Par contraste, il y a un système de ce type qui lui est solide, c'est le palladium de Microsoft *parceque* il s'appuit sur un élément externe
Ou tout autre OS qui saurait gérer la puce TCPA, qui semble être un machin amusant.
[...]
Moralement, on peut aussi ne pas apprécier, mais ça c'est un problème à un autre niveau.
Ceux qui pensent ça sont manipulés par de mauvais arguments, mais cette fois par des pseudo-défenseurs du Logiciel Libre (tm) qui n'ont rien compris au machin.
Euh il faut voir aussi que MS fait des mélanges entre TCPA OS signé, DRM etc...
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Parceque la puce TCPA permet tout à fait d'interdire de booter un OS non signé. Et que ce n'est *pas* le propriétaire de la machine qui a le contrôle de ce que le hard accepte ou pas. Là est le vrai
Si, c'est bien le propriétaire de la machine qui contrôle sa puce TCPA. L'une des fonctions de la puce TCPA permet justement de prendre le contrôle de cette puce (c'est une mauvaise traduction, en angliche, ça donne 'take ownership'). Cette fonction efface toutes les clés contenues dans le token, et on peut alors en faire ce qu'on veut (calculer et stocker de nouveaux hachés, faire de nouvelles signatures, etc). L'appel de cette fonction n'est pas lié à une quelconque authentification, donc quelqu'un qui récupère votre portable pourra tout effacer (sans pour autant pouvoir lire vos données confidentielles si vous avez bien réglé le machin, ce qui est le but).
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- DP>à partir de quand n'est-on plus un neuneu? est-ce que ça se soigne? C'est une variété de maladie infantile la réponse est donc oui. La réponse à la question est-ce que ça se guérit est ; pas toujours. -+- JdC in : Guide du Neuneu Usenetien - La maladie infantile -+-
Bonjour,
On Fri, 13 Feb 2004, Erwan David wrote:
Erwann ABALEA <erwann@abalea.com> écrivait :
On Fri, 6 Feb 2004, Jean-Marc Desperrier wrote:
[...]
Par contraste, il y a un système de ce type qui lui est solide, c'est le
palladium de Microsoft *parceque* il s'appuit sur un élément externe
Ou tout autre OS qui saurait gérer la puce TCPA, qui semble être un machin
amusant.
[...]
Moralement, on peut aussi ne pas apprécier, mais ça c'est un problème à
un autre niveau.
Ceux qui pensent ça sont manipulés par de mauvais arguments, mais cette
fois par des pseudo-défenseurs du Logiciel Libre (tm) qui n'ont rien
compris au machin.
Euh il faut voir aussi que MS fait des mélanges entre TCPA OS signé,
DRM etc...
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est
qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Parceque la puce TCPA permet tout à fait d'interdire de booter un OS
non signé. Et que ce n'est *pas* le propriétaire de la machine qui a
le contrôle de ce que le hard accepte ou pas. Là est le vrai
Si, c'est bien le propriétaire de la machine qui contrôle sa puce TCPA.
L'une des fonctions de la puce TCPA permet justement de prendre le
contrôle de cette puce (c'est une mauvaise traduction, en angliche, ça
donne 'take ownership'). Cette fonction efface toutes les clés contenues
dans le token, et on peut alors en faire ce qu'on veut (calculer et
stocker de nouveaux hachés, faire de nouvelles signatures, etc). L'appel
de cette fonction n'est pas lié à une quelconque authentification, donc
quelqu'un qui récupère votre portable pourra tout effacer (sans pour
autant pouvoir lire vos données confidentielles si vous avez bien réglé le
machin, ce qui est le but).
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
DP>à partir de quand n'est-on plus un neuneu? est-ce que ça se soigne?
C'est une variété de maladie infantile la réponse est donc oui. La
réponse à la question est-ce que ça se guérit est ; pas toujours.
-+- JdC in : Guide du Neuneu Usenetien - La maladie infantile -+-
Par contraste, il y a un système de ce type qui lui est solide, c'est le palladium de Microsoft *parceque* il s'appuit sur un élément externe
Ou tout autre OS qui saurait gérer la puce TCPA, qui semble être un machin amusant.
[...]
Moralement, on peut aussi ne pas apprécier, mais ça c'est un problème à un autre niveau.
Ceux qui pensent ça sont manipulés par de mauvais arguments, mais cette fois par des pseudo-défenseurs du Logiciel Libre (tm) qui n'ont rien compris au machin.
