Commentaires sur : CipherSaber – Chiffrement en kit http://www.coder-studio.com/blog/ciphersaber-chiffrement-en-kit/ Wed, 21 Jul 2010 13:51:29 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Par : david http://www.coder-studio.com/blog/ciphersaber-chiffrement-en-kit/comment-page-1/#comment-86 david Tue, 18 Aug 2009 13:55:13 +0000 http://www.coder-studio.com/blog/?p=404#comment-86 Dans une certaine même idée il me vient à l'esprit la série des Tiny Encryption Algorithms : The first published version of TEA was supplemented by a second version that incorporated extensions to make it more secure, Block TEA (sometimes referred to as XTEA)[...]. A third version (XXTEA), published in 1998, described further improvements for enhancing the security of the Block TEA algorithm. http://en.wikipedia.org/wiki/Tiny_Encryption_Algorithm contient les liens vers les descriptions des versions. En lisant, il semble que XXTEA est sûr pour être utilisé au même motif que CipherSaber. Par contre sa complexité est un peu plus grande... Dans une certaine même idée il me vient à l’esprit la série des Tiny Encryption Algorithms :
The first published version of TEA was supplemented by a second version that incorporated extensions to make it more secure, Block TEA (sometimes referred to as XTEA)[...].
A third version (XXTEA), published in 1998, described further improvements for enhancing the security of the Block TEA algorithm.
http://en.wikipedia.org/wiki/Tiny_Encryption_Algorithm
contient les liens vers les descriptions des versions.
En lisant, il semble que XXTEA est sûr pour être utilisé au même motif que CipherSaber. Par contre sa complexité est un peu plus grande…

]]> Par : Wett http://www.coder-studio.com/blog/ciphersaber-chiffrement-en-kit/comment-page-1/#comment-85 Wett Tue, 18 Aug 2009 08:36:31 +0000 http://www.coder-studio.com/blog/?p=404#comment-85 Effectivement la crypto ne résoud pas ce genre de problèmes. La stéganographie pourrait être l'objet d'un (tout) autre article, mais je ne connais aucune méthode sûre d'en faire. Et très franchement, je ne suis pas sûr qu'il en exitera une un jour... Du peu que j'en sais, tout reposerait plus ou moins sur le secret de la méthode. Autrement, avec des analyses statistiques des données qui circulent, il est serait facile de repérer un contenu crypté qui ressemblerait beaucoup à du bruit. A moins de le noyer dans un contenu "normal", mais comment en générer en quantité suffisante sans que ce soit louche ? Je crois que la stégano ne peut être viable qu'en échangeant une quantité ultra minime de données. On planque ça dans une photo qu'on joint à un mail banal et pas plus. "Savoir fabriquer soi-même une bombe dans un pays qui l’interdit n’autorise pas plus à s’en servir sans se créer des ennuis." Tout à fait ! Par contre, je me permet de repréciser que la loi ne concerne pas que l'utilisation de la crypto mais aussi son exportation/importation, chose que CipherSaber permet de contourner à petite échelle. Quant au p2p, il serait dommage de réduire la crypto à ça... Et d'ailleurs impossible de réduire la problématique du p2p à la crypto, il manque la question de l'anonymat. Il existe plusieurs solutions, un peu à "l'essai" en ce moment, qui se penchent sur l'échange secret et anonyme de données (allant au delà du simple p2p). Certaines se basent sur des projets de recherche et ont l'air à peu près fiables pour un threat model pas trop oppressant, je pense notamment à Tor. Effectivement la crypto ne résoud pas ce genre de problèmes. La stéganographie pourrait être l’objet d’un (tout) autre article, mais je ne connais aucune méthode sûre d’en faire. Et très franchement, je ne suis pas sûr qu’il en exitera une un jour… Du peu que j’en sais, tout reposerait plus ou moins sur le secret de la méthode. Autrement, avec des analyses statistiques des données qui circulent, il est serait facile de repérer un contenu crypté qui ressemblerait beaucoup à du bruit. A moins de le noyer dans un contenu « normal », mais comment en générer en quantité suffisante sans que ce soit louche ?
Je crois que la stégano ne peut être viable qu’en échangeant une quantité ultra minime de données. On planque ça dans une photo qu’on joint à un mail banal et pas plus.

« Savoir fabriquer soi-même une bombe dans un pays qui l’interdit n’autorise pas plus à s’en servir sans se créer des ennuis. »
Tout à fait ! Par contre, je me permet de repréciser que la loi ne concerne pas que l’utilisation de la crypto mais aussi son exportation/importation, chose que CipherSaber permet de contourner à petite échelle.

Quant au p2p, il serait dommage de réduire la crypto à ça… Et d’ailleurs impossible de réduire la problématique du p2p à la crypto, il manque la question de l’anonymat. Il existe plusieurs solutions, un peu à « l’essai » en ce moment, qui se penchent sur l’échange secret et anonyme de données (allant au delà du simple p2p). Certaines se basent sur des projets de recherche et ont l’air à peu près fiables pour un threat model pas trop oppressant, je pense notamment à Tor.

]]> Par : david http://www.coder-studio.com/blog/ciphersaber-chiffrement-en-kit/comment-page-1/#comment-83 david Mon, 17 Aug 2009 16:37:45 +0000 http://www.coder-studio.com/blog/?p=404#comment-83 Pas de nom pour la propriété de xor dans l'article de Wikipedia, par contre je j'ai trouvée mieux décrite par: (A xor B) xor B = A qui est ce qu'on utilise directement en cryptographie. Concernant l'aspect politique, pour aller plus loin que le site initial, un problème qui me semble majeur est que il n'est pas prévu de cacher que l'on utilise de la cryptographie. Savoir fabriquer soi-même une bombe dans un pays qui l'interdit n'autorise pas plus à s'en servir sans se créer des ennuis. Ceci dit, l'initiative est pertinente, à nous maintenant de ciphersaberiser nos eMule... Pas de nom pour la propriété de xor dans l’article de Wikipedia, par contre je j’ai trouvée mieux décrite par: (A xor B) xor B = A
qui est ce qu’on utilise directement en cryptographie.
Concernant l’aspect politique, pour aller plus loin que le site initial, un problème qui me semble majeur est que il n’est pas prévu de cacher que l’on utilise de la cryptographie. Savoir fabriquer soi-même une bombe dans un pays qui l’interdit n’autorise pas plus à s’en servir sans se créer des ennuis. Ceci dit, l’initiative est pertinente, à nous maintenant de ciphersaberiser nos eMule…

]]>