ka.da

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - sécurité

Fil des billets - Fil des commentaires

dimanche, janvier 8 2006

chiffrer avec un jeu de cartes

Il y a quelque temps de cela[1] j'ai lu la trilogie Cryptonomicon de Neal Stephenson. L'histoire en elle-même est un mélange d'histoire (la seconde guerre mondiale), de chasse au trésor, de finance, et surtout de cryptologie, mais j'ai quand même été déçu m'attendant à quelque chose de "cyberpunk"[2] et n'ayant trouvé finalement qu'un livre de fiction (science-fiction ?) pour geeks.

Néanmoins, vers la fin de la trilogie, il nous est présenté un moyen original de chiffrer des messages avec seulement un jeu de cartes. L'algorithme utilisé est appelé Solitaire (ou Pontifex dans le livre) et a été écrit spécialement pour le Cryptonomicon par Bruce Schneier, un expert international en sécurité informatique.
Cet algorithme permet donc avec simplement un jeu de cartes, et quelques heures devant soi, de créer des messages sécurisés pour être envoyés en toute sécurité : la seule faiblesse vient du fait que c'est du cryptage symétrique et donc que l'expéditeur et le destinataire doivent connaître la même clé pour pouvoir communiquer : le secret de cette clé est donc essentiel !

Pour plus d'informations, allez voir la page wikipedia sur Bruce Schneier, la page dédiée au Solitaire sur son site (et une traduction en français). Ainsi que cette page de Paul Crowley qui semble indiquer des problèmes de sécurité sur cet algorithme (je ne sais pas si ça a été vérifié...).

Neal Stephenson est l'auteur de plusieurs autres livres, dont un essai intitulé In the Beginning was the Command Line traitant des débuts de l'informatique personnelle (Apple, Microsoft, Linux). J'ai bien aimé cet essai, et je regrette qu'il n'existe pas en français (mais je l'achèterais peut être en anglais quand même...). Si vous êtes potentiellement intéressé et n'avez pas peur de lire un essai sur l'informatique, en anglais, et non formaté (c-a-d en texte brut), vous pouvez le télécharger ici. C'est drôle, très geek, très cyber-culture et très alternatif et... un peu anti-Microsoft (lisez-le, vous comprendrez !), ce qui va avec !-)

Notes

[1] malheureusement, en ce moment je lis plus vite que je ne bloggue....;-(

[2] cf ce billet

dimanche, décembre 11 2005

OpenBSD 3.8

En mars dernier, je me suis, pour la première fois, intéressé de près à OpenBSD, système d'exploitation qui vient de fêter ses 10 ans, et dont le parti pris de la sécurité ne pouvait que m'intéresser. Donc, après énormément de lecture de docs, et une installation repoussée plusieurs fois, je me suis lancé et j'ai installé OpenBSD 3.6. Je l'ai d'abord simplement utilisé en tant que routeur pour ensuite petit à petit y ajouter des services comme NTP ou DNS.
J'ai surtout tout de suite apprécié la syntaxe de PF : Packet Filter, le pare-feu de OpenBSD, qui me changeait de celle du pare-feu de Linux que j'ai toujours trouvé énormément complexe.

Il y a 4 semaines, peu après la sortie de la version 3.8 de OpenBSD, j'ai donc réinstallé mon routeur, et ai commencé à écrire une procédure sur cette installation. J'ai mis un peu de temps pour la mettre au propre, mais voilà c'est fait maintenant. N'hésitez pas à laisser des commentaires.

Depuis, OpenBSD est presque devenu mon quotidien[1] : j'ai acheté une carte PCI Wifi Linksys en fonction du support par OpenBSD, je l'utilise pour router plusieurs réseaux (lan, dmz, et wlan) en interne chez moi, il me sert de serveur ntp, dns et dhcp, et suis de près son évolution. J'espère ainsi ajouter petit à petit de nouveaux articles concernant l'utilisation et la configuration de OpenBSD.

Notes

[1] j'exagère à peine ;-)

jeudi, octobre 6 2005

Jabber et le chiffrement des données

J'utilise, depuis un bon moment déjà, Jabber [1] comme protocole de messagerie instantanée, et je me suis récemment intéressé au chiffrement des données quand je communique avec Jabber. J'utilise personnellement Psi un client sous Linux, qui permet de chiffrer tout simplement en utilisant Gnupg [2] : vous créez une clé gnupg et ensuite vous la liez à votre compte. Il suffit ensuite de faire de même avec les clés publiques de vos correspondants dans la liste de vos contacts.
Malheureusement, Psi est un client uniquement Jabber (même si on peut, en utilisant des passerelles serveurs, communiquer avec les autres protocoles IM) et certains de mes amis ne l'utilisent pas pour cette raison (ils n'ont pas encore fait le tri dans leurs amis afin de ne plus communiquer avec ceux disposant d'un compte MSN, AOL ou Yahoo! ;-) et on a donc essayé de communiquer de manière sécurisée avec leur propre logiciel IM.

L'un d'entre eux utilise Gaim, qui est un bon logiciel pour Jabber, Yahoo!, AOL, MSN... (c'est celui que j'utilisais précédemment) et je lui ai donc fait installé le plugin gaim-encryption pensant que cela suffirait : hop un petit coup de

apt-get install gaim-encryption

et c'était réglé. Et là, quel ne fut pas ma/notre surprise de constater que aucun problème pour communiquer entre Gaim-s, mais aucun moyen de communiquer avec un autre logiciel Jabber (Psi en l'occurence) ! donc... aucun intérêt [3]. En regardant la FAQ, je découvre que ce plugin utilise NSS pour le chiffrement et ne peut/veut pas être compatible avec PGP/GnuPG... tant pis donc ! ce n'est pas la bonne solution...

