Comment contredire ceci:
"On ne peut pas faire confiance en AES car il a ete juge comme le
remplacement de DES par le gouvernement americain?" Sous-entendu, ils
savent casser une encryption AES assez rapidement.
Que repondre si la meme personne dit:
"Blowfish est surement meilleur en terme de confiance {par rapport a
AES} car il est dans OpenBSD depuis quelques annees" et que cette meme
personne jure ses Dieux paranoiaques que Blowfish est le seul capable
d'offrir la confidentialite suffisante.
Comment contredire ceci:
"On ne peut pas faire confiance en AES car il a ete juge comme le
remplacement de DES par le gouvernement americain?" Sous-entendu, ils
savent casser une encryption AES assez rapidement.
Que repondre si la meme personne dit:
"Blowfish est surement meilleur en terme de confiance {par rapport a
AES} car il est dans OpenBSD depuis quelques annees" et que cette meme
personne jure ses Dieux paranoiaques que Blowfish est le seul capable
d'offrir la confidentialite suffisante.
Comment contredire ceci:
"On ne peut pas faire confiance en AES car il a ete juge comme le
remplacement de DES par le gouvernement americain?" Sous-entendu, ils
savent casser une encryption AES assez rapidement.
Que repondre si la meme personne dit:
"Blowfish est surement meilleur en terme de confiance {par rapport a
AES} car il est dans OpenBSD depuis quelques annees" et que cette meme
personne jure ses Dieux paranoiaques que Blowfish est le seul capable
d'offrir la confidentialite suffisante.
Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
La personne qui dit ceci est paranoïaque et on ne peut pas contredire
un paranoïaque : si on dit le contraire de ce qu'il pense, c'est qu'on
fait partie du complot.
Par exemple, on peut dire : mais pourquoi faire confiance à une bande
de hackers cosmopolites dont l'effectif change constamment, qui
cultivent le secret comme les boutons d'acné, et sur lesquels
personne n'a de contrôle ?
On peut aussi rajouter : moi, si je veux me faire pirater, je préfère
que ce soit par un méchant connu, identifié, professionnel et de bonne
pointure (le gouvernement américain) que par des étudiants
pseudo-anars qui vivent dans des pays de seconde zone. On a son
standing, tout de même. Et connaître ses ennemis, c'est déjà avoir la
moitié de la victoire.
Dans un programme, on
peut (plus ou moins), mais dans un algorithme on ne peut pas.
La personne qui dit ceci est paranoïaque et on ne peut pas contredire
un paranoïaque : si on dit le contraire de ce qu'il pense, c'est qu'on
fait partie du complot.
Par exemple, on peut dire : mais pourquoi faire confiance à une bande
de hackers cosmopolites dont l'effectif change constamment, qui
cultivent le secret comme les boutons d'acné, et sur lesquels
personne n'a de contrôle ?
On peut aussi rajouter : moi, si je veux me faire pirater, je préfère
que ce soit par un méchant connu, identifié, professionnel et de bonne
pointure (le gouvernement américain) que par des étudiants
pseudo-anars qui vivent dans des pays de seconde zone. On a son
standing, tout de même. Et connaître ses ennemis, c'est déjà avoir la
moitié de la victoire.
Dans un programme, on
peut (plus ou moins), mais dans un algorithme on ne peut pas.
La personne qui dit ceci est paranoïaque et on ne peut pas contredire
un paranoïaque : si on dit le contraire de ce qu'il pense, c'est qu'on
fait partie du complot.
Par exemple, on peut dire : mais pourquoi faire confiance à une bande
de hackers cosmopolites dont l'effectif change constamment, qui
cultivent le secret comme les boutons d'acné, et sur lesquels
personne n'a de contrôle ?
On peut aussi rajouter : moi, si je veux me faire pirater, je préfère
que ce soit par un méchant connu, identifié, professionnel et de bonne
pointure (le gouvernement américain) que par des étudiants
pseudo-anars qui vivent dans des pays de seconde zone. On a son
standing, tout de même. Et connaître ses ennemis, c'est déjà avoir la
moitié de la victoire.
Dans un programme, on
peut (plus ou moins), mais dans un algorithme on ne peut pas.
(Thomas Pornin) wrote in
news:bmol38$sbi$:Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Et aucune raison, à priori, pour que Madrid possède une
équipe de foot meilleure que celle de San Francisco.
pornin@nerim.net (Thomas Pornin) wrote in
news:bmol38$sbi$1@biggoron.nerim.net:
Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Et aucune raison, à priori, pour que Madrid possède une
équipe de foot meilleure que celle de San Francisco.
(Thomas Pornin) wrote in
news:bmol38$sbi$:Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Et aucune raison, à priori, pour que Madrid possède une
équipe de foot meilleure que celle de San Francisco.
