• [^] # Re: et oui les TPM ...

    Posté par . En réponse à la dépêche Sortie de Linux 2.6.12. Évalué à 4.

    Si deux puces ont besoin d'un certificat tiers pour établir un canal sécurisé pour transférer des clés, est-ce que ça veut dire qu'elles contiennent des clés privées qui appartiennent à une autre personne que le propriétaire de ladite puce ? Dans ce cas je trouve ça assez dérangeant. De toute façon, je trouve inacceptable qu'on ne puisse pas récupérer ses propres clés privées en clair.

    De plus, beaucoup de gens qui sont favorables à cette technologie semblent indiquer que le niveau de sécurité sera globalement plus élevé. Cela implique que la populace aura une plus grande confiance dans le système et que donc les dégâts seront plus grands en cas de faille ou de mauvaise utilisation. Il faut aussi prendre cela en compte dans l'acceptation de cette technologie. Parfois, trouver que c'est trop sûr peut être un argument valide...

    En ce qui concerne les cartes à puce, beaucoup de gens se font des illusions sur la sécurité que ça apporte. En fait, le niveau de sécurité supplémentaire apportée par l'utilisation d'une carte à puce cryptographique n'est pas très élevé par rapport à une disquette contenant la clé privée, car dans les deux cas le système doit être utilisé sur une machine dont vous avez le contrôle. Sinon, un attaquant peut très bien
    a) dans le cas de la disquette récupérer la clé et le mot de passe pour la décrypter
    b) pour la carte à puce le code PIN/mot de passe et faire signer n'importe quoi à la carte tant qu'elle est dans le lecteur.

    Dans tous les cas, puisque vous devez avoir le contrôle de la machine, vous pouvez aussi stocker la clé dessus. Les attaques se limitent alors au vol de
    a) la disquette et l'attaquant doit casser le cryptage
    b) l'ordinateur, même attaque mais plus difficile d'emporter une machine ou son disque dur
    c) la carte à puce et là une analyse électronique s'impose.

    Dans tous les cas il est plus efficace de torturer le possesseur ;)