Euh il faut voir aussi que MS fait des mélanges entre TCPA OS signé, DRM etc...
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Parceque la puce TCPA permet tout à fait d'interdire de booter un OS non signé. Et que ce n'est *pas* le propriétaire de la machine qui a le contrôle de ce que le hard accepte ou pas. Là est le vrai
Si, c'est bien le propriétaire de la machine qui contrôle sa puce TCPA. L'une des fonctions de la puce TCPA permet justement de prendre le contrôle de cette puce (c'est une mauvaise traduction, en angliche, ça donne 'take ownership'). Cette fonction efface toutes les clés contenues dans le token, et on peut alors en faire ce qu'on veut (calculer et stocker de nouveaux hachés, faire de nouvelles signatures, etc). L'appel de cette fonction n'est pas lié à une quelconque authentification, donc quelqu'un qui récupère votre portable pourra tout effacer (sans pour autant pouvoir lire vos données confidentielles si vous avez bien réglé le machin, ce qui est le but).
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- DP>à partir de quand n'est-on plus un neuneu? est-ce que ça se soigne? C'est une variété de maladie infantile la réponse est donc oui. La réponse à la question est-ce que ça se guérit est ; pas toujours. -+- JdC in : Guide du Neuneu Usenetien - La maladie infantile -+-
Fabrice..Bacchella
On Fri, 13 Feb 2004 15:25:54 +0100, Erwann ABALEA wrote:
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Je doit être un peu con mais pour moi, HSM, c'est Hierarchical Storage Management. Je ne vois pas le rapport. --- http://fba.homeip.net
On Fri, 13 Feb 2004 15:25:54 +0100, Erwann ABALEA <erwann@abalea.com>
wrote:
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est
qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Je doit être un peu con mais pour moi, HSM, c'est Hierarchical Storage
Management. Je ne vois pas le rapport.
---
http://fba.homeip.net
j'ai beau préparé une session express, elle ne se garde pas et qd je fais ouvrir je reçois toutes les cauchonneries des usa comment faire pour garder seulement les newgroupes qui m'interressent :-@ -+-TGV in : Guide du Neuneu d'Usenet - Yankee go home -+-
On Fri, 13 Feb 2004, Fabrice..Bacchella wrote:
On Fri, 13 Feb 2004 15:25:54 +0100, Erwann ABALEA <erwann@abalea.com>
wrote:
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est
qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Je doit être un peu con mais pour moi, HSM, c'est Hierarchical Storage
Management. Je ne vois pas le rapport.
C'est parce que tu n'as pas assez tourné ta casquette. Dans le contexte
qui nous préoccupe, HSM = Hardware Security Module. ;)
A chacun sa définition de certains acronymes. Pour d'autres, HSM sonnera
plus 'naturellement' Hydrographic System Modelling par exemple.
j'ai beau préparé une session express, elle ne se garde pas et qd je
fais ouvrir je reçois toutes les cauchonneries des usa comment faire
pour garder seulement les newgroupes qui m'interressent :-@
-+-TGV in : Guide du Neuneu d'Usenet - Yankee go home -+-
j'ai beau préparé une session express, elle ne se garde pas et qd je fais ouvrir je reçois toutes les cauchonneries des usa comment faire pour garder seulement les newgroupes qui m'interressent :-@ -+-TGV in : Guide du Neuneu d'Usenet - Yankee go home -+-
Erwan David
Erwann ABALEA écrivait :
Si, c'est bien le propriétaire de la machine qui contrôle sa puce TCPA. L'une des fonctions de la puce TCPA permet justement de prendre le contrôle de cette puce (c'est une mauvaise traduction, en angliche, ça donne 'take ownership'). Cette fonction efface toutes les clés contenues dans le token, et on peut alors en faire ce qu'on veut (calculer et stocker de nouveaux hachés, faire de nouvelles signatures, etc). L'appel de cette fonction n'est pas lié à une quelconque authentification, donc quelqu'un qui récupère votre portable pourra tout effacer (sans pour autant pouvoir lire vos données confidentielles si vous avez bien réglé le machin, ce qui est le but).
J'avais raté ça, effectivement ça protège mieux l'utilisateur. Reste à savoir si les BIOS donneront accès ou pas à cette fonction.
