L'USB-C aura bientôt un système de protection cryptographique, Réactions à la publication du 02/01/2019

[Lionel]

Le groupement qui gère la norme USB-C a annoncé que la prochaine version allait inclure un système de protection destiné à la sécuriser.
Le but sera aussi bien de protéger les appareils contre des chargeurs non conformes (des contrefaçons que l'on trouve en masse), qui ne délivreraient pas la tension requise et pourraient endommager les appareils, que d'éviter qu'un produit malveillant déguisé en chargeur ne serve à siphonner des données d'un appareil.

La norme en elle même ne change pas, mais elle pourra inclure dans un futur proche un système d'authentification sécurisé permettant d'identifier le fabricant et ainsi d'assurer un niveau de protection efficace des utilisateurs.

Lien vers le billet original

[Dark Oopa]

ca permettra aussi d’empêcher l'utilisation de chargeurs et adaptateurs tiers donc

[_Panta]

Vivement tout l'USB-c

[kenzo05000]

ca permettra aussi d’empêcher l'utilisation de chargeurs et adaptateurs tiers donc

Un chargeur rapide Samsung, de chez Samsung, c'est 30 euros, moins de 10 chez Amazon.
Comparé au prix de l'appareil qu'il doit charger, c'est pas la mer a boire.
De plus on peut l'utiliser pour tous les appareils.
A mettre en rapport avec le prix du smartphone qu'il charge.

Mais bien sur, si avec cette nouvelle norme, un Samsung ne peut charger qu'un Samsung, un LG un LG.....
Là il y aurait un soucis.
J'ose espérer qu'ils ne feront pas le coup.

[Princo22]

Euh, j'ai dû manquer quelque chose. Le truc date de 2016, la norme est finalisée depuis mi 2017.

[Pensee]

EU fait tout pour ne pas avoir a tout changer, mais comme cela vous derez tous changer quand même, c'est pour votre bien puisque on vous le dit.

[SartMatt]

ca permettra aussi d’empêcher l'utilisation de chargeurs et adaptateurs tiers donc

Un chargeur rapide Samsung, de chez Samsung, c'est 30 euros, moins de 10 chez Amazon. Comparé au prix de l'appareil qu'il doit charger, c'est pas la mer a boire. De plus on peut l'utiliser pour tous les appareils. A mettre en rapport avec le prix du smartphone qu'il charge. Mais bien sur, si avec cette nouvelle norme, un Samsung ne peut charger qu'un Samsung, un LG un LG..... Là il y aurait un soucis. J'ose espérer qu'ils ne feront pas le coup.

Je pense pas qu'ils puissent faire ça du côté des smartphones, compte tenu de l'accord sur le chargeur universel conclu en Europe.

[Princo22]

ca permettra aussi d’empêcher l'utilisation de chargeurs et adaptateurs tiers donc

Un chargeur rapide Samsung, de chez Samsung, c'est 30 euros, moins de 10 chez Amazon. Comparé au prix de l'appareil qu'il doit charger, c'est pas la mer a boire. De plus on peut l'utiliser pour tous les appareils. A mettre en rapport avec le prix du smartphone qu'il charge. Mais bien sur, si avec cette nouvelle norme, un Samsung ne peut charger qu'un Samsung, un LG un LG..... Là il y aurait un soucis. J'ose espérer qu'ils ne feront pas le coup.

Je pense pas qu'ils puissent faire ça du côté des smartphones, compte tenu de l'accord sur le chargeur universel conclu en Europe.

La nouvelle directive (nb: celle de 2014) introduit la possibilité, pour la Commission, d’exiger que les téléphones mobiles et autres appareils portables soient compatibles avec un chargeur universel.

Ils se sont rendus compte l'année passée que les Iphone n'avaient pas de connecteur micro USB. Résultat: "la Commission lancera bientôt une étude d’impact pour évaluer les avantages et les inconvénients des différentes possibilités"
C'était en août dernier. La demande de la commission attend toujours le passage au parlement... Réponse prévu entre 2020 et 2030

La directive était purement incitative. Samsung et Nokia avaient décidé de jouer le jeu, entraînant presque tout le monde avec eux. Si demain, un constructeurs décide de réintroduire un truc propriétaire ou simplement un USB C verrouillé, l'UE ne peut, en l'état des textes existant, rien faire. Seule une sanction des consommateurs peut avoir de l'impact, et on sait tous qu'un mouton n'est même pas foutu de vérifier s'il y a un chargeur dans la boite avant d'acheter son précieux, alors vérifier le type de connecteur...

