvaise note dans WOT et boycotte permanent de ce "produit" (je ne sais pas s'il est encore vendu, mais le site existe toujours).
Ou comment générer son propre certificat CA, l'installer sur la machine locale puis signer son code sans débourser un centime 8)
TL;DR : Un billet très intéressant d'Eric Lippert (développeur principal de l'équipe en charge du compilateur C#) concernant la cryptographie et le secret des clés. Car ce qui importe dans un algo de chiffrement pour qu'il soit sécurisé, c'est de gérer correctement les clés et les garder secrètes. Tout le reste doit être connu et ouvert, comme on le dit sans cesse !
Combien ça coûterait d'attaquer par force brute une clé AES 256 bits en une année ? Pas moins de 10^44 fois le PIB mondial (soit 8*10^57$) !
Édifiant : des agents de la NSA ont installé secrètement des backdoors dans les systèmes de chiffrement vendus par Crypto AG, une société suisse renommée.
Le fait est que les américains n'aiment que moyennement les systèmes de cryptographie fabriqués et utilisés en Europe, alors ils ont fait leur possible depuis les années 40 pour les trafiquer.