TSelek a écrit 945 commentaires

Bof, quand un client économise grace aux LL, c'est du budget qui va ailleurs, ce qui permet à ce client de se renforcer sur d'autres postes de dépenses. Comme les salaires de ses employés par exemple, tient pas bête comme idée ça... Rien ne se perd, rien ne se crée...

Ce qui s'évapore, c'est la marge du proprio qui a été viré : défendons le proprio une minute, bon c'est quoi le business model de Real ? Vivre sur la pub et revendre nos profils ? Qu'ils crevent, leur salaries retrouveront bien un job dans un business plus pérenne et basta. Quand ils se faisaient des couilles en or, ils n'ont __RIEN__ donné, et aujourd'hui ils réclament et nous pôv couillons on doit contribuer ?

De toute façon Libre != Gratuit, faut le rabacher combien de fois ?

Certes, de la même façon que les startups de la fin de siècle dernier ont servies de labos externalisés de R&D, les risques en moins (reportés sur le capital-risque), aux grosses boites, certains croient que le LL pourra leur servir à externaliser les développements...

Sauf que le LL n'est jamais aussi fort que quand il s'agit de communalités (OS, tools, apps basiques...), et là Real suit cette voie sous la pression après avoir été un des chantres du proprio plus fermé c'est pas possible, sur un segment que MS est en train de lui voler simplement grâce à la mécanique implacable du monopole (et des abus qui vont bien). Vous croyez que Real cedera aussi les brevets afférents ?

C'est quand même couillu de faire porter le chapeau aux LL quand c'est un acteur du monde Windows qui vient de se faire bouffer son gateau par MS et son media player imposé de force ! Il sont chouettes MS, on dirait un ogre qui mange ses propres enfants...

Merci pour cette expliquation, ZDnet eux ils parlaient d'un problème de magnétisme mais lié au CD, ce qui semblait bizarre pour un bout de plastique amagnétique ! Ceux qui leur permettait de dire que le pb venait du CD, trop sale, trop rayé (les rayures sur le plastique, c'est vrai que c'est reconnu comme problématique en terme d'électromagnétisme ;).

Autrement dit, les médias bobardent encore une fois pour protégé leurs annonceurs !

Le plus beau c'est qu'il n'y a pas de limite... enfin si, celle de GPG bien sur. Le pb c'est les algos "alternatifs" où on n'a pas vraiment de correspondance en terme de robustesse/taille vu qu'ils n'ont été que trop rarement crypto-analysés à fond.

J'espère que je ne dis pas une connerie...

La DCSSI est le successeur du SCCSI (ou un acronyme du genre), donc cette institution a déjà un historique et vécu des réformes. Ses clients sont les professionnels de la crypto, or les pros de la crypto (Matra, CS, Bull ing, Alcatel, plus le monde de la carte à puce) ne sont pas des rigolos, c'est plutôt calqué sur le monde du secret militaire. Donc ça c'est le coté "professionnel"

De l'autre coté, c'est le "gouvernement" qui "dérive", donc c'est politique, et la politique en la matière c'est plus passionnel et deraisonné que "professionnel".

Je ne me rappelle plus la phrase exacte de Clemenceau qui expliquait par une métaphore que les libéraux avaient beau jeu de réclamer toujours moins de régulation vu qu'ils (les libéraux) étaient un peu comme des éléphants face à des souris (le peuple de gauche), et qu'en cas de match entre un éléphant et une souris, l'éléphant avait tout à gagner qu'il n'y ait aucune règle... Tout ça pour dire que quand on est célebre, reconnu et qu'on roule dans de grosses cylindrées allemandes, l'argent ne fait pas peur (plutôt le manque oui).

Toutafé ! C'est une analyse qui a été faite il y a déjà un certain temps par des boites comme Verisign ou d'autres ( http://directory.google.com/Top/Computers/Security/Public_Key_Infra(...) ) qui ont anticipé que ce sera un marché juteux pour elles vu le peu de chance d'aboutir pour un particulier à un résultat potable en un temps acceptable. Que nous reserve l'avanir ?

Ah si ils sont cryptés !

Michael Moore l'explique très bien je crois ( http://www.michaelmoore.com/(...) )

Ils sont cryptés en Arabe !

C'est pas sur, le FBI vient d'admettre que le réseau Al-Quaida était de 200 membres actifs, or ils ont ont déjà 598 en cabane à Cuba... Ah non 597 on me dit, un est décédé la bas suite à la torture. Finalement ça sert pas à grande chose la crypto, il suffit que ça ne passe pas la TV et le tour est joué...

On peut casser toutes les clés en force brute, sauf que si ça prend 100 ans ça ne le fait pas ;)

La sécurité reste toujours un compromis entre coût et efficacité.

La NSA a juste 10 ans d'avance en recherche fondamentale dans les domaines de la crypto [graphie|analyse] et les moyens financiers les plus importants au monde dédiés à ce genre de tache. C'est donc l'institution la mieux placée pour casser du chiffre, mais même eux ne peuvent rien contre les maths : PGP embetait la NSA, NAI a racheté PGP pour le plomber avec des histoires de back-door et de key-recovery.

