PDA

Voir la version complète : Topic securite



fefe
06/06/2007, 19h28
On n'en parle pas souvent ici, mais bon c'est pas une raison pour ne pas commencer: http://www.rue89.com/2007/06/06/les-passeports-belges-cryptes-comme-des-passoires

PS: ce n'est pas moqueur vis a vis de nos amis Belges, vu que je suis sur que les Francais n'ont pas fait beaucoup mieux.

Dandu
06/06/2007, 19h33
:D On en apprend des choses

heureusement, j'ai pas de passeport (mais une carte d'identité électronique).

sinon, j'avais lu que les "clés" de certaines Renault avaient le même problème aussi pour l'ouverture (pas crypté, donc facilement copiable)

Lissyx
06/06/2007, 19h55
Intéressant, dandu, t'as des lien ?

Dandu
06/06/2007, 20h30
pour les voitures, non, ça fait un moment que j'avais lu ça et j'ai jamais retrouvé

PeGGaaSuSS
06/06/2007, 22h13
Je vient de découvrir TrueCrypt : http://www.truecrypt.org/

Ca m'a l'air pas mal, j'avait utilisé un systeme similaire mais moin complet et performant y'a quelques années (SecurityBOX de MSI).

braoru
06/06/2007, 22h18
Personnellement j’utilise couramment truecrypt avec mes postes Windows et j’en suis pleinement satisfait. Point de vue performance je le trouve vraiment très bon sans trop de ralentissement voir presque pas pour une utilisation personnel.

claneys
07/06/2007, 09h13
en se précipitant vers le tout électronique, on va faire encore faire des conneries... Rien ne sert de courir...etc etc.

Mais pourquoi les clés de cryptages sont générées à partir de choses connues et pas aléatoirement plutôt? si on part de choses connues c'est donc forcément exploitable donc dangereux. Y'a une raison particulière à cette décision?

r_one
07/06/2007, 09h37
Effectivement j'avais entendu dire que les e-passport belges étaient dépourvus de système d'accès sécurisé BAC (Basic Access Control : génération de d'une clé de chiffrement, d'une clé de MAC et d'un compteur à partir des données de la MRZ écrite sur le passeport --> toute personne avec un accès physique au passeport peut lire les données et c'est prévu par la norme).

l'article est un peu alarmiste, même si c'est pas malin pour les belges d'avoir inclue la signature du titulaire dans les données... En fait si vous avez la doc idoine, vous pouvez lire n'importe quel passeport avec un lecteur RFID compatible avec l'ISO14443 protégé par le BAC si vous avez eu accès aux deux lignes de la MRZ. Oui, Oui, même votre passeport français.
Néanmoins, en général les informations ne sont pas "sensibles" (duplication des informations écrites sur le passeport) et au mieux on peut dupliquer les données mais pas les modifier vu qu'elles sont signées (il y a un PKCS7 dans chaque passeport électronique qui s'occupe de tout ça).
De plus, la signature du titulaire n'est pas considérée comme une donnée sensible dans la norme qui définie les passeports électroniques donc évitons de cracher sur les belges...

enfin si ça peut vous rassurer, votre empreinte digitale, ainsi que la photo de votre iris seront protégés par l'EAC (Extended Access Control : authentification de la puce -- diffie-hellman éventuellement sur courbes elliptiques--, et authentification du lecteur vérification de certificats). Ces données sont absentes des passeports actuels naturellement.

si vous avez des questions comme on dit hein hésitez pas, c'est "un peu" mon taf...

Dandu
07/06/2007, 09h46
On a parfois des trucs bien quand même, hein, genre la carte d'identité électronique

c'est très pratique, si l'administration a le lecteur

en plus, si on a un lecteur à la maison, on peut utiliser directement certain service en ligne, juste avec un code pin.

On peut aussi signer les mails numériquement, mais c'est un peu lourd : faut modifier des paramètres en base de registre, parce que la carte contient pas d'adresse e-mail (logique), donc Outlook et d'autres râlent à la base (ils signent pas sans l'adresse associée)

Yasko
07/06/2007, 12h47
Mais pourquoi les clés de cryptages sont générées à partir de choses connues et pas aléatoirement plutôt? si on part de choses connues c'est donc forcément exploitable donc dangereux. Y'a une raison particulière à cette décision?

C'est le principe de tous les algorithmes de chiffrement dits symétriques (même clé pour chiffrer que pour déchiffrer, AES par exemple), qui utilisent un secret partagé pour déterminer la clé de chiffrement.
Une alternative au partage de ce secret est de transmettre la clé de chiffrement symétrique au moyen d'un protocole de chiffrement asymétrique, qui fonctionne par paire de clé publique / privée (RSA par exemple) et qui ne nécessite pas de secret partagé (mais éventuellement des certificats pour s'assurer de l'authenticité de la clé publique fournie).
Le problème je crois est que les algos asymétriques sont assez gourmants en termes de puissance, et c'est ce qui a du faire qu'il ne l'ont pas utilisé au niveau du passeport électronique.

claneys
07/06/2007, 13h39
Ok merci Yasko

Lissyx
07/06/2007, 16h08
C'est d'ailleurs bien parce que les algos asymétriques sont gourmands qu'on préfère les utiliser pour transmettre le secret partagé et pas tout la communication :)