• [^] # Re: et oui les TPM ...

    Posté par . En réponse à la dépêche Sortie de Linux 2.6.12. Évalué à 4.

    C'est pas en balancant des mots que vous pensez prouver a quiconque que "vous savez de quoi vous parlez" .

    Je ne balance pas des mots, je me suis simplement intéressé au sujet, et j'ai lue les doc fournit a chacun des attaques sur MD5 et SHA-1.

    Il y a eu une proof of concept sur sha-1 ca me suffit !

    Proof of concept de quoi ? du fait que l'on pouvait calculer en un temps réduit une collision sur deux bloque plus ou moins tiré au hasard. Cela ne remet pas en cause l'utilisation de SHA-1 pour le moment, les prévisions les plus paranoïaques préconise le passage a SHA-256 a partir de 2010.

    J'essaie pas de prouver que j'ai la plus grosse moi...

    J'ai jamais pretendut avoir une grosse voiture tous les linuxfriens qui me connaisse savent que j' ai une toute petite twingo ;-)

    On est bien d'accord . Donc tcpa n'apporte rien de plus que les système actuels merci. Parce que c'est bien ce que vous disiez que tcpa etait plus mieux car transitait pas en memoire toussa. Et comme avec une politique de secu suffisante (tripwire et consors) on pouvais tres bien arriver a la meme sécurite que tcpa : un os sur.

    Tripewire se fait roulé dans la farine par le première rootkit sous forme de module kernel venue, et ce depuis des annés ( 2-3 tous au moins ). TCPA ne prétend pas rendre l'OS sur, il prétend simplement protéger les jeux de clés du vole suite a une intrusion, et ça pour le moment je ne connais aucun systéme qui puisse le faire en software.

    Non j'en tire comme conclusions; comme les militaires utilisent PAS des portables avec tcpa pour la communication avec leurs sous marin (pour la bonne et simple raison que quand ils etaient lancé ca n'existait pas), il doit exister quelquechose d'au moins aussi sur. (pour la petite histoire il utilisent de tete du one time pad pour la communication avec les snle).
    VOUS etes le seul a les traiter de "cretins" je n'ai jamais tenu de pareils propos; et ce n'etait absolument pas le sens de ma phrase. Etes vous sur de l'avoir bien lu?


    masque jetable + offuscation + divers joyeusetés au niveau des fréquences et une vitesse de transmission ridiculement faible. Mais ils ont l'énorme avantage d'être dans un sous-marin cad qu'il y a très peut de chance pour qu'on vienne leur voler leurs masques jetables ( on retrouve notre coffre fort). Dans un environnement comme un PC utiliser la technique du masque jetable ( one time pad), c'est bien beau mais cela ne fait que déplacer le problème, au lieu de protéger une clé on doit protéger un masque qui est plus encombrant et peut pratique si l'on ne connait pas a l'avance le volume de donner a crypter.

    La technique du masque jetable est en effet infaillible, mais a une condition essentielle, il faut un canal sûr pour échanger les masques avant l'utilisation ( dans le cas de notre sous-marin, ce sont les valises plombés ) dans le cas d'un PC, votre clée USB, votre disque ou autre ne peuvent pas faire office de canal sûr. Le systéme du masque jetable n'est pas résistant aux intrusion, alors que c'est le principal intéret de TCPA.

    Donc vous etes en train de me dire que quelqu'un qui vous pique votre portable; il peut pas s'amuser a dessouder la puce tcpa pour essayer de recuperer le mdp etc ?

    Si il a accés a une salle blanche, et aux infrastructure nécessaire pour lire l'intérieur d'une mémoire composant sans l'altérer, c'est que vous avez la NSA ou une multinationnal sur le dos.

    Parce que si il est possible de changer le mot de passe , il peut etre peut etre possible de le changer sans avoir a rentrer le précedent.

    A ce moment autant ne pas mettre de mot de passe, je pense que les concepteurs n'était pas totalement incompétent.

    Est ce que des montages en bootant sur quelquechose qu'il estime comme etant sur (le pc qu'il reconnais bien ) et qu'ensuite il se met sur "son" pc pour utiliser son système je vois pas vraiment ou est le problème ( a part le montage technique mais de bons mux rapides devrais pouvoir aider).

    Le problème c'est que si vous bouger n'importe quel composant de la chaine de confiance vous perdez le transitionnel trust donc la confiance, donc interchanger le Bios, la puce ou l'OS ne fonctionnera pas. Maintenant cela relève toujours de l'attaque physique, en cas d'attaque physique aucun système n'est sur. Donc discréditer le système sur la base d'une attaque physique complexe ne prouve pas grand chose au final.

    Tellement trollesque qu'il suffit de regarder les offres d'emploi pour voir que c'est vrai. Je ne lancait pas le troll word mais bel et bien le problème de "une fois que la majorite l'utilise on fais comment pour acceder a cette majorite" .

    On y accéde pas, si on suis votre raisonnement on se demande d'ailler se que vous faite avec un OS libre ce qui vous coupe de la très large majorités des formats, application et utilisateurs windows.
    De plus comme vous le faitez judicieusement remarqué cette scission n'a absolument pas besoin de puce pour exister, les incompatibilités s'en charge déjà, et les DRM vont renforcer cet état de fait.
    Donc dire que TCPA sera la cause de cette scission n'est pas pertinent et reléve du troll.

    Le one time pad est prouve inconditionnellement sur?

    La technique du masque jetable n'est sûr que si toutes les conditions d'application sont réunis ( canal sécurisé, un masque aussi long que le message, etc etc ...), ce qui n'est pas le cas sur un PC classique. Et qui de plus est relativement inadaptés ( Comment je vais transmettre mon masque a tous mes correspondant, comment j'évalue la taille de mes messages, etc etc ..)

    Sha1 a une proof of concept?

    Ce proof of concept n'entame pas pour le moment l'utilisation de SHA-1 dans le contexte actuel ( par exemple pass + canarie, signature, le seul domaine touché pour le moment ce sont les documents programmable http://www.cits.rub.de/MD5Collisions/(...) )

    Le lecteur de carte a puce a 30 euros chez selectronic?

    Le lecteurs seul sans rien pour l'utiliser surment, maintenant si tu compte faire quoi que ce soit avec au mieux tu t'en tire pour 100¤. http://www.smartcardsupply.com/Content/Hardware/AC-KIT.htm(...)

    Ou est ce que j'ai dis des generateurs d'aleas qui valent une fortune?

    Bas TCPA en intégre un a moindre prit pourquoi se priver.

    J'ai dis des generateurs pseudo-aléatoires.
    Vu votre niveau ou vous savez meme pas differenciez aléatoires et pseudo aléatoires , vous etes vraiment mal place pour me dire quoi que ce soit.


    Hors le masque jetable dont vous semblez fan n'est pas une technique sur avec un masque pseudo-aléatoire, mais bon passons.

    Bref etes vous tellement a court d'arguments que vous partez en attaques ad hominem ?

    Quoi déjà ? Non, en général je deviens franchement de mauvaise fois quand je tombe a court d'argument.