Et donc le gouvernement américain n'autorise à l'export que des produits crypto calibrés pour être supérieurs à la puissance de feu du citoyen lambda mais qui sont à portée de craquage par la NSA. PGP n'était pas "calibré".

D'autre part, les fournitures crypto sont traitées comme des armes de guerre, ceux qui croient que la libéralisation récente et toute relative dans la taille des clés est un cadeau donné aux citoyens feraient mieux de suivre l'actualité du top 500 tout en sachant que les bécanes de la NSA n'y sont surement pas présentes alors qu'elles sont surement en tête en puissance brute (et plus adaptées au craquage).

Il n'y a pas qu'1 algo RSA... En fait on peut ajouter des étapes comme le padding (plusieurs normalisés avec hashs et randoms, cf normes PKCS) ou le blinding qui consiste à ajouter du random lors de l'exponanciation. Le RSA de base est certes public et vieux mais ses dernières évolutions sont plus récentes (cf dernier brevet en 1999 de RSA sur le blinding) et correspondent à des réponses à des failles mathématiques. Ensuite il ne s'agit pas de casser l'algo mais d'accelerer les attaques en force brute, et Bernstein par exemple vient d'ouvrir de nouvelles voies en la matière. Et si moi je suis au courant, la NSA l'est certainement depuis bien plus longtemps que ça.

Sans même parler de la présentation des clés, comme la CRT qui accellere les calculs mais affaiblit l'ensemble vu les clés dérivées à garder...

De toute façon, une vulnérabilité est une back-door involontaire, et on ne peut pas vraiment dire que les produits MS en sont exempts. Comment ils ont chopés les auteurs de virus philipins l'an dernier ? Pour moi, une vulnérabilité plus ou moins volontaire cachée et patchée plus de 6 mois après sa découverte publique, c'est une back-door d'un point de vue fonctionnel. Et là on a des exemples très précis autours du Media Player ou d'IE ou d'Outlook...

Bien sur, les restrictions sont mises à jour suivant le rythme d'augmentation de la puissance de cassage de la NSA... Et je dirais même que c'est suivant les recommendations de la NSA que ces restrictions sont définies.

tu admets donc la key escrow. enfin ! alleluia ! c'est toujours ça de pris ;)

sinon personne ne va se fatiguer à imposer de la key-escrow sur un gadget qui n'en vaut pas le coup, OK.

mais alors, on peut pas dépasser les 40 bits quand on est pas américain ?

J'ai jamais dit ça. merci pour le men in black, je suis un parano ou un fou furieux, c'est ça ? MS n'a jamais été pris en flagrant délit de mensonge éhonté ? Plus d'une fois !

Effectivement les matheux de la NSA mériteraient le Nobel, mais comme tout reste classé nada : sur les S-box du DES, la communauté des cryptographes a publiée 10 ans après sa conception les raisons d'une des modifications demandée par la NSA lors de cette même conception , et on considère encore que leurs recherches mathématiques ont toujours une décénie d'avance sur ce qui est public. Donc oui ils sont forts, bien plus que tu ne penses. Ces derniers 6 mois ont été plutôt instructifs en la matière, on estime desormais que le 512 bits RSA n'est même plus sur...

Le seul argument en ta faveur serait que les services cryptos offerts par Windows seraient tous en deça de ce que la NSA sait déjà casser. C'est pas impossible.

Enfin c'est de la crypto, les failles ne sont pas forcement dans le code, mais aussi dans les postulats mathématiques utilisés et là c'est independant de toute pateforme ou code, il existe en fait plusieurs algos RSA plus ou moins fragiles.

Et qui utilisait de la crypto 40 bits ? Pas besoin de key escrow ou de back-door pour casser du 40 bits... Ca fait lontemps que la NSA sait casser du 40 bits DES à la volée, reveille toi. Là je cromprends que tu n'es pas cryptographe et c'est tout.

Pourtant un algo de key-escrow qui remplace RSA

Ca ne marche pas comme ça... Ca n'a rien à voir avec les algos ou le code... C'est au niveau des clés que ça se passe. Il n'y a pas pire sourd que celui qui ne veut pas entendre.

http://www.google.com/search?q=key+escrow+microsoft+windows&sou(...) donne :

http://www.techweb.com/wire/story/TWB19990518S0004(...)
http://www.cnn.com/TECH/computing/9909/03/windows.nsa.02/(...)
http://www.cdmag.com/Home/home.html?article=/articles/022/122/micro(...)

