Alors maintenant, donnez-moi le message en clair... Et puis, vous pourrez faire vos commentaires :-)
Ce n'est pas parce qu'il n'est pas possible de casser *un* exemple (court) que ça veut dire que le système est incassable. Le problème avec un algo (et une clef) de chiffrement, c'est de tenir sur la durée, en particulier quand au bout d'un moment celui qui observe peut commencer à avoir une vague idée de certains éléments du message clair...
Ceci étant dit, les algos utilisés semblent raisonablement surs, si Clipsecure ne fait pas de bourde énorme dans leur utilisation, ça devrait effectivement être difficile à casser.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 17 Dec 2003 01:27:46 -0800, Salus <salus1@netcourrier.com> wrote:
Alors... vous qui etes si malins.
[...]
Alors maintenant, donnez-moi le message en clair... Et puis, vous
pourrez faire vos commentaires :-)
Ce n'est pas parce qu'il n'est pas possible de casser *un* exemple (court)
que ça veut dire que le système est incassable. Le problème avec un algo
(et une clef) de chiffrement, c'est de tenir sur la durée, en particulier
quand au bout d'un moment celui qui observe peut commencer à avoir une
vague idée de certains éléments du message clair...
Ceci étant dit, les algos utilisés semblent raisonablement surs, si
Clipsecure ne fait pas de bourde énorme dans leur utilisation, ça devrait
effectivement être difficile à casser.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Alors maintenant, donnez-moi le message en clair... Et puis, vous pourrez faire vos commentaires :-)
Ce n'est pas parce qu'il n'est pas possible de casser *un* exemple (court) que ça veut dire que le système est incassable. Le problème avec un algo (et une clef) de chiffrement, c'est de tenir sur la durée, en particulier quand au bout d'un moment celui qui observe peut commencer à avoir une vague idée de certains éléments du message clair...
Ceci étant dit, les algos utilisés semblent raisonablement surs, si Clipsecure ne fait pas de bourde énorme dans leur utilisation, ça devrait effectivement être difficile à casser.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Jean-Marc Desperrier
Jacques Caron wrote:
Ceci étant dit, les algos utilisés semblent raisonablement surs, si Clipsecure ne fait pas de bourde énorme dans leur utilisation, ça devrait effectivement être difficile à casser.
Si la passe phrase ne fait que quelques caractères, la force brute devrait casser cela assez facilement. Reste à voir la définition de "quelques caractères", une douzaine bien aléatoires suffisent pour avoir quelque chose de tout à fait solide.
Le mélange MD5/cipher 256 bits est surprenant, il me semble que le SHA512 a été créé justement du fait du besoin sur le hash de faire pendant en taille aux algos de chiffrement 256 bis.
Par ailleurs, ce type de cas ressemble beaucoup au cas où l'on souhaite en réalitée chiffrer des données d'un logiciel automatiquement, et la clé privée doit être dans le logiciel, donc quelque soit la solidité de l'algo un peu de reverse engineering suffit pour déchiffrer facilement.
Jacques Caron wrote:
Ceci étant dit, les algos utilisés semblent raisonablement surs, si
Clipsecure ne fait pas de bourde énorme dans leur utilisation, ça
devrait effectivement être difficile à casser.
Si la passe phrase ne fait que quelques caractères, la force brute
devrait casser cela assez facilement.
Reste à voir la définition de "quelques caractères", une douzaine bien
aléatoires suffisent pour avoir quelque chose de tout à fait solide.
Le mélange MD5/cipher 256 bits est surprenant, il me semble que le
SHA512 a été créé justement du fait du besoin sur le hash de faire
pendant en taille aux algos de chiffrement 256 bis.
Par ailleurs, ce type de cas ressemble beaucoup au cas où l'on souhaite
en réalitée chiffrer des données d'un logiciel automatiquement, et la
clé privée doit être dans le logiciel, donc quelque soit la solidité de
l'algo un peu de reverse engineering suffit pour déchiffrer facilement.
Ceci étant dit, les algos utilisés semblent raisonablement surs, si Clipsecure ne fait pas de bourde énorme dans leur utilisation, ça devrait effectivement être difficile à casser.
Si la passe phrase ne fait que quelques caractères, la force brute devrait casser cela assez facilement. Reste à voir la définition de "quelques caractères", une douzaine bien aléatoires suffisent pour avoir quelque chose de tout à fait solide.
