Si tu as ta bd + tes binaires de tripwire sur des supports en lecture seule (comme c'est preconise) j'ai un peu de mal a le croire car le module il doit bien etre quelque part ; et par consequent tu vas le reperer. D'autant si tu compile un noyau sans le support des modules (j'avais lu quelque part quo'n pouvait quand meme forcé mais aucune confirmation a ce sujet).
Un systéme complet sans un espace accessible en écriture, sans support module, etc etc ... ce n'est pas très courant. La faille qui permettait de charger des modules sur un kernel dépourvue du support existé sur les kernel 2.4 de mémoire, elle a été corrigé depuis. De plus tripwire ne vérifie que les fichiers qu'on lui a demander de vérifier, il est très rare qu'il scan tous une partition.
Mais si tu as une intrusion ; il a donc acces a tous tes documents. Tu as protégé tes cles ; c'est bien tu ne sera pas oblige d'en regenerer de nouvelles ; mais a part ca...
Ne serais ce que cela a son importance par exemple dans le cas de certificat de signature numérique. Mais en plus il y a de forte chance pourqu'il ne te vole que tes documents codés.
Bien entendu si l'os est pas sur on peut partir sur n'importe quoi derriere (y compris tcpa); le message ne sera jamais sécurise.
Ce n'est pas parce qu'il y a intrusion que l'intrus est forcement root, donc oui si l'intrus est root, rien ne pourra l'empécher d'attendre le bon moment pour dumper la mémoire au moment opportun ou autre. Si il ne l'ait pas TCPA risque d'être un rempart assez solide.
Quel est l'utilité de continuer sur quelquechose dont on sais qu'il y a une possibilite , certes faibles, mais qui est la , qu'une methode de recherche d'exploits existes. La nsa est le premier employeur de matheux aux mondes; si il y a une possibilité il ont les cerveaux disponibles pour la trouver; et ne vous attendez pas a ce qu'il la publie.
Si la NSA est dans la liste des tes ennemies, je crois que tu as d'autre problème plus urgent. Soyons réaliste aucun geek isolé ne peut lutter face a des agences de renseignement militaire, au pire si ils veulent vraiment savoir ce que contient ton disque dur ils viendront te rendre visite.
La NSA comme de nombreuses agence internationnals dans le monde font de la veille technologique, si ils avaient trouvé une faille il ne la publierait peut être pas, mais il laisserait filtrer ou ferait des recommandations a leurs concitoyens de ne plus utiliser SHA-1. La sécurité informatique et le cryptage ne se cantonne plus aux simple interet gouvernementaux a l'heure ou l'activité des ces services touche de plus en plus a l'intelligence économique. La NSA avait fait des recommandation pour renforcer DES, la NSA est plus ou moins a l'origine de l'appel d'offre pour SHA-1 et AES, ... La situation est loin d'être alarmante, MD4 est totalement abandonné pourtant générer une préimage est toujours horriblement long sur une machine actuelle. On déconseille MD5 en faveur de SHA-1 alors qu'il n'est toujours pas possible de générer dans un temps raisonnable des préimage MD5.
pour les cartes a puce j'ai vu des programmateurs de carte a puce avec logiciel (pour uploader le code) pour windows a 35 euros . Ensuite j'avoue que j'ai jamais developpe pour mais si la programmation suis certaines normes des outils de developpements libres doivent exister non ?
En fait le support pour le libre de tous ce qui est lecteur de carte et lecteur d'empreinte est vraiment a la traine. C'est un secteur ou il y a d'innombrable standards que ce soit de lecteurs, de carte, d'interface, d'API et autre. Le but non avoué de toute la profession étant de ne pas vendre des lecteurs ou des cartes, mes des « solutions d'identification » et autre. Personnellement j'ai un lecteur d'empreinte que je n'ai jamais put utiliser a cause de cela, il ne communique que via un protocole spéciale non documenté.
Donc soit vous passez par un professionnel qui vous vend une solution, soit vous investicez dans un kit de dev.
Je parlais de pseudo aleas car vous disiez que palladium avait un generateur d'aleas. Par contre aucune indication sur le comment il genere son aleas.Si ce n'etait que du pseudo aleas alors la on peut faire presque aussi bien (toujours le problème de la graine) en soft ;). Et comme je le vois mal mesure le nombre de rayons cosmiques ou faire des mesures physiques semblables ;)
Un je ne parle pas de Palladium, bien malin celui qui pourra parler en détail de palladium/NGSCS/trucbidule, je dis simplement que la puce TPM intégre un générateur d'aléa cryto, donc un vrais générateur d'aléa pas un pseudo apres comment ils font, je n'en sais rien. Il y a une vrais guerre des brevets et des technologie dans ce domaine, la plus part des techniques utilise des probabilités physique, émission d'un photon et est ce qu'il passe ou pas un filtre polarisé ou un filtre spéciale, trajet d'un électron, etc etc ... donc la mesure des rayons cosmique n'est pas plus irréaliste que cela.
Parce que avoir un truc qui fait tous en meme temps c'est la meilleure facon de tout faire mal :-D
si les veritables generateurs d'aleas prennent bien plus de place qu'une simple puce; c'est qu'il y a sans doute une raison non?
Les dernière générations prennent la forme de simple puce, mais a ce que j'ai comprit ils font intervenir des méthode de fabrications exotiques, ce qui explique leurs couts ( petite série plus cout de fabrication ). Si demain ( ou hier ) Intel décide d'intégrer ces méthodes de fabrication a ses usines le prix chuterais énormément.
