Sécurité info - Page 13

http://arstechnica.com/security/2016/10/how-the-nsa-could-put-undetectable-trapdoors-in-millions-of-crypto-keys/

un peu vieux mais je ne ais pas si ça a été posté.

hum faut que je lise ca la tete reposee.

Mouai une clef de 1024 casse en 2 a 3 mois avec une telle puissance de calcul, je trouve que ce n'est pas si "weak" que ca mais bon.

Et puis il me semble que sur certains type d'application le DSA n'est plus recommandé (comme SSH par exemple ils sont "revenu" sur les clefs types RSA fortes)

Apparemment, le risque c'est surtout que ça permet de calculer une espèce de rainbow table qui permet de déchiffrer très facilement tout le trafic chiffré en se basant sur le nombre premier en question. Du coup, les 2 ~ 3 mois de calcul ne sont à faire qu'une seule fois.

Oui en effet, mais ce n'est que pour des softs qui utiliserais ces nombres premier "graines" qui sont fournis, si tu genere tout toi meme le risque est bien moindre.

résumé: DH de base ça sux, surtout en <= 1024 bits. Le problème essentiel c'est que tout le monde utilise les mêmes nombres premiers, en gros. C'était déjà connu :

https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
More critically, the common practice of using standardized, hard-coded, or widely shared Diffie-Hellman parameters has the effect of dramatically reducing the cost of large-scale attacks, bringing some within range of feasibility today.

Mais le récent papier montre que plutôt que de se faire chier à pré-calculer le déchiffrement des groupes les plus rependus, on peut faire plus facile et surtout plus puissant : répandre "les bon paramètres" pour lesquels c'est bien plus facile de tout précalculer ( car il y a des raccourcis dans certains cas grâce à la morphologie de certains premiers). Après tout il suffit d'un coup de fil au NIST.

godzil : ouais mais c'est une majorité du traffic :/

le vrai problème c'est que dans beaucoup de firmwares genre openwrt les dhparams sont intégrés a l'image du coup tous les devices ont les mêmes et le calcul sert d'un coup a casser beaucoup de machines.

thunderbird refuse de base les connexions SSL pour lesquels les dhparams sont trop faibles. ca a été le cas sur mon serveur courier-imap, il a fallu que j'en regénère des plus longs parce que la négo SSL était refusée.

RSA est même considéré supérieur a ECC, parce que même si les deux problèmes sont difficiles... RSA a plus de bits a casser que ECC.

les smart cards sont en train de passer "couramment" a 4096 bits pour RSA.

https://www.theregister.co.uk/2017/01/31/cryptkeeper_cooked/ :

Cryptkeeper invokes encfs and attempts to enter paranoia mode with a simulated 'p' keypress – instead, it sets passwords for folders to just that letter.

C'est craignos à plus d'un titre.

Cryptkeeper's developer appears to have abandoned the project. Luckily, it's not used by that many people

Ceci explique peut-être celà ^^

Certes

Oui enfin c'est quoi cette interface entre ce soft et encfs??

Ca ne simule pas le clavier, mais utilise la redirection de caracteres mais quand meme o_O Il y a pas une lib pour acceder a encfs plutot? C'est quoi ce travail d'amateur???

manque <ul> FS ?

#loin#

C'est quand-même un changement incompatible de encfs à la base…

http://www.lefigaro.fr/secteur/high-tech/2017/02/08/32001-20170208ARTFIG00007-un-francais-demande-45-millions-d-euros-a-uber-pour-avoir-precipite-son-divorce.php
Certes c'est un problème de sécurité sérieux, mais y'en a qui ne doutent de rien ^^

erf

https://www.kennethreitz.org/essays/on-cybersecurity-and-being-targeted

Attaque sympathique d'un contributeur à Python sur Github.
Comme son adresse e-mail est sur son nom de domaine, une première attaque a changé le MX vers un serveur SMTP pirate, mais tous les mails sont retransmis au serveur MX d'origine. Ensuite, demande de nouveau mot de passe, sauf que le mail n'a pas été retransmis, lui…

Il aurait dû enrouler un serpent autour du serveur DNS

C'est un peu dommage que le post soit aussi peu détaillé... OK les MX de son domaine ont été modifiés pour intercepter le mail de reset de mot de passe, mais comment est-ce que ça a pu être fait aussi facilement ?!

Il dit que son mot de passe chez son presta DNS était faible, non ?

Ah OK, bon du coup c'est un peu décevant

La qualite des mots de passe chez les fournisseurs dns est ULTRA CRITIQUE c'est pour ca d'ailleurs que certains utilisent des emails gmail ou autre gros fornisseur pour les comptes critiques, parce que c moins facile a intercepter.

Ils doivent être plutôt confiants d'ailleurs chez gmail, le TTL de leurs records MX est de 60 minutes. Depuis que j'ai lu l'article mentionné dans celui de ./377 (le gars qui se fait voler son compte Twitter ; je ne sais plus qui l'avait posté sur yN à l'époque) j'ai fait exactement l'inverse et configuré mes MX à 3 jours histoire d'avoir le temps de faire quelque chose si jamais quelqu'un en prend le contrôle. Mais bon si ça arrive un jour j'imagine que Google a un poil plus de moyens que moi

bonne idée tiens je vais les remonter de ce pas.

https://krebsonsecurity.com/2017/01/atm-shimmers-target-chip-based-cards/
L'ingéniosité serait admirable si c'était pas utilisé pour voler de l'argent.

Comment ils l'insérent et le récupère?
Ou c'est du jetable et lisent les info avec soir de la radio, soit une carte spéciale pour dumper les info?

L'article parle d'une carte spéciale.

Zerosquare (./388) :
L'article parle d'une carte spéciale.

ça paraitrait logique, avec une petite languette/un petit crochet au niveau de l'encoche pour le ressortir

c'est même pas nécessaire ^^