[iAPX]

TL;DR failles dans l'authentification (NIST aime la NSA), attaques MITM possibles, incompatibilité avec les HUB existant, invasion de vie privée, fait pour verrouiller les usages, un pur bonheur!

Ah il est temps qu'Apple passe à l'USB-C sur les iPhone après avoir un moyen de verrouiller son usage pour faire payer la licence MFI: vive l'interopérabilité et l'interconnectivité

Mais hâte de prendre connaissance de cette "authentification" 128bits, car on utilise pas vraiment ça pour l'authentification (clés de 2048 bits minium, 4096 que je recommanderais pour être futur-proof) mais plutôt pour le chiffrement de blocs (par exemple AES-128, je préfère AEs-256 néanmoins) suffisant alors si on s'est mis à l'abri de l'analyse différentielle.

Ben voilà, les spécifications sont là et il y a une faille de sécurité majeur de conception pour faciliter les attaques de type MITM, et mes mots sont choisis, il y a même une faille sur l'authentification que je laisserais à votre sagacité (NIST ça rime avec NSA!) : ça n'est certes pas pour authentifier avec qui on échange pour la sécurité, il n'y en a absolument aucune, mais pour permettre de refuser l'usage de périphériques non-signés hors-hack. Donc de verrouiller des usages pour M. tout-le-monde. CQFD

En bonus c'est incompatible avec les HUB USB-C existant. Tant qu'à faire.

Hâte aussi de voir après les premières attaques réussies sur les clés privées qu'on nous demande maintenant (en sus de tous les autres) de mettre à jours le firmware de nos chargeurs pour qu'ils soient reconnus à l'avenir: le progrès

C'est dans l'air du temps: on nous promet la sécurité, mais pour ça il faut du verrouillage, de la surveillance, du traçage, de l'archivage, mais en abandonnant notre liberté et notre vie privée (même avec cette norme, justement!) nous ne gagnons pas en sécurité ou marginalement, et ça ne sert finalement que nos princes et les multinationales, leurs patrons!

Ce message a été modifié par iAPX - 2 Jan 2019, 22:31.

[Hebus]

Fais nous un cours en détail et gratuit stp...

[iAPX]

Fais nous un cours en détail et gratuit stp...

Je vais essayer d'étayer.

Pour le NIST et la NSA, les courbes elliptiques utilisées sont basées sur des "nombres magiques" créés par la NSA, et dans le monde de la crypto tout le monde doute sur l'innocuité de ceux-ci sans qu'on puisse le vérifier, donc doute de l'innocence de la NSA amenant des nombres "magiques" sans expliquer leur construction. Un très gros problème qui invalide la notion de sécurité coté authentification...
La NIST couche avec la NSA, et ils se font des promesses sur l'oreiller. Le monde suit...
"The NSA is responsible for global monitoring, collection, and processing of information and data for foreign and domestic intelligence and counterintelligence purposes, specializing in a discipline known as signals intelligence"

Attaque MITM possible puisqu'une fois authentifiés deux dispositifs, leur communication n'est pas chiffrée fortement, permettant donc d'injecter ce qu'on veut dans la communication, et d'ailleurs prévu pour fonctionner au travers d'un HUB laissant passer le nouveau protocole d'authentification, ce HUB pourrait alors en profiter pour injecter du contenu dans un sens ou l'autre. Ou un simple "câble" puisque depuis le Thunderbolt ils peuvent être "actifs" et intégrer des processeurs. NSA approved.

Incompatibilité avec les HUB existant, c'est dans la doc, donc impossibilité d'authentifier un chargeur USB-C (au hasard) via un HUB USB-C qui ne supporte pas le nouveau protocole, par exemple.