Erwann ABALEA <erwann@abalea.com> écrivait :
Si, c'est bien le propriétaire de la machine qui contrôle sa puce TCPA.
L'une des fonctions de la puce TCPA permet justement de prendre le
contrôle de cette puce (c'est une mauvaise traduction, en angliche, ça
donne 'take ownership'). Cette fonction efface toutes les clés contenues
dans le token, et on peut alors en faire ce qu'on veut (calculer et
stocker de nouveaux hachés, faire de nouvelles signatures, etc). L'appel
de cette fonction n'est pas lié à une quelconque authentification, donc
quelqu'un qui récupère votre portable pourra tout effacer (sans pour
autant pouvoir lire vos données confidentielles si vous avez bien réglé le
machin, ce qui est le but).
J'avais raté ça, effectivement ça protège mieux l'utilisateur. Reste à
savoir si les BIOS donneront accès ou pas à cette fonction.
Si, c'est bien le propriétaire de la machine qui contrôle sa puce TCPA. L'une des fonctions de la puce TCPA permet justement de prendre le contrôle de cette puce (c'est une mauvaise traduction, en angliche, ça donne 'take ownership'). Cette fonction efface toutes les clés contenues dans le token, et on peut alors en faire ce qu'on veut (calculer et stocker de nouveaux hachés, faire de nouvelles signatures, etc). L'appel de cette fonction n'est pas lié à une quelconque authentification, donc quelqu'un qui récupère votre portable pourra tout effacer (sans pour autant pouvoir lire vos données confidentielles si vous avez bien réglé le machin, ce qui est le but).
J'avais raté ça, effectivement ça protège mieux l'utilisateur. Reste à savoir si les BIOS donneront accès ou pas à cette fonction.
Erwan David
Fabrice..Bacchella écrivait :
On Fri, 13 Feb 2004 15:25:54 +0100, Erwann ABALEA wrote:
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Je doit être un peu con mais pour moi, HSM, c'est Hierarchical Storage Management. Je ne vois pas le rapport.
Ce sont aussi des périphériques spécialisés en crypto. J'ai déjà programmé un IBM 4758 par exemple
On Fri, 13 Feb 2004 15:25:54 +0100, Erwann ABALEA wrote:
Oui, parce que la puce TCPA peur permettre ce genre de choses. Ca n'est qu'un HSM, plus fortement couplé à la machine, mais un HSM quand même.
Je doit être un peu con mais pour moi, HSM, c'est Hierarchical Storage Management. Je ne vois pas le rapport.
Ce sont aussi des périphériques spécialisés en crypto. J'ai déjà programmé un IBM 4758 par exemple
gilbertf
Erwan David wrote:
Par une cle contenue dans le BIOS ou le hard. Et je ne fait *aucune* confiance aux fabricants pour me laisser ma liberté de choix. Je n'ai qu'à voir que ce sont les meme qui font des lecteurs de DVD zones.
ma machine est un portable ibm, un modele x30. a partir de ce modele, ibm a introduit une puce tcpa fabriquee par atmel. ibm permet de lui coller un reset (on appuie sur fn pendant le boot puis on entre dans le bios et on peut faire un reset de la puce tcpa ce qui permet d'en prendre le controle a condition d'etre en local, face a la machine). on peut aussi l'activer ou la desactiver depuis le bios.
ensuite on peut depuis BSD (NetBSD pour ma part) ou Linux creer sa propre clef privee qu'on stocke dans la puce TCPA. a partir de la on peut chiffrer, dechiffrer, signer, verifier et tout se passe dans la puce. si le matos est altere, les registres changent au boot et la puce se bloque et empeche toute tentative d'utilisation des clefs stockees.
j'ai un gnupg modifie qui chiffre et signe via ma puce tcpa. la clef privee est dedans et non extractible, la puce est tampering-protected (elle se purge a la moindre utilisation non- conforme au plan hardware) et on a un controle complet de la puce.
ya des fabriquants qui considerent que c'est l'utilisateur qui doit controler les choses, et c'est une constante chez ibm (qui etait la seule marque a proposer un bios avec une option pour desactiver le serial id du pentium 3, il aura fallu attendre plusieurs mois pour les autres, certains fabriquants ayant refuse de proposer de tels bios)
il y a des usages interessants a disposer sur un plan materiel d'une puce tcpa et d'un generateur hardware d'aleatoire (j'utilise deux diodes montees sur port com, un petit montage perso) mais tu as des fabriquants comme VIA qui en proposent directement dans le processeur sur les derniers modeles EPIA (mieux que de placer le generateur sur la carte mere comme Intel au risque de le voir "altere" par un petit montage local sur la carte mere pour faire echouer la generation de nombres aleatoires...
