Search: [chiffrement] - Les Partages de Memiks

Attention PGP Users: New Vulnerabilities Require You To Take Action Now | Electronic Frontier Foundation https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now

Mon May 14 17:46:53 2018

Our advice, which mirrors that of the researchers, is to immediately disable and/or uninstall tools that automatically decrypt PGP-encrypted email. Until the flaws described in the paper are more widely understood and fixed, users should arrange for the use of alternative end-to-end secure channels, such as Signal, and temporarily stop sending and especially reading PGP-encrypted email.

ZATAZ Magazine » Des pirates se sont invités dans l’outil de sécurité LastPass http://www.zataz.com/des-pirates-se-sont-invites-dans-loutil-de-securite-lastpass/

Wed Jun 17 23:57:26 2015

Il a dit lui même que le fichier est Chiffré avant d'être envoyé sur owncloud... ou est le souci ?

"au tiens une brique, je suis sur qu'il y a des mots de passes dedans"

punaise sauf avis contraire:

serveur perso = plus faible attrait pour les hackers en tout cas pas ceux qui te cherchent personnellement
chiffrage : par ex GPG, avec une bonne clé -> n'a encore jamais été cassé officiellement (je ne parle pas de baisse d'entropie ou de biais lors du chiffrement hein !)

donc OUI son serveur est mieux sécurisé !

Une autre raison de contester le forcage à HTTPS - Liens en vrac de sebsauvage http://sebsauvage.net/links/?6BWKTw

Tue May 12 15:22:41 2015

Je ne suis pas tout à fait d'accord avec toi Seb.

Car tu peux très bien autosigner un certificat, ou te faire délivrer un certificat par une autorité qui elle prone la liberté d'expression (même si il n'y en a pas encore à ma connaissance).

Et puis rien n'empeche d'ajouter une autorité de certification Tor dans le bundle Tor pour que des sites https via tor puisse utilisé un certificat dérivé.

Par contre ce qui me chagrine le plus c'est que cela soit plus de la poudre au yeux pour que les gens se "croient" en sécurité.

En HTTPS TOUTES les connections partagent le même certificat, ce que je veux dire c'est qu'il "suffit" d'enregistrer les flux chiffrés et de mettre la main (avant ou après) sur la clé privé du serveur. et tu peux TOUT déchiffré.
(sauf pour le forward secrecy je crois mais faut que je vérifie)

Cela ne remplacera pas un échange de clés de chiffrement pour chaque connection, en tout cas ce n'est pas aussi sécurisé....

Bref, laissez faire, la NSA n'aura qu'a se contenter des méta donnés, pour faire le tri dans les enregistrements de flux et cibler les attaques vers les serveurs intéressant pour récupérer la clé.

Tiens, je me demande si il ne serait pas possible de générer une négociation avec un flux d'entrée connu afin de pouvoir faire une analyse statistique du résultat afin d'avoir des infos sur la clé (comme l'entropie utilisée...) ?

Julian Assange: Debian Is Owned By The NSA - CAFAI Liens en Vrac https://shaarli.cafai.fr/?y95kWg

Wed Apr 9 15:12:47 2014

Aucune distribution n'est à l'abri...

Si ce sont les librairies comme OpenSSL / OpenSSH / OpenGPG qui sont corrompu...
Toutes les distributions les utilisent.

Par contre on peut mettre en place un "bruit de fond" en chiffrant TOUTES les données afin de les obliger à acheter en masse des supercalculateurs (et du coup cela se verra sur les factures ;) ).
Et surtout les obliger à "perdre du temps" en déchiffrant tout...

Je pense que la solution vient de la masse critique a atteindre pour que le gain à nous écouter soit plus faible que celui du cout à mettre en place pour cela.

Links per page

Filters