Invasion de vie privée car permettant de relever les numéros de séries des appareils et donc de savoir quel appareil a été branché sur quel chargeur ou l'inverse, éventuellement a-posteriori si conservé. Une belle nouveauté technologique pour ceux qui voyagent et veulent recharger n'importe où, ou si on recharge chez des amis ou connaissances, n'importe quel lieu, etc. NSA approved

Verrouillage des usages car comme ça n'apporte quasiment aucune sécurité c'est essentiellement fait pour permettre à un constructeur (hum Apple au hasard) d'interdire des fonctionnalités avancée (charge rapide toujours au hasard, mais tout est possible) avec des appareils pourtant compatible avec ses profils d'usages ou de chargement. Apple approved.

Avec toutes ces belles qualités réunies, aucune raison pour que l'USB-C "protégé" n'apparaisse pas sur les futurs iPhone

Ce message a été modifié par iAPX - 3 Jan 2019, 13:14.

[Hebus]

Je vois... merci !

[otto87]

La NSA qui s'occupe de votre sécurité c'est comme google pour la confidentialité des informations ou face book et la vie privée!!!

[iAPX]

La NSA qui s'occupe de votre sécurité c'est comme google pour la confidentialité des informations ou face book et la vie privée!!!

+100

Il y a trois volets, la NSA, le NIST et le poids des entreprises de technologies US.
La NSA conçoit des algorithmes hackables (souvenons-nous le gag du sha-0 ou l'actuel AES-CBC pour les attaques différentielles comme dans Office et encore pas le "chiffrage" de base mais avancé), le NIST les propose généralement comme base dans ses recommandations, les entreprises de technologies US imposent ces recommandations par leur poids, tout le monde les suit alors au moins les bases (venant de la NSA), et la NSA peut alors faire son travail
Au pire la NSA paye comme pour la société RSA pour que la base soit un algorithme déjà reconnu comme "faible", et ça semble marcher!

Mais en faisant attention, on peut -aussi- suivre les recommandations du NIST comme nous le faisons volontairement, sans utiliser d'algo de la NSA et en ne s'appuyant que sur du connu, analysé et reconnu comme "solide". C'est plus compliqué et nécessite du savoir-faire, du temps donc de l'argent, le résultat est que l'immense majorité utilise ce que la NSA fourni.

J'ai quand-même l'impression que cette norme sert les intérêt d'agences intrusives et d'une multinationale contrôlante, mais en aucun cas l'utilisateur.
Quand à penser avoir un échange de certificat X509 sur un "chargeur", là si ça n'est pas du over-engineering...

Ce message a été modifié par iAPX - 3 Jan 2019, 02:20.

[Pat94]

Oui et en résumé, après ces brillantes démonstrations, il va falloir acheter le chargeur chez le constructeur du téléphone ou au moins un fournisseur agrée, donc passer à la caisse ...

Juridiquement Bruxelles va dire quoi

[iAPX]

Oui et en résumé, après ces brillantes démonstrations, il va falloir acheter le chargeur chez le constructeur du téléphone ou au moins un fournisseur agrée, donc passer à la caisse ...

Juridiquement Bruxelles va dire quoi

+1 une fois n'est pas coutume, on est totalement d'accord, et ça va coûter un bras avec la technologie à introduire dedans pour la crypto largement inutile!!!
Ça ne mettra d'ailleurs pas à l'abri d'un composant électronique (condo au hasard) qui foire...

Ce message a été modifié par iAPX - 3 Jan 2019, 02:04.

[_Panta]

un système d'authentification sécurisé permettant d'identifier le fabricant et ainsi d'assurer un niveau de protection efficace des utilisateurs.

Avec la clef fourni par iAPx, on peut le lire dans plusieurs sens, dont "qui protege de quoi" ou "quoi protege de qui"

[Skan]

Merci iAPX!

Pour le reste on attend le premier vol de certificat:
- tous les chargeurs de la marque seront à benner et mettant à jour les téléphones encore supportés?
- on laisse faire et la signature des chargeurs ne sert à rien?

Next step, le chargeur pourra causer sur Internet par courant porteur?

Avec la miniaturisation ceux qui ont les moyens pourrant mettre leur mouchard non plus dans le chargeur mais dans le câble! C'est toujours bien de trouver un câble par terre. Comme les clefs USB semées il y a 15-20 ans.

Mais tant que ça fait vivre l'économie, vive le progrès!
Pour moi c'est aussi de la pollution inutile: construction et consommation. Tout ça pour sauver 2 péquenauds.