Le mélange MD5/cipher 256 bits est surprenant, il me semble que le SHA512 a été créé justement du fait du besoin sur le hash de faire pendant en taille aux algos de chiffrement 256 bis.
Par ailleurs, ce type de cas ressemble beaucoup au cas où l'on souhaite en réalitée chiffrer des données d'un logiciel automatiquement, et la clé privée doit être dans le logiciel, donc quelque soit la solidité de l'algo un peu de reverse engineering suffit pour déchiffrer facilement.
salus1
Autrement dit, sans code source, ce programme ne vaut rien.
Salus
Autrement dit, sans code source, ce programme ne vaut rien.
Autrement dit, sans code source, ce programme ne vaut rien.
Salus
Jean-Marc Desperrier
Salus wrote:
Autrement dit, sans code source, ce programme ne vaut rien.
Je n'ai pas dit cela précisément. Comme tu as dis au départ sans utiliser de clé publique, tout le monde a supposé que tu voulais dire sans utiliser de clé, et là tu ne peux rien faire de sérieux.
Mais si tu es prêt à utiliser un mot de passe externe, tu peux faire quelquechose d'aussi solide que ce mot de passe.
Ca serait mieux avec un logiciel open source, cependant si Clipsecure utilise les techniques standards pour dériver une clé de ton mot de passe et chiffrer, on peut vérifier étape par étape comment il fait et donc vérifier qu'il n'y a pas de faille. Sauf s'il y avait une back door où il stockerait une copie de ton mot de passe dans un coin, mais on peut vérifier aussi avec les outils adéquats qu'il n'écrit rien sur le disque. Donc on peut vérifier sa sécurité pour ce cas, car il ne génére pas de clé, mais dérive du mot de passe et que ça c'est un truc qu'on peut valider de l'extérieur. Ca demande du boulot, mais au fond même si on a les sources, faut là aussi les relire entièrement pour être vraiment sûr.
Salus wrote:
Autrement dit, sans code source, ce programme ne vaut rien.
Je n'ai pas dit cela précisément.
Comme tu as dis au départ sans utiliser de clé publique, tout le monde a
supposé que tu voulais dire sans utiliser de clé, et là tu ne peux rien
faire de sérieux.
Mais si tu es prêt à utiliser un mot de passe externe, tu peux faire
quelquechose d'aussi solide que ce mot de passe.
Ca serait mieux avec un logiciel open source, cependant si Clipsecure
utilise les techniques standards pour dériver une clé de ton mot de
passe et chiffrer, on peut vérifier étape par étape comment il fait et
donc vérifier qu'il n'y a pas de faille. Sauf s'il y avait une back door
où il stockerait une copie de ton mot de passe dans un coin, mais on
peut vérifier aussi avec les outils adéquats qu'il n'écrit rien sur le
disque. Donc on peut vérifier sa sécurité pour ce cas, car il ne génére
pas de clé, mais dérive du mot de passe et que ça c'est un truc qu'on
peut valider de l'extérieur. Ca demande du boulot, mais au fond même si
on a les sources, faut là aussi les relire entièrement pour être
vraiment sûr.
Autrement dit, sans code source, ce programme ne vaut rien.
Je n'ai pas dit cela précisément. Comme tu as dis au départ sans utiliser de clé publique, tout le monde a supposé que tu voulais dire sans utiliser de clé, et là tu ne peux rien faire de sérieux.
Mais si tu es prêt à utiliser un mot de passe externe, tu peux faire quelquechose d'aussi solide que ce mot de passe.
Ca serait mieux avec un logiciel open source, cependant si Clipsecure utilise les techniques standards pour dériver une clé de ton mot de passe et chiffrer, on peut vérifier étape par étape comment il fait et donc vérifier qu'il n'y a pas de faille. Sauf s'il y avait une back door où il stockerait une copie de ton mot de passe dans un coin, mais on peut vérifier aussi avec les outils adéquats qu'il n'écrit rien sur le disque. Donc on peut vérifier sa sécurité pour ce cas, car il ne génére pas de clé, mais dérive du mot de passe et que ça c'est un truc qu'on peut valider de l'extérieur. Ca demande du boulot, mais au fond même si on a les sources, faut là aussi les relire entièrement pour être vraiment sûr.
