La Billetterie

Un peu de tout saupoudré délicatement

Affichage des articles dans Pki

Une JRE pour OpenSSL : sourceforge – SCM Repositories – openssl-java Suivant la solution classique avec sunPkcs#11 : gpkcs11 – GNU PKCS#11 implementation

Un site sur les longueur de clé des algorithmes symétriques et asymétriques, la manière de les comparer, et divers standard utilisable comme référence à ce sujet : http://www.keylength.com/en/compare/

Un format de document intéressant avec l’option signature dSig *et* chiffrement xml enc. Concu pour le iBook, mais pourquoi pas l’utiliser pour autre chose ? : wikipedia Epub EPUB Open Container Format (OCF) 3.0 : METAINF/signature.xml EPUB Open Container Format (OCF) 3.0 – Recommended Specification 11 October 2011 Adobe Acrobat Navigator / Universal Container Format […]

From mozilla.dev.security.policy : – the relevant extension coding techniques in Mozilla are: * Use the observer-service to register a « http-on-examine-response » observer. * When you observe this event, use channel.QueryInterface(Ci.nsIHTTPChannel) to get the HTTP channel from it * Pull the securityInfo attribute of that channel * Use QueryInterface(nsISSLStatusProvider) on the securityInfo to access the SSL data […]

Exposées ici : Clubic : Des experts dévoilent deux vulnérabilités concernant Google Wallet PC INpact : Le code PIN de Google Wallet peut être trouvé sur un smartphone rooté L’actualité sur le sujet chez Android France Les deux points faibles donc : – le hash du PIN est stocké et protégé uniquement par la sécurité […]

Ce papier retrace 3 cas où des espions cubains ont été intercepté par le FBI, et comment celui ci a récupéré leurs message chiffré par OTP : http://users.telenet.be/d.rijmenants/papers/cuban_agent_communications.pdf Cela illustre bien qu’en pratique la difficulté d’utilisation de l’OTP conduit à une système qui n’est pas sûr. L’article s’interroge longuement sur pourquoi les cubains ont sacrifié […]

Le sujet bouge actuellement : Les spec de DOMCryptAPI dans WiMo Au niveau du W3C : Web Cryptography Working Group Charter Il y a aussi le groupe JOSE : Javascript Object Signing and Encryption (Active WG) à l’IETF MDN : window.crypto a gagné une référence à ce sujet. Jungshik s’exprime à ce sujet : [whatwg] […]

Dans XML enc 1.1 : http://www.w3.org/TR/xmlenc-core1/#sec-AES-GCM Description du mode : http://www.cryptopp.com/wiki/GCM_Mode Le doc de référence du NIST : http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf Papier sur la manière de l’optimiser : http://cryptojedi.org/papers/aesspeed-20080926.pdf (il parait que le mieux est AES NI) papiers avec les vecteurs de test http://siswg.net/docs/gcm_spec.pdf

http://www.reuters.com/article/2012/02/02/us-hacking-verisign-idUSTRE8110Z820120202 L’affirmation qu’en fait absoluement rien n’a été compromis laisse mal à l’aise : « on fait une annonce mais en fait il n’y a rien derrière  » ?

La page avec les spécifications des mini drivers de carte pour le base CSP de Microsoft : http://msdn.microsoft.com/en-us/windows/hardware/gg487500

Les tickets : http://rt.openssl.org/Ticket/Display.html?id=2092 http://rt.openssl.org/Ticket/Display.html?id=1940 http://rt.openssl.org/Ticket/Display.html?id=2093 Présent dans openssl 1.0 release ?