http://www.google.com/search?hl=en&lr=&ie=ISO-8859-1&q=(...) donne :

http://csrc.nist.gov/keyrecovery/september_issues_mtg/(...) (le NIST est un institut de normalisation US...)
extrait :

the Administration announced its proposal to permit the ready export of software encryption provided that the products use algorithms with key space that does not exceed 64 bits and the key(s) required to decrypt messages/files are escrowed with approved escrow agents

http://www.itpapers.com/cgi/PSummaryIT.pl?paperid=5909&scid=94(...)
http://www.eff.org/Privacy/Crypto/Key_escrow/(...)
http://www.epic.org/crypto/key_escrow/(...)
http://www.epic.org/crypto/key_escrow/nist_notices.html(...)

enfin bref je délire... ben non, ce genre de trucs c'est mon job et le tien c'est de faire des rustines sur un truc dont tu n'as pas accès au quart des sources, en plus tu n'es pas neutre mais parti pris vis à vis de ton employeur par contrat donc qui d'entre nous deux ment ? quel serait mon interêt ?

mais ne jouons pas sur les mots, ce n'est pas de la back door à proprement parler, mais de l'"escroquerie à la clé", même avec le source tu ne verrais rien, et comme ce n'est pas toi le tiers de "confiance" (humpf) tu n'en sais rien. sauf que la mise en place de cette saloperie date déjà de 1995 et Lotus s'était fait chopé en Europe avec Notes... c'est lié à Echelon, et rappelez vous comment l'existence d'Echelon était démenti il y a encore 2 ou 3 ans...

Quand aux LL, explique donc pourquoi il existe toujours des packages NON-US ? Hum, ben pourquoi ? Et si MS n'a pas été démantelé, c'est bien qu'il y a des arrengements non plublics (comme toujours d'ailleurs...), alors que je vois mal les devs du LL proches de la FSF, l'EFF ou EPIC coopérer avec le flicage US ;)

Un protocole (fatalement crypté) et une API restent secrets pour des raisons de "sécurité"... N'oubliez jamais que les produits américains ont des obligations légales face à l'exportation, dont une certaine non publique apellée "key-escrow" (surement liée à la fameuse NSA_KEY qui n'existe pas bien sur). Donc la sécurité en question, ce n'est surement pas celles des usagers...

NTFS, c'est de la blague à coté des contraintes exercées par FBI/NSA/CIA en terme back-door(qui n'existe pas bien sur).

C'est un vrai pro Fabien alors !
On pourrait faire appel à lui pour qu'il nous code un truc qui marche nickel pour DFLP alors ? Nan pasque le freeboard d'ici il a tendance à merder donc si on pouvait avoir le même ça serait génial ! Tu as ses coordonnées de ce Fabien ?

C'est pas une connerie qu'il a sorti, c'est toi le FUDeur professionnel. D'ailleurs légalement en matière de publication tu dois dire à tes lecteurs que tu es un employé de la firme dont il est question, question de déontologie. OK vous ne savez pas bien ce que c'est, la déontologie.

Pour la "key escrow" cf articles sur des sites comme cryptome et co.

Ils sont bien les gens de KDE, ils ne rentrent pas dans le troll, non non, ils appelent ça des mythes ! Sont sérieux quoi.

Mais non c'est le paradis ! Ha mais on s'en rapproche alors...

Le 11 septembre n'est qu'un alibi, sans le 911 les choses se dérouleraient probablement de la même façon, peut-être plus lentement, et encore... les premières attaques ont eu lieu bien avant le 9/11, bien avant...

Je suis septique devant cette non pas première démarche, où sont passés le FDI, IRIS, etc ? Tout un tas d'assoces plus ou moins affiliées à l'état et aux groupes privés IT, donc les objectifs sont plus ou moins inclus dans ces derniers là. Une de plus, une meta-assoce, mais là aussi c'est pas la première... On ne compte plus les regroupements et les pétitions !

On peut dire quand même que ce regroupement se fait à un étage supérieur par rapport aux précédents, en sera-t-il plus efficace pour autant ?

"pince sans rire, en replaçant son noeud papillon"

C'est aussi au niveau de nos comportements personnels que ça se joura... Cf l'efficacité de la CNIL... le pire c'est que c'est presque une référence mondiale...

Moi ça ne me choque pas. C'est même évident.

<mes_lectures>
Il n'y a pas un bouquin d'un pédagogue qui vient de sortir justement à propos des maths et de ce genre de problèmes d'apréhension/intuition ? Suite de la polémique "les nouvelles mathématiques et l'école"...
Du style 1+1=11 c'est plus juste pour un gamin de 5 ans, comme B+A=BA...
</mes_lectures>

Raaaahhhh !

J'essaye encore, c'est la dernière :

Où ai-je écris "ouiinnn ils vont tester..." ? C'est toi qui l'ajoute le sous-entendu, la connotation elle vient de toi ! Je fais juste la remarque, et c'est une info public, publiée ! Moi j'en ai rien à foutre, un truc que je n'ai jamais utilisé en plus...

Je ne pirate pas, puisque tu sembles le croire, la raison est simple : à part troller ici je fais plus rien, j'aime pas les jeux, la glande c'est ce qu'il y a de meilleur pour la santé. point final.