Je commence donc à chercher une autre solution, et voici mes pistes :

  • gaim-e semble être un plugin pour chiffrer les communications Gaim avec GnuPG, mais il est écrit "It currently works with AOL, MSN, and Yahoo." est-ce que ça veut dire que avec Jabber non ? à voir ;
  • Gabber est un autre client Jabber pour Gnome, il semble supporter le chiffrement (selon cette page) mais je ne sais pas quel type de chiffrement, et je ne sais pas si il est multi-protocoles ;
  • OTR existe comme plugin pour Gaim, dans le but de chiffrer les communications, mais encore une fois il utilise un autre protocole que gnupg, et même si il existe des plugins pour d'autres clients que Gaim (Trillian, Adium X), il n'en existe pas pour Psi. Par contre, il semble exister la possibilité de créer un proxy OTR qui chiffrera les communications passant par lui, même si le client ne supporte pas OTR nativement... ça peut donc être jouable ;
  • il semble qu'on puisse utiliser le chiffrement propre à Jabber, qui est un chiffrement basé sur SSL, pourquoi pas... malheureusement, cette offre paraît être basée sur les serveurs qui doivent donc offrir cette possibilité, et être moins sûre que le chiffrement de bout en bout (gnupg permettant, de plus, grâce à l'échange obligatoire de clés publiques, d'être sûr de l'identité de son interlocuteur) (cf http://arch.jabber.com/archives/2004/04/000096.html)

La suite dans pas trop longtemps j'espère.

Si vous aussi, vous voulez tchatter avec moi, grâce à Jabber, il vous faut :

  • un client Jabber : en voici une liste, je vous conseille personnellement les sus-nommés Psi et Gaim (existant sous Linux et Windows, et libres) ou Exodus (Windows) ;
  • mon JabberID, pour cela, si vous me connaissez, vérifiez la signature de mes e-mails récents (j'en ai changé durant le mois de septembre) ; sinon, essayez de m'envoyer un mail ;

Pour info, Google vient de lancer son propre logiciel IM : Google Talk et il est basé sur Jabber justement. Je ne vous conseille pas de l'utiliser (surtout que je crois avoir lu qu'il n'était pas compatible avec les autres clients Jabber) mais l'information mérite d'être signalée.

Notes

[1] cf sur Wikipedia

[2] explication sur Wikipedia

[3] si c'est pour utiliser des LL et se retrouver dans les mêmes problèmes que les logiciels propriétaires

mercredi, août 17 2005

DIY securité

Dans la société dans laquelle nous vivons, nous avons tous l'impression d'être en danger, de prendre des risques, tout simplement en mangeant, sortant dans la rue, allant au ciné,... L'État augmente donc le nombre de policiers, militaires dans la rue afin de nous rassurer.
Mais en fait, moi ça ne me rassure pas ! (à la limite, au contraire... voir des militaires en armes partout, ça me stresse...) et comme je pense que tout cela n'est pas réellement destiné à nous protéger mais plutôt à nous rassurer et à nous donner l'impression d'être en sécurité, on pourrait tous faire notre propre sécurité et ainsi faire économiser de l'argent (qui est notre argent, ne l'oublions pas !) à cet État qui déjà n'en a plus assez (c'est ce qu'il dit en tout cas) pour les choses réellement importantes (l'éducation, la santé, par exemple), voici le mode d'emploi (en anglais) :


Cliquez ici pour voir l'image d'origine.

En voici une traduction approximative (merci de me corriger si vous voyez une erreur) :

Soyez votre propre sécurité
Le monde est un endroit de plus en plus dangereux. La recherche a démontré que les gens ont besoin d'être fouillés/inspectés pour se sentir en sécurité, même si cette fouille/inspection est une farce. Mais la société ne peut pas embaucher la moitié de la population pour effectuer des fouilles/inspections foireuses sur l'autre moitié afin de contenter la demande du marché d'une sécurité perçue.

What The Hack est fier de vous présenter un nouveau concept sur le marché de l'inspection de sécurité :
Inspection de sécurité Fais-Le-Toi-Même (1)
Contrairement aux inspections de sécurité traditionnelles à l'ancienne, les inspections DIY sont optionnelles. Cela assure que aucun effort d'inspection n'est gaspillé sur ceux qui se sentent déjà en sécurité. Si vous avez besoin d'être inspecté/fouillé pour vous sentir en sécurité, veuillez procéder aux maintenant familières procédures de sécurité sur vous-même. Si vous ne vous sentez plus en sécurité à n'importe quel moment de l'évènement, soyez libres de vous inspecter vous-mêmes et/ou vos appartenances ici aussi souvent que vous le sentez nécessaire.
Quant a été la dernière fois que vous avez été fouillé par quelqu'un d'aussi intelligent que vous ? Avec notre technologie inhérente et adaptative d'inspection brévetée, les terroristes n'ont aucune chance.

Prenez le temps de répondre à ces quelques questions :
1. Quelqu'un vous a-t'il aidé à faire votre bagage ?
2. Avez-vous été avec votre bagage tout le temps ?
3. Quelqu'un vous a-t'il donné des objets à apporter à cet évènement ?
4. Ou avez-vous acheté votre ticket/billet ?
5. Comment avez-vous payé pour cet évènement ?
6. Quel est l'objet de votre visite ?
7. Ou allez-vous résider/demeurer ?

Pour info, cette photo est tirée d'une manifestation de hackers aux USA... ceci explique surement cela...

(1) oui le Do-It-Yourself traduit, ça donne quelque chose comme Fais-Le-Toi-Même

via le blog de Bruce Schneier

n'ayant pas trouvé de mentions de licence sur la photo en question et celle-ci étant disponible sur le site eurobsd.org, je me suis permis de la retailler et de la poster ici

page 2 de 2 -