[^] # Re: et oui les TPM ...
Posté par Beretta_Vexee . En réponse à la dépêche Sortie de Linux 2.6.12. Évalué à 3.
Un systéme complet sans un espace accessible en écriture, sans support module, etc etc ... ce n'est pas très courant. La faille qui permettait de charger des modules sur un kernel dépourvue du support existé sur les kernel 2.4 de mémoire, elle a été corrigé depuis. De plus tripwire ne vérifie que les fichiers qu'on lui a demander de vérifier, il est très rare qu'il scan tous une partition.
Mais si tu as une intrusion ; il a donc acces a tous tes documents. Tu as protégé tes cles ; c'est bien tu ne sera pas oblige d'en regenerer de nouvelles ; mais a part ca...
Ne serais ce que cela a son importance par exemple dans le cas de certificat de signature numérique. Mais en plus il y a de forte chance pourqu'il ne te vole que tes documents codés.
Bien entendu si l'os est pas sur on peut partir sur n'importe quoi derriere (y compris tcpa); le message ne sera jamais sécurise.
Ce n'est pas parce qu'il y a intrusion que l'intrus est forcement root, donc oui si l'intrus est root, rien ne pourra l'empécher d'attendre le bon moment pour dumper la mémoire au moment opportun ou autre. Si il ne l'ait pas TCPA risque d'être un rempart assez solide.
Quel est l'utilité de continuer sur quelquechose dont on sais qu'il y a une possibilite , certes faibles, mais qui est la , qu'une methode de recherche d'exploits existes. La nsa est le premier employeur de matheux aux mondes; si il y a une possibilité il ont les cerveaux disponibles pour la trouver; et ne vous attendez pas a ce qu'il la publie.
Si la NSA est dans la liste des tes ennemies, je crois que tu as d'autre problème plus urgent. Soyons réaliste aucun geek isolé ne peut lutter face a des agences de renseignement militaire, au pire si ils veulent vraiment savoir ce que contient ton disque dur ils viendront te rendre visite.
La NSA comme de nombreuses agence internationnals dans le monde font de la veille technologique, si ils avaient trouvé une faille il ne la publierait peut être pas, mais il laisserait filtrer ou ferait des recommandations a leurs concitoyens de ne plus utiliser SHA-1. La sécurité informatique et le cryptage ne se cantonne plus aux simple interet gouvernementaux a l'heure ou l'activité des ces services touche de plus en plus a l'intelligence économique. La NSA avait fait des recommandation pour renforcer DES, la NSA est plus ou moins a l'origine de l'appel d'offre pour SHA-1 et AES, ... La situation est loin d'être alarmante, MD4 est totalement abandonné pourtant générer une préimage est toujours horriblement long sur une machine actuelle. On déconseille MD5 en faveur de SHA-1 alors qu'il n'est toujours pas possible de générer dans un temps raisonnable des préimage MD5.
pour les cartes a puce j'ai vu des programmateurs de carte a puce avec logiciel (pour uploader le code) pour windows a 35 euros . Ensuite j'avoue que j'ai jamais developpe pour mais si la programmation suis certaines normes des outils de developpements libres doivent exister non ?
En fait le support pour le libre de tous ce qui est lecteur de carte et lecteur d'empreinte est vraiment a la traine. C'est un secteur ou il y a d'innombrable standards que ce soit de lecteurs, de carte, d'interface, d'API et autre. Le but non avoué de toute la profession étant de ne pas vendre des lecteurs ou des cartes, mes des « solutions d'identification » et autre. Personnellement j'ai un lecteur d'empreinte que je n'ai jamais put utiliser a cause de cela, il ne communique que via un protocole spéciale non documenté.
Donc soit vous passez par un professionnel qui vous vend une solution, soit vous investicez dans un kit de dev.
Je parlais de pseudo aleas car vous disiez que palladium avait un generateur d'aleas. Par contre aucune indication sur le comment il genere son aleas.Si ce n'etait que du pseudo aleas alors la on peut faire presque aussi bien (toujours le problème de la graine) en soft ;). Et comme je le vois mal mesure le nombre de rayons cosmiques ou faire des mesures physiques semblables ;)
Un je ne parle pas de Palladium, bien malin celui qui pourra parler en détail de palladium/NGSCS/trucbidule, je dis simplement que la puce TPM intégre un générateur d'aléa cryto, donc un vrais générateur d'aléa pas un pseudo apres comment ils font, je n'en sais rien. Il y a une vrais guerre des brevets et des technologie dans ce domaine, la plus part des techniques utilise des probabilités physique, émission d'un photon et est ce qu'il passe ou pas un filtre polarisé ou un filtre spéciale, trajet d'un électron, etc etc ... donc la mesure des rayons cosmique n'est pas plus irréaliste que cela.
Parce que avoir un truc qui fait tous en meme temps c'est la meilleure facon de tout faire mal :-D
si les veritables generateurs d'aleas prennent bien plus de place qu'une simple puce; c'est qu'il y a sans doute une raison non?
Les dernière générations prennent la forme de simple puce, mais a ce que j'ai comprit ils font intervenir des méthode de fabrications exotiques, ce qui explique leurs couts ( petite série plus cout de fabrication ). Si demain ( ou hier ) Intel décide d'intégrer ces méthodes de fabrication a ses usines le prix chuterais énormément.