[zero]

Le groupement qui gère la norme USB-C a annoncé que la prochaine version allait inclure un système de protection destiné à la sécuriser.
Le but sera aussi bien de protéger les appareils contre des chargeurs non conformes (des contrefaçons que l'on trouve en masse), qui ne délivreraient pas la tension requise et pourraient endommager les appareils, que d'éviter qu'un produit malveillant déguisé en chargeur ne serve à siphonner des données d'un appareil.

En clair : La prise qui se dit universelle ne le sera plus.
L'excuse de la protection les appareils contre des chargeurs non conformes, c'est du pipeau. C'est juste pour contrôler "les droits" qui eux rapportent du pognon.

Ce message a été modifié par zero - 3 Jan 2019, 13:08.

[mR_Zlu]

La NSA qui s'occupe de votre sécurité c'est comme google pour la confidentialité des informations ou face book et la vie privée!!!

Alors qu'évidement rien du tout ça marche super.

[iAPX]

La NSA qui s'occupe de votre sécurité c'est comme google pour la confidentialité des informations ou face book et la vie privée!!!

Alors qu'évidement rien du tout ça marche super.

Ça serait bien mieux, car la mission première de la NSA nécessite de diminuer la sécurité des communications et des ordinateurs/smartphone/réseaux, elle a d'ailleurs un "petit" budget de plus de $250 Millions par an pour faire créer des backdoors ou failles de sécurité exploitables.
Sa mission est d'espionner et pour cela elle créé des standards fait pour qu'elle puisse pirater les communications, avec des effets secondaires c'est que d'autres le peuvent aussi...

Ça serait mieux sans la NSA, il y a d'excellent cryptographes qui créent des algorithmes fantastiques, indépendants, évalués par leurs pairs, et offrant des niveaux de sécurité incroyables.
Pour ces raisons, le NIST a tendance à ne pas les promouvoir

[mR_Zlu]

Donc la NSA va pirater l’USB C pour que les chinois nous vendent des chargeurs merdiques ?

[iAPX]

Donc la NSA va pirater l’USB C pour que les chinois nous vendent des chargeurs merdiques ?

Apple va probablement interdire toute recharge rapide en dehors de chargeurs ayant payé la licence MFI et ayant une puce de leur conception intégrée physiquement.

Il y aura toujours des chargeurs merdiques, mais ils seront bridés théoriquement à 5W, mais si on comprend bien l'idée d'un chargeur dangereux je ne vois pas pourquoi ils s'y restreindraient, ça n'empêchera donc pas les accidents

La NSA utilise depuis longtemps des clés USB pour infecter les contrôleurs USB par reprogrammation de leur firmware (ce sont en fait des ordinateurs spécialisés!), et un blocage vraiment parfait leur aurait coupé l'herbe sous le pied: ils se sont arrangé pour pouvoir continuer à le faire malgré la "protection cryptographique" mise en place. Cette norme est taillée pour ce genre d'usage avec ses limitations et ses choix techniques.

[SartMatt]

Il y aura toujours des chargeurs merdiques, mais ils seront bridés théoriquement à 5W, mais si on comprend bien l'idée d'un chargeur dangereux je ne vois pas pourquoi ils s'y restreindraient, ça n'empêchera donc pas les accidents

C'est l'appareil qui impose la puissance, pas le chargeur, qui ne fait que répondre à une demande de puissance de l'appareil, dans la limite bien sûr de ses propres capacités. Donc si Apple bride effectivement les chargeurs non pucés à 5W, les chargeurs merdiques s'y restreindront bel et bien... tant qu'ils n'arriveront pas à se faire passer pour un chargeur MFI...

Et c'est pour des raisons physiques, incontournables, pas pour des raisons de protocoles, qui seraient éventuellement contournables : quand on raccorde une charge électrique à une source de tension, l'intensité qui va être débitée dépend de la charge. C'est d'ailleurs ce qu'il se passe chaque fois que tu branches un appareil électrique sur une prise murale, capable de fournir 3700W : la puissance qui va passer va être ce que demande l'appareil, et ce sans qu'aucune négociation ne soit nécessaire.