Par exemple, on peut dire : mais pourquoi faire confiance à une bande
de hackers cosmopolites dont l'effectif change constamment, qui
cultivent le secret comme les boutons d'acné, et sur lesquels
personne n'a de contrôle ?
Parce que, justement, personne n'a le contrôle sur eux ?
Dans un programme, on
peut (plus ou moins), mais dans un algorithme on ne peut pas.
On ne peut pas, on ne peut pas... En cryptographie, c'est un discours
entendu souvent et peu propice à assurance tout risque au vu de
l'histoire hein !
réaliser :o). Quant au cas des programmes, le plus dur n'est pas d'en
créer (des backdoors), mais de faire en sorte que personne ne les
détecte...
Par exemple, on peut dire : mais pourquoi faire confiance à une bande
de hackers cosmopolites dont l'effectif change constamment, qui
cultivent le secret comme les boutons d'acné, et sur lesquels
personne n'a de contrôle ?
Parce que, justement, personne n'a le contrôle sur eux ?
Dans un programme, on
peut (plus ou moins), mais dans un algorithme on ne peut pas.
On ne peut pas, on ne peut pas... En cryptographie, c'est un discours
entendu souvent et peu propice à assurance tout risque au vu de
l'histoire hein !
réaliser :o). Quant au cas des programmes, le plus dur n'est pas d'en
créer (des backdoors), mais de faire en sorte que personne ne les
détecte...
Par exemple, on peut dire : mais pourquoi faire confiance à une bande
de hackers cosmopolites dont l'effectif change constamment, qui
cultivent le secret comme les boutons d'acné, et sur lesquels
personne n'a de contrôle ?
Parce que, justement, personne n'a le contrôle sur eux ?
Dans un programme, on
peut (plus ou moins), mais dans un algorithme on ne peut pas.
On ne peut pas, on ne peut pas... En cryptographie, c'est un discours
entendu souvent et peu propice à assurance tout risque au vu de
l'histoire hein !
réaliser :o). Quant au cas des programmes, le plus dur n'est pas d'en
créer (des backdoors), mais de faire en sorte que personne ne les
détecte...
Ah non, ça, c'est très facile. Microsoft par exemple en crée sans
arrêt, sans s'en apercevoir et elles ne sont pas toutes immédiatement
détectées.
Et ce n'est pas une boutade, c'est le lot de tout qui développe du
code en quantité, une caractéristique fondamentale du processus de
développement logiciel.
Ah non, ça, c'est très facile. Microsoft par exemple en crée sans
arrêt, sans s'en apercevoir et elles ne sont pas toutes immédiatement
détectées.
Et ce n'est pas une boutade, c'est le lot de tout qui développe du
code en quantité, une caractéristique fondamentale du processus de
développement logiciel.
Ah non, ça, c'est très facile. Microsoft par exemple en crée sans
arrêt, sans s'en apercevoir et elles ne sont pas toutes immédiatement
détectées.
Et ce n'est pas une boutade, c'est le lot de tout qui développe du
code en quantité, une caractéristique fondamentale du processus de
développement logiciel.
Pierre Vandevenne wrote:(Thomas Pornin) wrote in
news:bmol38$sbi$:Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Et aucune raison, à priori, pour que Madrid possède une
équipe de foot meilleure que celle de San Francisco.
Remarque qui n'est cependant pas à prendre au premier degré comme
justifiant d'éviter AES pour utiliser n'importe quoi à la place.
Il y a des gens qui ont appliqué ce raisonnement sur le DES, et tenté de
changer les paramètres pour obtenir une version pas truquée par la NSA.
Et effectivement la NSA avait de meilleurs chercheurs.
De fait, leur algo modifié résistait beaucoup moins bien que l'original
à la cryptanalyse différentielle.
qui ont reçu autant d'attention que rinjdael dans leur analyse, et qui
étaient aussi convaincants : Serpent, TwoFish ou MARS.
Pierre Vandevenne wrote:
pornin@nerim.net (Thomas Pornin) wrote in
news:bmol38$sbi$1@biggoron.nerim.net:
Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Et aucune raison, à priori, pour que Madrid possède une
équipe de foot meilleure que celle de San Francisco.
Remarque qui n'est cependant pas à prendre au premier degré comme
justifiant d'éviter AES pour utiliser n'importe quoi à la place.
Il y a des gens qui ont appliqué ce raisonnement sur le DES, et tenté de
changer les paramètres pour obtenir une version pas truquée par la NSA.
Et effectivement la NSA avait de meilleurs chercheurs.
De fait, leur algo modifié résistait beaucoup moins bien que l'original
à la cryptanalyse différentielle.
qui ont reçu autant d'attention que rinjdael dans leur analyse, et qui
étaient aussi convaincants : Serpent, TwoFish ou MARS.
Pierre Vandevenne wrote:(Thomas Pornin) wrote in
news:bmol38$sbi$:Enfin, il n'y a pas de raison a priori pour que la
NSA ait de meilleurs chercheurs que les autres.
