#cryptographie

RFC 6944 : Applicability Statement : DNS Security (DNSSEC) DNSKEY Algorithm Implementation Status

Mais quel algorithme de #cryptographie choisir pour mes signatures #DNSSEC, se demande l’ingénieur système ? Il y a bien un registre IANA des algorithmes normalisés mais c’est juste une liste non qualifiée, qui mêle des algorithmes de caractéristiques très différentes. Ce nouveau #RFC vise à répondre à cette question en disant quels sont les algorithmes recommandés.

http://www.bortzmeyer.org/6944.html

Numbers station
http://en.wikipedia.org/wiki/Numbers_station

A numbers station (or number station) is a type of shortwave radio station characterized by their unusual broadcasts, which consist of spoken words, but mostly numbers, often created by artificially generated voices reading streams of numbers, words, letters, tunes or Morse code. They are transmitted in a wide variety of languages and the voices are usually female, although sometimes men’s or children’s voices are used.

je vais pas parler du #film qui est une sorte d’Ennemi d’Etat à huis clos ; mais la page wikipédia est drôlement intéressante
http://www.filmofilia.com/wp-content/uploads/2013/02/The-Numbers-Station-Poster.jpg

#espionnage #cuba #cryptographie #radio

#Propagande de la #NSA auprès des enfants : http://www.nsa.gov/kids - la NSA c’est rien que des mignonnes créatures poilues qui font de la #cryptographie aussi innocente que leur sourire !

http://www.nsa.gov/kids/_images/splashscreen.jpg

La sécurité informatique doit être repensée et se préparer à un monde où la cryptographie ne sera plus déterminante. C’est l’avertissement lancé par Adi Shamir, l’un des créateurs de l’algorithme de chiffrement asymétrique RSA. Selon lui, le cyber-espionnage réduit l’intérêt de la cryptographie.

http://www.numerama.com/magazine/25252-l-interet-de-la-cryptographie-diminue-selon-l-un-des-auteurs-de-l-al

#sécurité_informatique #rsa #cryptographie #cyber-espionnage

Une amusante attaque contre le protocole de #cryptographie #TLS, l’attaque Lucky Thirteen (en cryptographie, la moitié du travail est de trouver un nom rigolo). L’attaque n’aura sans doute pas de conséquence pratique mais elle permet de regarder un aspect peu connu des protocoles cryptographiques : l’erreur est plus lente que le succès.

Ce texte est la version grand public :

http://nakedsecurity.sophos.com/2013/02/07/boffins-crack-https-encryptionin-lucky-thirteen-attack

Et l’article original est :

http://www.isg.rhul.ac.uk/tls/TLStiming.pdf

#sécurité #cryptanalyse

Custom Chips Could Be the Shovels in a #Bitcoin Gold Rush as Enthusiasts Design ASICs to Mine the Cryptocurrency Faster | MIT Technology Review
http://www.technologyreview.com/news/508061/custom-chips-could-be-the-shovels-in-a-bitcoin-gold-rush

some in [the Bitcoin] community are taking the expensive step of creating custom silicon chips dedicated to running the software that carries out that process.

“It’s a business opportunity, and also because we believe in Bitcoin and what it can do,” says Josh Zerlan, COO of Butterfly Labs, a Kansas City company that is waiting for its first batch of custom chips to come back from an Asian manufacturer. These chips will be resold to Bitcoin enthusiasts in a line of products that plug into a computer via USB and supercharge its efforts to mine the currency. They range in price from $149 to $29,899, and in early 2013 they will start shipping to over a thousand customers who placed advance orders.
(...)

Having an ASIC fabricated is a highly technical and expensive proposition, typically beginning at the low hundreds of thousands of dollars.

#cryptographie #monnaie

RFC 6781 : DNSSEC Operational Practices, Version 2

Comme avec toute technique fondée sur la #cryptographie, le protocole #DNSSEC impose, non seulement des bons algorithmes et une mise en œuvre correcte, mais surtout des procédures rigoureuses et soigneusement exécutées. C’est le but de ce #RFC qui explique tout ce à quoi doivent s’attendre les registres et autres administrateurs de zones DNS, grandes ou petites, qui déploieraient DNSSEC.

http://www.bortzmeyer.org/6781.html

How a #Google Headhunter’s E-Mail Unraveled a Massive Net Security Hole | Threat Level | Wired.com
http://www.wired.com/threatlevel/2012/10/dkim-vulnerability-widespread

For security reasons, the #DKIM standard calls for using keys that are at least 1,024 bits in length. But Google was using a 512-bit key – which could be easily cracked with a little cloud-computing help.