Il faudrait que le chargeur se comporte comme une source de courant et non comme une source de tension pour pouvoir imposer une puissance. Mais ça nécessiterait donc d'être spécifiquement conçu de la sorte, dans un but clairement malveillant, puisque c'est un chargeur qui détruirait à peu près tous les appareils qu'on brancherait dessus, puisque ces appareils attendent une source de tension, pas une source de courant.

Ce message a été modifié par SartMatt - 4 Jan 2019, 13:39.

[iAPX]

Il y aura toujours des chargeurs merdiques, mais ils seront bridés théoriquement à 5W, mais si on comprend bien l'idée d'un chargeur dangereux je ne vois pas pourquoi ils s'y restreindraient, ça n'empêchera donc pas les accidents

C'est l'appareil qui impose la puissance, pas le chargeur, qui ne fait que répondre à une demande de puissance de l'appareil, dans la limite bien sûr de ses propres capacités. Donc si Apple bride effectivement les chargeurs non pucés à 5W, les chargeurs merdiques s'y restreindront bel et bien... tant qu'ils n'arriveront pas à se faire passer pour un chargeur MFI...

Et c'est pour des raisons physiques, incontournables, pas pour des raisons de protocoles, qui seraient éventuellement contournables : quand on raccorde une charge électrique à une source de tension, l'intensité qui va être débitée dépend de la charge. C'est d'ailleurs ce qu'il se passe chaque fois que tu branches un appareil électrique sur une prise murale, capable de fournir 3700W : la puissance qui va passer va être ce que demande l'appareil, et ce sans qu'aucune négociation ne soit nécessaire.

Il faudrait que le chargeur se comporte comme une source de courant et non comme une source de tension pour pouvoir imposer une puissance. Mais ça nécessiterait donc d'être spécifiquement conçu de la sorte, dans un but clairement malveillant, puisque c'est un chargeur qui détruirait à peu près tous les appareils qu'on brancherait dessus, puisque ces appareils attendent une source de tension, pas une source de courant.

La théorie c'est quand on sait tout mais que rien ne fonctionne, la pratique c'est quand ça fonctionne mais on ne sait pas pourquoi...

En pratique des chargeurs peuvent être dangereux en surchargeant des iPhone ou autres appareils, ce sont d'ailleurs des chargeurs "5W" pour la plupart si pas tous.

[SartMatt]

En pratique des chargeurs peuvent être dangereux en surchargeant des iPhone ou autres appareils, ce sont d'ailleurs des chargeurs "5W" pour la plupart si pas tous.

Et t'es sûr que c'est à cause d'une surcharge (courant) directement à 5V et pas plutôt à cause de problèmes de tension (qui peuvent induire une surcharge indirectement, parce que si la tension chute, l'intensité va augmenter) ?

Parce que physiquement, un chargeur qui se comporte comme une source de tension, ça ne peut pas imposer de courant. Et je vois pas pourquoi un chargeur merdique se comporterait comme une source de courant plutôt qu'une source de tension : une source de courant, c'est plus compliqué à faire qu'une source de tension !

D'ailleurs, de manière générale, tu as beaucoup d'exemples de chargeurs provoquant des surcharges ? Le plus souvent quand le chargeur est merdique, c'est en fait le chargeur qui grille parce qu'il a été surchargé par l'appareil, et non l'inverse...

Et pour finir, si un appareil grille à cause d'une surcharge qui aurait été imposée par le chargeur, c'est bien joli d'accuser seulement le chargeur. Mais ça veut aussi dire que l'appareil lui même est mal conçu, car il n'est pas équipé d'une protection contre la surcharge...