L’exemple qui le fait avec X509v3CertificateBuilder : http://gitblit.googlecode.com/git-history/88598bb2f779b73479512d818c675dea8fa72138/src/com/gitblit/MakeCertificate.java KeyPairGenerator kpGen = KeyPairGenerator.getInstance(« RSA », « BC »); kpGen.initialize(1024, new SecureRandom()); KeyPair pair = kpGen.generateKeyPair(); // Generate self-signed certificate X500NameBuilder builder = new X500NameBuilder(BCStyle.INSTANCE); builder.addRDN(BCStyle.OU, Constants.NAME); builder.addRDN(BCStyle.O, Constants.NAME); builder.addRDN(BCStyle.CN, hostname); Date notBefore = new Date(System.currentTimeMillis() – TimeUtils.ONEDAY); Date notAfter = new Date(System.currentTimeMillis() + 10 * TimeUtils.ONEYEAR); BigInteger serial = BigInteger.valueOf(System.currentTimeMillis()); […]

Description générale : http://www.w3.org/QA/2011/10/some_notes_on_the_recent_xml_e.html C’est très astucieux en fait quand on lit la description compléte (voir en rappel la description du fonctionnement de CBC): http://www.nds.rub.de/media/nds/veroeffentlichungen/2011/10/22/HowToBreakXMLenc.pdf et c’est assez applicable à CBC en général, il suffit de pouvoir modifier une partie du flux sans que ce soit immédiatement détectable, et d’avoir accès à un oracle sur […]

Le papier à la base de convergence.io : http://www.usenix.org/event/usenix08/tech/full_papers/wendlandt/wendlandt.pdf Eux restent prudents : Because probing by network notaries does not protect against all possible network attacks, we expect that highly sensitive services like bank or large e-commerce websites will continue to use heavyweight PKI mechanisms Moxie sur le sujet : http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity http://lockboxx.blogspot.com/2011/09/convergenceio.html

http://galera.ii.pw.edu.pl/docs/Snacc4Java/classdoc/ http://www.trl.ibm.com/projects/xml/xss4j/docs/axt-install.html Code source ancienne version Apache : http://svn.apache.org/repos/asf/directory/deceased/pre-m2/asn1-0.3.3/ http://mvnrepository.com/artifact/org.apache.directory.shared/shared-asn1 Projet open source : http://asn1forj.sourceforge.net/ Free compiler : http://sourceforge.net/projects/jac-asn1/ Classe apache harmony : http://harmony.apache.org/subcomponents/classlibrary/asn1_framework.html http://www.monfox.com/dtmn/java-asn1-api.html Liste d’outils : http://www.itu.int/ITU-T/asn1/links/index.htm http://www.google.fr/search?q=ASN.1+Runtime+Encoding+for+Java&hl=fr&prmd=ivns&ei=8YGATunxIaiB4ATkscDODg&start=20&sa=N Du source intéressant : TupleTreeAnalyzer.java DecoderMonitor DecoderMonitor sur Koders where can I find the source code of org.apache.directory.shared.asn1.codec.stateful.StatefulDecoder BinaryNotes is the open source ASN.1 (Abstract […]

Une bonne description : http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html Mon commentaire : Thanks for this useful description. One more things : this attack has been several time refereed to as being a plain text attack. But usually plain text attacks are attacks where the comparison between the encrypted and clear text reveals information about the key used, and AES […]

Blog sécurité : http://blog.mozilla.com/security/2011/09/27/attack-against-tls-protected-communications/ Bugzilla : https://bugzilla.mozilla.org/show_bug.cgi?id=665814 Disable Java : https://bugzilla.mozilla.org/show_bug.cgi?id=689661

Un site qui permet de retrouver les mot de passe à partir des valeurs de Hash : http://xdecrypt.com/ On peut se demander quelle est la source quand on voit les mdp, c’est certainement pas des choses générées au hasard.

La com de GlobalSign sur l’incident : http://www.globalsign.com/company/press/090611-security-response.html http://techie-buzz.com/tech-news/globalsign-attack-certificate-authority-data-leak.html Twit de Comodo Hacker : http://twitter.com/#!/ichsunx2 h_plaisier Hugo Plaisier @ichsunx2 So you « only » hacked an isolated #GlobalSign webserver. Is this where you found the PK of globalsign.com? deck.ly/~UoiqB 9 Sep ich sun @ichsunx2 ich sun @h_plaisier Hmmm… @GlobalSign, have you ever checked your Japanese web server […]

Poussé par Gutmann, sensé résoudre les problèmes de SRP en terme de scalabilité et sécurité. Basé sur des listes blanches cependant : http://tools.ietf.org/id/draft-gutmann-cms-rtcs-01.txt