#cryptographie #sécurité #email #vol_d_identité

The known unknowns of #Skype interception
http://paranoia.dubfire.net/2012/07/the-known-unknows-of-skype-interception.html

If governments can intercept and record the encrypted communications of users (via assistance provided by Internet Service Providers), and have the encryption keys used by both ends of the conversation — or can impersonate Skype users and perform man in the middle attacks on their conversations, then they can decrypt the voice communications without any further assistance from Skype.

Do we know if this is happening? No. But that is largely because Skype really won’t comment on the specifics of its interactions with governments, or the assistance it can provide. However, privacy researchers (pdf) have for many years speculated about governments compelling companies to hand over their own encryption keys or provide false certificates (pdf) for use in MiTM attacks. In such cases, when the requests come, there isn’t really anything that companies can do to resist.

#cryptographie #surveillance

RFC 6637 : Elliptic Curve Cryptography (ECC) in OpenPGP

Le format #OpenPGP, normalisé dans le RFC 4880, permet de choisir parmi plusieurs algorithmes de #cryptographie, afin de pouvoir suivre les progrès de la cryptanalyse. Notre tout nouveau #RFC ajoute à la liste de ces algorithmes des algorithmes à #courbes_elliptiques, venant s’ajouter aux traditionnels RSA et DSA.

http://www.bortzmeyer.org/6637.html

« The Linux Pseudorandom Number Generator Revisited » par Patrick Lacharme, Andrea Röck, Vincent Strubel et Marion Videau

« The Linux pseudorandom number generator (PRNG) is a PRNG with entropy inputs which is widely used in many security related applications and protocols. This PRNG is written as an open source code which is subject to regular changes. It was last analyzed in the work of Gutterman et al. in 2006 [GPR06] but since then no new analysis has been made available, while in the meantime several changes have been applied to the code, among others, to counter the attacks presented [GPR06]. Our work describes the Linux PRNG of kernel versions 2.6.30.7 and upwards. We detail the PRNG architecture in the Linux system and provide its first accurate mathematical description and a precise analysis of the building blocks, including entropy estimation and extraction. Subsequently, we give a security analysis including the feasibility of cryptographic attacks and an empirical test of the entropy estimator. Finally, we underline some important changes to the previous versions and their consequences. »

http://eprint.iacr.org/2012/251

Très bon article, très détaillé. Attention, c’est très technique, aspirine required.

#cryptographie #Linux #générateur_aléatoire #ANSSI #securité #PRNG

La normalisation est une chose merveilleuse. Il existe même une norme pour le transport de trafic Internet espionné (pardon, « légalement intercepté »). Publiée sur le site du Ministère de la Justice néerlandais : http://www.rijksoverheid.nl/documenten-en-publicaties/regelingen/2012/02/08/tiit-v1-2-0-transport-of-intercepted-ip-traffic.html (de la Justice, oui : Oceania avait bien un Ministère de la Vérité)

« This document describes in detail the Internet Lawful Interception (LI) interface required for LI based upon the requirements described in the Functional Specifications [2]. It provides the specification of the interface from an Interception Function within an IP network to a Law Enforcement Monitoring Facility (LEMF) for the purpose of providing data to Law Enforcement Agencies (LEAs) in the area of LI of communications. »

Plein de choses intéressantes du point de vue technique dedans, comme le détail de l’interception d’une communication SIP (voix sur IP).

Les #Amesys du monde entier peuvent donc travailler sur la base d’un standard commun, au lieu d’avoir des mécanismes privés (« Allow implementation using only open standards », dit le document)

Notez que la norme impose l’usage d’un protocole sécurisé par la cryptographie (comme TLS) : les espions ne veulent pas être espionnés.

#sécurité_Internet #cryptographie #espionnage

Death of a data haven: #cypherpunks, #WikiLeaks, and the world’s smallest nation | Ars Technica
http://arstechnica.com/tech-policy/news/2012/03/sealand-and-havenco.ars/1

From 2000 to 2008, a company called HavenCo did indeed offer no-questions-asked colocation on #Sealand —and it didn’t end well.
HavenCo’s failure—and make no mistake about it, HavenCo did fail—shows how hard it is to get out from under government’s thumb.