C'est d'ailleurs ce qui a pu se voir avec les câbles USB-C vers USB-A foireux qui faisaient croire aux appareils USB-C qu'ils pouvaient tirer 15W même quand ils sont branchés à des sources ne supportant pas 15W... En pratique, ça n'est que rarement un problème, et ça fonctionne avec la plupart des sources sans broncher. Parce qu'il y a des protection contre les surcharges un peu partout. C'est d'ailleurs sans doute pour ça que les fabricants de ces câbles ne se sont pas rendus compte de leur erreur. Je le sais par expérience, j'ai un de ces câbles, je l'utilise avec mon smartphone USB-C, et j'ai jamais grillé quoi que ce soit... Le téléphone m'affiche effectivement "charge rapide" quelque soit la source à laquelle il est branché, ce qui confirme que le câble est foireux, mais la protection anti-surcharge de la source l'empêche de tirer plus que ce que la source peut lui donner. Ça marche tellement bien que je ne prends même plus la peine de tester avec un mesureur lorsque je me branche à une nouvelle source (et avant, avec le testeur, je voyais que selon les sources, ça tirait entre 0.5 et 2A). Et même avec des chargeurs premier prix, ça n'a jamais posé problème. Car en fait même les chargeurs premiers prix sont pour la plupart protégés contre les surcharges...

Il me semble que dans ces nombreux tests, le seul cas où Benson Leung à grillé quelque chose, ce n'était pas à cause d'une surcharge, mais d'un câble carrément foireux où deux fils avaient été inversés, menant à envoyer directement le 5V sur une des lignes D+ ou D-...

Ce message a été modifié par SartMatt - 4 Jan 2019, 14:19.

[iAPX]

En pratique des chargeurs peuvent être dangereux en surchargeant des iPhone ou autres appareils, ce sont d'ailleurs des chargeurs "5W" pour la plupart si pas tous.

Et t'es sûr que c'est à cause d'une surcharge (courant) directement à 5V et pas plutôt à cause de problèmes de tension (qui peuvent induire une surcharge indirectement, parce que si la tension chute, l'intensité va augmenter) ?
...

Peu importe la raison, il arrive que des chargeurs grillent des smartphone, voir plus si affinité.

Ça n'est pas si courant, mais ça arrive, ça ne nécessitait certainement pas une mauvaise "protection cryptographique" qui ne protègera rien du tout et surtout pas les cas d'usage déjà rencontrés sauf à interdire tout chargement depuis un chargeur non-signé, et encore pas convaincu que ça suffise!

Juste une affaire de tension, et avec des résidu de 240V, c'est pas en indiquant à un transistor qu'on est pas d'accord que ça arrête!
Quand à la résistance interne de la batterie (ou son impédance, je veux pas me faire allumer!) c'est pas une limitation technique...

Ce message a été modifié par iAPX - 5 Jan 2019, 15:09.

[xav_mtx]

Fais nous un cours en détail et gratuit stp...

Je vais essayer d'étayer.

Pour le NIST et la NSA, les courbes elliptiques utilisées sont basées sur des "nombres magiques" créés par la NSA, et dans le monde de la crypto tout le monde doute sur l'innocuité de ceux-ci sans qu'on puisse le vérifier, donc doute de l'innocence de la NSA amenant des nombres "magiques" sans expliquer leur construction. Un très gros problème qui invalide la notion de sécurité coté authentification...
La NIST couche avec la NSA, et ils se font des promesses sur l'oreiller. Le monde suit...
"The NSA is responsible for global monitoring, collection, and processing of information and data for foreign and domestic intelligence and counterintelligence purposes, specializing in a discipline known as signals intelligence"

Je reagis un peu en retard la dessus.
Je sais bien que la NSA passe son temps a espionner tout ce qu'elle peut avec des moyens absolument enorme, et emploie les meilleurs mathematiciens du monde, et qu'on ne peu que moyennement lui faire confiance.
Neanmoins, la meme chose s'est passe pour un algo plus ancien (je ne sais plus si c'etait du cryptage ou du hash, mais l'idee est la meme).
Ils avaient aussi modifie les tables de nombres "magiques", sans jamais dire pourquoi.
Certains speculaient que la NSA avait introduit une faiblesse dans la table, pour pouvoir casser plus facilement le bouzin.
Cet algo a ete "craque" il y a quelques annees, et on a pu se rendre compte que c'etait la table originale qui contenait des faiblesse, et la NSA avait renforce le truc avec la table qu'ils avaient proposes.

Il faut pas oublier que la NSA utilise tres probablement ces algos pour chiffrer ses donnees, et a tout interet a les renforcer.
Dans le meme registre, TOR a ete largement finance par le gouvernement US (surement avec l'accord de la NSA), afin d'aider les gens dans les dictatures a garder un peu d'anonymite. Alors que la NSA a rencontre des problemes face a ce reseau dans ses missions d'espionnage.

