Papier 2008 de Stephane Manuel qui laisse espérer une attaque en 2^51 : http://eprint.iacr.org/2008/469.pdf Repris ici par McDonald1,Hawkes,Pieprzyk pour une attaque plus concrète en 2^52 : http://www.ictlex.net/wp-content/iacrhash.pdf Mais annulé ensuite : http://eprint.iacr.org/2009/259 The cost evaluation for point 2 above was reported by Manuel in November 2008. We have recently discovered this evaluation to be incorrect […]
Affichage des articles dans Pki
Les 25 failles les plus courantes du développement logiciel : http://www.h-online.com/security/news/item/Top-25-most-dangerous-mistakes-in-software-development-1270230.html Le 10 valeurs de PIN les plus couramment choisies par les utilisateurs représentent 15% du total : http://bigbrowser.blog.lemonde.fr/2011/06/14/espionnage-les-10-mots-de-passe-de-telephone-les-plus-courants/ La justice américaine estime qu’un login/mot de passe est un niveau de sécurité suffisant pour une banque. Et vos yeux pour pleurer s’ils sont détourné : […]
Description de l’outils : http://secgroup.ext.dsi.unive.it/projects/security-apis/pkcs11-security/tookan/ L’essentiel du problème : Un clé privé qu’il est interdit d’extraire du boitier peut malgré tout être « wrappée » avec une autre clé secrète présente sur le boitier, pour être exportée sous une forme chiffrée qui permet seulement de la réimporter plus tard dans le boitier. Or les spécifications du PKCS#11 […]
L’UE publie la liste d’AC de confiance suivante. Les critères de sélection ne sautent pas aux yeux au premier abord : http://ec.europa.eu/information_society/policy/esignature/eu_legislation/trusted_lists/index_en.htm
http://www.scribd.com/doc/51143720/12/La-carte-bancaire-BO’ La sécurité des cartes à puce en question : un certain Anie Nomat – affirme que ces clefs, d’une longueur de 320 bits, sont utilisées par les cartes bancaires et seraient celles découvertes, il y a trois ans, par Serge Humpich. La carte bancaire française migre en renâclant vers le standard EMV Apparemment les […]
L’enrollement dans les dernières générations de Windows, son futur : http://channel9.msdn.com/posts/Certificate-Enrollment-Concepts-and-Protocols-2010
Proposition par Kaie Engert : http://kuix.de/mozilla/sslauth/ Bug bugzilla : https://bugzilla.mozilla.org/show_bug.cgi?id=396441 Et chrome (mais poussé de l’extérieur) http://code.google.com/p/chromium/issues/detail?id=29784 Voir le groupe webid du w3c : http://www.w3.org/2005/Incubator/webid/charter et comment devenir invited expert pour participer : http://www.w3.org/2004/08/invexp.html
Bug : https://bugzilla.mozilla.org/show_bug.cgi?id=360420 https://wiki.mozilla.org/CA:Comodo_Misissuance_Response#OCSP Summer project : https://wiki.mozilla.org/Community:SummerOfCode11#NSS_.28Network_Security_Services_library.29 Info sur l’OCSP stapling multiple : http://ammarhasayen.wordpress.com/2008/04/22/ocsp-stapling-and-tls-1-0-extensions/ Le draft : http://tools.ietf.org/html/draft-pettersen-tls-ext-multiple-ocsp-02 La RFC pour le stapling simple : http://tools.ietf.org/html/rfc6066#section-8 L’extension existante status request — SCVP La RFC suivante sur l’insertion d’autre chose qu’une CRL dans un CMS est intéressante (ocsp/scvp) http://tools.ietf.org/html/rfc5940 Les options pour améliorer la révocation […]
https://developer.mozilla.org/devnews/index.php/2011/03/22/firefox-3-6-16-and-3-5-18-security-updates-now-available/ http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/ « This issue was reported to us by the Comodo Group » https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion
Microsoft fait disparaitre CardSpace : http://blogs.msdn.com/b/card/archive/2011/02/15/beyond-windows-cardspace.aspx au profit de U-Prove : https://connect.microsoft.com/site1188 Ca fait jaser http://www.craigburton.com/?p=3128 Kim Cameron […] proposed […] an Identity Metasystem—based on CardSpace—that has no peer. Thus the Identity Metasystem is the industry initiative to create open selector-based digital identity framework. […] The Pamela Project, XMLDAP, Higgins Project, the Bandit Project, and […]
Nelson : The mp_int bignum package API is so frozen as to have become something of a standard of its own. There are now at least 3 different implementations known to me that are all API compatible, differing only in the content of the (opaque) mp_int structure itself. Documentation : http://plan9.escet.urjc.es/magic/man2html/2/mp Routines that return an […]
Un lxr qui indexe le source d’openssl : http://lxr.post-tech.com/source/external/openssl
Ce qui est supporté, ce qui marche, et ce qui ne marche pas : http://blogs.technet.com/b/pki/archive/2011/02/08/common-questions-about-sha2-and-windows.aspx Objectif Microsoft avec Windows XP SP3 : Faire fonctionner le SSL client en sha-2; et pas forcément beaucoup plus.
Ses réflexion autour du sujet : http://dankaminsky.com/category/security/ La Curve25519 pour transmettre des données de signature sur DNS de la manière la plus légère possible : http://cr.yp.to/ecdh.html
Sympathique démonstration graphique : http://lapo.it/asn1js/ Un source simple et efficace ici : http://www.geocities.co.jp/SiliconValley-SanJose/3377/asn1JS.js http://www.geocities.co.jp/SiliconValley-SanJose/3377/asn1JS.html Repris et modifié ici : https://ziyan.info/2008/10/javascript-rsa/ http://ziyan.info/exibits/javascript-rsa/login.html Une version plus complète : http://www9.atwiki.jp/kurushima/pub/jsrsa/
Législation sur le chiffrement : Il n’y a en France aucune obligation de déposer ses clés privés auprès d’un séquestre, mais par contre celle d’être capable de révéler ses clés secrètes de par l’article 434-15-2 du code pénal (entraves à l’exercice de la justice) : http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=EB7080B44CCB663F7207C394F9EFC807.tpdjo15v_1?idArticle=LEGIARTI000006418646&cidTexte=LEGITEXT000006070719 Est puni de trois ans d’emprisonnement et de 45 […]
Des réflexions anciennes sur le sujet : http://tools.ietf.org/id/draft-ietf-pkix-technr-03.txt
Une page qui suit toutes les attaques envisagées contre AES, et les pistes vers des éléments qui pourraient être faibles : http://www.cryptosystem.net/aes/
Commentaires