#pirate #cryptographie #cdp

Alan Turing at 100
http://www.nature.com/news/specials/turing/index.html

Alan Turing, born a century ago this year, is best known for his wartime code-breaking and for inventing the ’Turing machine’ – the concept at the heart of every computer today. But his legacy extends much further: he founded the field of artificial intelligence, proposed a theory of biological pattern formation and speculated about the limits of computation in physics. In this collection of features and opinion pieces, Nature celebrates the mind that, in a handful of papers over a tragically short lifetime, shaped many of the hottest fields in science today.

http://www.nature.com/polopoly_fs/7.2929.1329914014!/image/turing_featurehead.jpg_gen/derivatives/landscape_630/turing_featurehead.jpg
#histoire #mathématiques #informatique #cryptographie

Amazing new declassified document from John Nash
http://aaronsadventures.blogspot.com/2012/02/amazing-new-declassified-document.html

this is a recently declassified correspondence between John Nash and the NSA from January 1955. In it, John Nash makes the distinction between polynomial time and exponential time, conjectures that there are problems that -cannot- be solved faster than in exponential time, and uses this conjecture as the basis on which  the security of a cryptosystem (of his own design) relies. He also anticipates that proving complexity lower bounds is a difficult mathematical problem
(...)
These letters predate even Godel’s letter to Von Neumann
(...)
“An interesting pamphlet on Non-Cooperative Games, written by Mr. Nash was also sent to this Agency by the author for our information."

http://courses.csail.mit.edu/6.857/2012/files/H03-Cryptosystem-proposed-by-Nash.pdf

#mathématiques #histoire #cryptographie #théorie_des_jeux

La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA

On le sait, le protocole #BGP (normalisé dans le RFC 4271), sur lequel repose tout l’Internet, car c’est lui qui permet à l’information de routage de circuler entre les opérateurs, ce protocole, donc, est peu sûr. N’importe qui peut annoncer n’importe quelle route, dire « Je suis Google, envoyez-moi toutes les requêtes Google » et les autres le croient. Résoudre cette vulnérabilité n’est pas trivial, pour des raisons essentiellement non techniques. Néanmoins, le manque d’un mécanisme standard pour valider les routes était une des faiblesses du routage Internet. Une série de #RFC vient de partiellement combler ce déficit.

http://www.bortzmeyer.org/securite-routage-bgp-rpki-roa.html

#RPKI #ROA #sécurité #cryptographie

RFC 6518 : Keying and Authentication for Routing Protocols (KARP) Design Guidelines

Dans l’ensemble du travail engagé pour améliorer la #sécurité du #routage sur l’Internet, un sous-problème important est celui de la gestion des clés. En #cryptographie, c’est souvent par une faiblesse dans cette gestion que les systèmes de sécurité sont compromis. Le groupe de travail #KARP de l’#IETF est occupé à améliorer les protocoles de gestion de clés et son premier #RFC, ce RFC 6518, expose les propriétés attendues des futurs protocoles de gestion des clés des #routeurs.

http://www.bortzmeyer.org/6518.html

Vu dans le flux un outil qui sert aux échanges instantanés ici : #OTR - permet le chiffrement, outils qui existent déjà depuis plusieurs années. voir http://www.cypherpunks.ca/otr - cryptographie vs. DPI c’est une des grandes oppositions qui montent alors que l’existence d’une surveillance approfondie des communications est de plus en plus documentée dans tous les pays ; le chiffrement et la #cryptographie faisant l’objet de nombreuses présentations sur le 28c3, dans ses aspects techniques comme politiques et sociaux.

Va commencer d’ailleurs une présentation de la censure de TOR par certains gouvernements :
http://events.ccc.de/congress/2011/Fahrplan/events/4800.en.html
Sauf erreur c’est aussi une des seules présentations autour des « Printemps arabes » - dont peu d’acteurs sont référencés au Congrès (peu présents aussi, à ma connaissance)

Demain est annoncé du sport avec la présentation d’un Français, Eric Filliol, qui dit avoir démontré des vulnérabilités du réseau TOR http://events.ccc.de/congress/2011/Fahrplan/events/4581.en.html
Présentation qui a été faite (peut-être dans une autre version) au Brésil en octobre
https://threatpost.com/en_us/blogs/researchers-demonstrate-tor-network-hijack-method-102411
et dont les tenants et aboutissants sont largement discutés : http://www.wilderssecurity.com/showthread.php?t=310737
et contestés par la Fondation TOR
https://blog.torproject.org/blog/rumors-tors-compromise-are-greatly-exaggerated