Et aucune raison, à priori, pour que Madrid possède une
équipe de foot meilleure que celle de San Francisco.
Remarque qui n'est cependant pas à prendre au premier degré comme
justifiant d'éviter AES pour utiliser n'importe quoi à la place.
Il y a des gens qui ont appliqué ce raisonnement sur le DES, et tenté de
changer les paramètres pour obtenir une version pas truquée par la NSA.
Et effectivement la NSA avait de meilleurs chercheurs.
De fait, leur algo modifié résistait beaucoup moins bien que l'original
à la cryptanalyse différentielle.
qui ont reçu autant d'attention que rinjdael dans leur analyse, et qui
étaient aussi convaincants : Serpent, TwoFish ou MARS.
Pierre Vandevenne wrote:Ah non, ça, c'est très facile. Microsoft par exemple en crée sans
arrêt, sans s'en apercevoir et elles ne sont pas toutes immédiatement
détectées.
Je parlais des backdoors volontaires.
Et ce n'est pas une boutade, c'est le lot de tout qui développe du
code en quantité, une caractéristique fondamentale du processus de
développement logiciel.
Tu parles plutôt de failles là non ?
Pierre Vandevenne wrote:
Ah non, ça, c'est très facile. Microsoft par exemple en crée sans
arrêt, sans s'en apercevoir et elles ne sont pas toutes immédiatement
détectées.
Je parlais des backdoors volontaires.
Et ce n'est pas une boutade, c'est le lot de tout qui développe du
code en quantité, une caractéristique fondamentale du processus de
développement logiciel.
Tu parles plutôt de failles là non ?
Pierre Vandevenne wrote:Ah non, ça, c'est très facile. Microsoft par exemple en crée sans
arrêt, sans s'en apercevoir et elles ne sont pas toutes immédiatement
détectées.
Je parlais des backdoors volontaires.
Et ce n'est pas une boutade, c'est le lot de tout qui développe du
code en quantité, une caractéristique fondamentale du processus de
développement logiciel.
Tu parles plutôt de failles là non ?
Je parlais des backdoors volontaires.
C'est comme les homicides volontaires ou involontaires, au final, il
y a quand même un cadavre.
Imagine que tu sois le chef des services ultra-secrets machin-chose
et que tu disposes de 10.000.000 de dollars pour entrer dans un
système Windows. Quelle est ta stratégie?
A) tu engages un barbouze qui donne RDV à Bill Gates au Starbucks de
Seattle pour lui remettre 500.000 coupures de 20$ et lui demander
qu'il implémente une faille dans son soft juste pour toi?
B) tu engages 100 types à 100.000 par an pour faire de la recherche de
vulnérabilité sur Windows?
Je sais, A est plus marrant. Mais bon.
Je parlais des backdoors volontaires.
C'est comme les homicides volontaires ou involontaires, au final, il
y a quand même un cadavre.
Imagine que tu sois le chef des services ultra-secrets machin-chose
et que tu disposes de 10.000.000 de dollars pour entrer dans un
système Windows. Quelle est ta stratégie?
A) tu engages un barbouze qui donne RDV à Bill Gates au Starbucks de
Seattle pour lui remettre 500.000 coupures de 20$ et lui demander
qu'il implémente une faille dans son soft juste pour toi?
B) tu engages 100 types à 100.000 par an pour faire de la recherche de
vulnérabilité sur Windows?
Je sais, A est plus marrant. Mais bon.
Je parlais des backdoors volontaires.
C'est comme les homicides volontaires ou involontaires, au final, il
y a quand même un cadavre.
Imagine que tu sois le chef des services ultra-secrets machin-chose
et que tu disposes de 10.000.000 de dollars pour entrer dans un
système Windows. Quelle est ta stratégie?
A) tu engages un barbouze qui donne RDV à Bill Gates au Starbucks de
Seattle pour lui remettre 500.000 coupures de 20$ et lui demander
qu'il implémente une faille dans son soft juste pour toi?
B) tu engages 100 types à 100.000 par an pour faire de la recherche de
vulnérabilité sur Windows?
Je sais, A est plus marrant. Mais bon.
Personnellement, je n'ai pas trouvé twofish aussi convaincant, notamment
lors des tests statistiques (je ne me souviens plus du document exact, un
PDF du nist qui comparait les vertus des algos en tant que générateurs de
nombres aléatoires).
Personnellement, je n'ai pas trouvé twofish aussi convaincant, notamment
lors des tests statistiques (je ne me souviens plus du document exact, un
PDF du nist qui comparait les vertus des algos en tant que générateurs de
nombres aléatoires).
Personnellement, je n'ai pas trouvé twofish aussi convaincant, notamment
lors des tests statistiques (je ne me souviens plus du document exact, un
PDF du nist qui comparait les vertus des algos en tant que générateurs de
nombres aléatoires).
