La Billetterie

Un peu de tout saupoudré délicatement

Affichage des articles dans Sécurité

Une JRE pour OpenSSL : sourceforge – SCM Repositories – openssl-java Suivant la solution classique avec sunPkcs#11 : gpkcs11 – GNU PKCS#11 implementation

Un site sur les longueur de clé des algorithmes symétriques et asymétriques, la manière de les comparer, et divers standard utilisable comme référence à ce sujet : http://www.keylength.com/en/compare/

Le site : http://backplanex.com/ : placed together on a web page, Backplane-compliant applications share user identity and other information, seamlessly, regardless of their source. Poussé par : Echo and Janrain Announce Backplane Protocol 2.0 Un peu de contexte pour ce protocole backbone de communication entre appli javascript chargées sur une même page : Backplane Protocol […]

Un format de document intéressant avec l’option signature dSig *et* chiffrement xml enc. Concu pour le iBook, mais pourquoi pas l’utiliser pour autre chose ? : wikipedia Epub EPUB Open Container Format (OCF) 3.0 : METAINF/signature.xml EPUB Open Container Format (OCF) 3.0 – Recommended Specification 11 October 2011 Adobe Acrobat Navigator / Universal Container Format […]

From mozilla.dev.security.policy : – the relevant extension coding techniques in Mozilla are: * Use the observer-service to register a « http-on-examine-response » observer. * When you observe this event, use channel.QueryInterface(Ci.nsIHTTPChannel) to get the HTTP channel from it * Pull the securityInfo attribute of that channel * Use QueryInterface(nsISSLStatusProvider) on the securityInfo to access the SSL data […]

Exposées ici : Clubic : Des experts dévoilent deux vulnérabilités concernant Google Wallet PC INpact : Le code PIN de Google Wallet peut être trouvé sur un smartphone rooté L’actualité sur le sujet chez Android France Les deux points faibles donc : – le hash du PIN est stocké et protégé uniquement par la sécurité […]

Ce papier retrace 3 cas où des espions cubains ont été intercepté par le FBI, et comment celui ci a récupéré leurs message chiffré par OTP : http://users.telenet.be/d.rijmenants/papers/cuban_agent_communications.pdf Cela illustre bien qu’en pratique la difficulté d’utilisation de l’OTP conduit à une système qui n’est pas sûr. L’article s’interroge longuement sur pourquoi les cubains ont sacrifié […]

Le sujet bouge actuellement : Les spec de DOMCryptAPI dans WiMo Au niveau du W3C : Web Cryptography Working Group Charter Il y a aussi le groupe JOSE : Javascript Object Signing and Encryption (Active WG) à l’IETF MDN : window.crypto a gagné une référence à ce sujet. Jungshik s’exprime à ce sujet : [whatwg] […]

Dans XML enc 1.1 : http://www.w3.org/TR/xmlenc-core1/#sec-AES-GCM Description du mode : http://www.cryptopp.com/wiki/GCM_Mode Le doc de référence du NIST : http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf Papier sur la manière de l’optimiser : http://cryptojedi.org/papers/aesspeed-20080926.pdf (il parait que le mieux est AES NI) papiers avec les vecteurs de test http://siswg.net/docs/gcm_spec.pdf

http://www.reuters.com/article/2012/02/02/us-hacking-verisign-idUSTRE8110Z820120202 L’affirmation qu’en fait absoluement rien n’a été compromis laisse mal à l’aise : « on fait une annonce mais en fait il n’y a rien derrière  » ?

Une présentation intéressante du sujet (apparemment un peu datée) et de son utilisation dans l’aéronautique ainsi que le nucléaire pour du développement certifié : http://www-sop.inria.fr/intech/embarques/verimag_overview.pdf On remarquera qu’on ne parle pas du tout du monde UML, etc. ?

Le moteur de recherche suivant permet de trouver des équipements vulnérables qui sont en ligne : http://www.shodanhq.com/

Les tickets : http://rt.openssl.org/Ticket/Display.html?id=2092 http://rt.openssl.org/Ticket/Display.html?id=1940 http://rt.openssl.org/Ticket/Display.html?id=2093 Présent dans openssl 1.0 release ?

Le rapport suivant indique les motifs de l’arrêt du projet : http://articles.economictimes.indiatimes.com/2011-12-16/news/30525319_1_aadhaar-uid-scheme-data-protection En gros en passage en force, sans prise en compte des risques de fuite de données, ni place laissé au parlement indien pour l’évaluer. Par ailleurs le NIST a publié un papier remettant en cause l’efficacité des tests sur la qualité des mesures […]

Custom Message Logging Listener logKnownPii=true (Getting client IP) Security Concerns for Message Logging Windows Communication Foundation Privacy Information Doit être autoriser dans la platforme .Net en tant qu’administrateur de la machine.

Description générale : http://www.w3.org/QA/2011/10/some_notes_on_the_recent_xml_e.html C’est très astucieux en fait quand on lit la description compléte (voir en rappel la description du fonctionnement de CBC): http://www.nds.rub.de/media/nds/veroeffentlichungen/2011/10/22/HowToBreakXMLenc.pdf et c’est assez applicable à CBC en général, il suffit de pouvoir modifier une partie du flux sans que ce soit immédiatement détectable, et d’avoir accès à un oracle sur […]

Le papier à la base de convergence.io : http://www.usenix.org/event/usenix08/tech/full_papers/wendlandt/wendlandt.pdf Eux restent prudents : Because probing by network notaries does not protect against all possible network attacks, we expect that highly sensitive services like bank or large e-commerce websites will continue to use heavyweight PKI mechanisms Moxie sur le sujet : http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity http://lockboxx.blogspot.com/2011/09/convergenceio.html

Je doute un peu que les imprimantes 3D soit à court terme rentable pour reproduire beaucoup d’objet, à mon avis entre le coût de la copie et l’écart de qualité par rapport à l’original, c’est pas gagné. Mais sur les clés, la question se pose franchement. Et en fait cela existe déjà. Pas exactement une […]

http://galera.ii.pw.edu.pl/docs/Snacc4Java/classdoc/ http://www.trl.ibm.com/projects/xml/xss4j/docs/axt-install.html Code source ancienne version Apache : http://svn.apache.org/repos/asf/directory/deceased/pre-m2/asn1-0.3.3/ http://mvnrepository.com/artifact/org.apache.directory.shared/shared-asn1 Projet open source : http://asn1forj.sourceforge.net/ Free compiler : http://sourceforge.net/projects/jac-asn1/ Classe apache harmony : http://harmony.apache.org/subcomponents/classlibrary/asn1_framework.html http://www.monfox.com/dtmn/java-asn1-api.html Liste d’outils : http://www.itu.int/ITU-T/asn1/links/index.htm http://www.google.fr/search?q=ASN.1+Runtime+Encoding+for+Java&hl=fr&prmd=ivns&ei=8YGATunxIaiB4ATkscDODg&start=20&sa=N Du source intéressant : TupleTreeAnalyzer.java DecoderMonitor DecoderMonitor sur Koders where can I find the source code of org.apache.directory.shared.asn1.codec.stateful.StatefulDecoder BinaryNotes is the open source ASN.1 (Abstract […]

Une bonne description : http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html Mon commentaire : Thanks for this useful description. One more things : this attack has been several time refereed to as being a plain text attack. But usually plain text attacks are attacks where the comparison between the encrypted and clear text reveals information about the key used, and AES […]