Bref, effectivement, faut pas trop faire confiance a la NSA, mais pour le coup, il y a des chances qu'ils soient un peu honnete.

[iAPX]

...
Il faut pas oublier que la NSA utilise tres probablement ces algos pour chiffrer ses donnees, et a tout interet a les renforcer.
Dans le meme registre, TOR a ete largement finance par le gouvernement US (surement avec l'accord de la NSA), afin d'aider les gens dans les dictatures a garder un peu d'anonymite. Alors que la NSA a rencontre des problemes face a ce reseau dans ses missions d'espionnage.

Bref, effectivement, faut pas trop faire confiance a la NSA, mais pour le coup, il y a des chances qu'ils soient un peu honnete.

La NSA est totalement honnête: sa mission est d'espionner électroniquement et informatiquement. point barre

Quand au réseau TOR il a été créé pour la marine Américaine et après déployé dans le grand-public, puisqu'ayant des faiblesses permettant de retracer les échanges pour la NSA.
Un autre bel exemple de confiance aveugle dans la NSA, tout comme certaines implémentations de Signal (un très très bon produit quand correctement implémenté) notamment dans Telegram avec les réglages par défaut NSA-friendly.

Ça va être très très dur de trouver des exemples où la NSA a augmenté la sécurité, alors qu'elle dépensé autour de 3 Milliards de dollars à ce jours pour l'affaiblir directement (failles de sécurités, backdoors, etc) et que la plupart de ces algorithmes (cypher) sont petit à petit trouvés comme ayant des failles permettant de les casser, le sha (aka "sha-0") puis sha-1 en tête sans même parler des générateurs de nombres aléatoires tout sauf aléatoires...

Soit ce sont des imbéciles et des amateurs, soit ils ont des génies permettant de créer des cypher avec des failles leur permettant de décrypter les échanges (le second est mon avis, j'ai un immense respect pour leur intelligence). Prétendre qu'ils ne le font pas exprès c'est vraiment insultant pour eux et la NSA

Ce message a été modifié par iAPX - 6 Jan 2019, 18:30.

[xav_mtx]

Ça va être très très dur de trouver des exemples où la NSA a augmenté la sécurité, alors qu'elle dépensé autour de 3 Milliards de dollars à ce jours pour l'affaiblir directement (failles de sécurités, backdoors, etc) et que la plupart de ces algorithmes (cypher) sont petit à petit trouvés comme ayant des failles permettant de les casser, le sha (aka "sha-0") puis sha-1 en tête sans même parler des générateurs de nombres aléatoires tout sauf aléatoires...

Soit ce sont des imbéciles et des amateurs, soit ils ont des génies permettant de créer des cypher avec des failles leur permettant de décrypter les échanges (le second est mon avis, j'ai un immense respect pour leur intelligence). Prétendre qu'ils ne le font pas exprès c'est vraiment insultant pour eux et la NSA

J'ai retrouve l'algo que la NSA a aide a renforcer. C'est le DES:
NSA's involvement in the design

On a mis 20 ans a comprendre ce qu'ils avaient fait (ils sont tres forts), mais leur modifs, notament les S-box, on effectivement renforce l'algo.

Au passage, ils utilisent eux meme AES, ils n'auraient eu absolument aucun interet a l'affaiblir, ils savent tres bien qu'ils ne sont pas les seuls a chercher a craquer les algos de cryptage, ils ont tout interet a les rendre le plus solide possible.
Oui la NSA essait de trouver des algos de cryptage les plus robustes possible. Meme si ils sont coupables averes des pires agissements des US depuis des decennies, on peu au moins leur laisser ca.


A mon avis, ils se foutent d'essayer de peter les algos de cryptages. Leur strategie, est probablement, plutot de trouver des moyens detournes pour acceder aux donnees, c'est surement plus simple pour eux vu leurs moyens.

Creer un algo de cryptage, et comprendre les consequences sur sa robustesse, que peuvent avoir une modification de son implementation, est a la portee de tres peu de personnes dans le monde. Il est extrement simple de se planter quand on l'implemente ou qu'on essai d'en creer un.

Ce message a été modifié par xav_mtx - 9 Jan 2019, 09:59.