Le débat est intéressant car il souligne les enjeux d’outils qui passaient peu à la connaissance du grand public par le passé. Alors que TOR a par exemple été très employé dans le cours des « Révolutions arabes » - c’est aussi un outil très présent dans la galaxie Wikileaks et ses suites. Il semblerait qu’en dépit de ce qu’affirme Filliol TOR reste un outil de choix, davantage que les VPN qui sont susceptibles d’être compromis à des niveaux multiples
voir là : http://www.businessweek.com/news/2011-12-22/china-based-hacking-of-760-companies-shows-cyber-cold-war.html
et
http://www.computerworlduk.com/news/security/3325422/ibahn-denies-hotel-internet-hack-aimed-at-travelling-executives

mais aussi responsabilités de VPN de remettre les logs de leurs clients à la justice, en particulier avec les tentatives de mise en place de législations plus restrictives autour du copyright (débat sur la #SOPA aux Etats-Unis) : http://www.industryleadersmagazine.com/the-stop-online-piracy-act-what-industry-leaders-can-do-abo

D’où volonté de certains groupes hacktivistes d’aller voir du côté des #darknets (internets « alternatifs »), notamment Telecomix qui veut remettre en cause la hiérachie http://dns.telecomix.org ; débat également repris par @Stephane Bortzmeyer ici-même
http://seenthis.net/messages/47785

La sécurité informatique ressemble à la vente de voitures d’occasion dans la mesure où c’est à 99 % du blabla de vendeurs. Un bon exemple vient d’être donné par Éric Filiol qui, pour promouvoir sa solution à lui qu’il a conçu, Perseus, raconte plein d’énormités complotistes sur la cryptographie.

La prose du vendeur :

http://blog.m0le.net/2011/12/17/eric-filiol-seule-la-steganographie-est-capable-de-contourner-la-censure-

Une analyse exhaustive des erreurs :

http://sebsauvage.net/rhaa/index.php?2011/12/19/11/57/18-tor-est-casse-vraiment-

La suite de la discussion :

http://blog.m0le.net/2011/12/20/dialogue-avec-sebsauvage-1-crypto-steno-tor-etc

#Tor #cryptographie #sécurité

Sovereign #Keys : A Proposal to Make #HTTPS and #Email More Secure | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2011/11/sovereign-keys-proposal-make-https-and-email-more-secure

In a previous post, we discussed some structural insecurities in HTTPS and TLS/SSL, and how those are beginning to pose serious problems for the security of the Web.

In this post I will introduce a new proposal called “Sovereign Keys”, which is intended to systematically fix these weaknesses in the way that encrypted Internet protocols perform authentication.

est-ce une réponse à http://seenthis.net/messages/37879

(#sécurité #internet #cryptographie, twitté par @natmaka)

PrivacyBox : permettre l’envoi d’emails chiffrés aux personnes qui n’ont pas (encore) de clés PGP
http://atelier.mediaslibres.lautre.net/PrivacyBox-permettre-l-envoi-d.html

Vous utilisez la crytographie asymétrique pour votre correspondance email (clés PGP/GPG), mais vous souhaitez que des personnes qui n’en disposent pas puissent vous envoyer facilement un email chiffré ?
Privacybox vous permet de mettre en ligne un simple formulaire de contact sur une page https. Donnez l’adresse de cette page à qui vous voulez et les messages et pièces jointes envoyés par ce formulaire vous parviendront automatiquement chiffrés avec votre clé publique.

#sécurité #manuel

®om : Le logiciel HADOPI est impossible
http://blog.rom1v.com/2010/08/le-logiciel-hadopi-est-impossible

#via_google_reader #hadopi #internet #cryptographie #libre #piratage #filtrage

Portail:Cryptologie - Wikipédia
http://fr.wikipedia.org/wiki/Portail:Cryptologie

#cryptographie #cryptologie #sécurité #todo:slides

Cryptographie hybride - Wikipédia
http://fr.wikipedia.org/wiki/Cryptographie_hybride

#cryptographie #hybride #sécurité #performance #optimisation #todo:slides