le probleme c'est que certains fabriquants en profitent pour verrouiller leur plateforme, comme Microsoft. comme la plupart des gens utilisent leurs produits en considerant que c'est un peu la seule offre disponible, on risque de finir dans un monde ou la majorite des gens seront sous controle et leur machine sous-controle peu ou prou distant pour ce qui concerne la lecture de video, musique et tout ce qui suivra (livres puis lecture de donnees via leur butineur sur le web) et les autres qui, techniquement attentifs, sauront s'en separer.
c'est dommage mais franchement, les gens sous windows c'est pas mon probleme. s'ils finissent sur une plateforme ultra-securisee et verrouillee ce sera bien fait pour eux. microsoft vend un produit commercial et proprietaire et donc il peut legalement tout faire pour empecher la reproduction de son systeme, applications et verrouiller tout le reste. je suis d'avis qu'on les encourage. car ce qui fait qu'il y a temps de moutons sous windows c'est qu'ils se procurent leur os a l'achat ou par copie et qu'ensuite ils le remplissent de softs en warez. quand microsoft aura tout verrouille, les gens se tourneront vers autre chose.
encourageons donc le verrouillage de la plateforme microsoft. aidons-les a creuser leur propre tombe :>
Erwan David <erwan@rail.eu.org> wrote:
Par une cle contenue dans le BIOS ou le hard. Et je ne fait *aucune*
confiance aux fabricants pour me laisser ma liberté de choix. Je n'ai
qu'à voir que ce sont les meme qui font des lecteurs de DVD zones.
ma machine est un portable ibm, un modele x30.
a partir de ce modele, ibm a introduit une puce
tcpa fabriquee par atmel. ibm permet de lui coller
un reset (on appuie sur fn pendant le boot puis
on entre dans le bios et on peut faire un reset
de la puce tcpa ce qui permet d'en prendre le
controle a condition d'etre en local, face a la
machine). on peut aussi l'activer ou la desactiver
depuis le bios.
ensuite on peut depuis BSD (NetBSD pour ma part)
ou Linux creer sa propre clef privee qu'on stocke
dans la puce TCPA. a partir de la on peut chiffrer,
dechiffrer, signer, verifier et tout se passe dans
la puce. si le matos est altere, les registres
changent au boot et la puce se bloque et empeche
toute tentative d'utilisation des clefs stockees.
j'ai un gnupg modifie qui chiffre et signe via
ma puce tcpa. la clef privee est dedans et non
extractible, la puce est tampering-protected
(elle se purge a la moindre utilisation non-
conforme au plan hardware) et on a un controle complet
de la puce.
ya des fabriquants qui considerent que c'est
l'utilisateur qui doit controler les choses,
et c'est une constante chez ibm (qui etait
la seule marque a proposer un bios avec une
option pour desactiver le serial id du pentium 3,
il aura fallu attendre plusieurs mois pour les
autres, certains fabriquants ayant refuse de
proposer de tels bios)
il y a des usages interessants a disposer sur
un plan materiel d'une puce tcpa et d'un
generateur hardware d'aleatoire (j'utilise deux
diodes montees sur port com, un petit montage
perso) mais tu as des fabriquants comme VIA
qui en proposent directement dans le processeur
sur les derniers modeles EPIA (mieux que de
placer le generateur sur la carte mere comme
Intel au risque de le voir "altere" par un
petit montage local sur la carte mere pour
faire echouer la generation de nombres
aleatoires...
le probleme c'est que certains fabriquants en
profitent pour verrouiller leur plateforme,
comme Microsoft. comme la plupart des gens
utilisent leurs produits en considerant que
c'est un peu la seule offre disponible, on
risque de finir dans un monde ou la majorite
des gens seront sous controle et leur machine
sous-controle peu ou prou distant pour ce
qui concerne la lecture de video, musique et
tout ce qui suivra (livres puis lecture de
donnees via leur butineur sur le web) et les
autres qui, techniquement attentifs, sauront
s'en separer.
c'est dommage mais franchement, les gens sous
windows c'est pas mon probleme. s'ils finissent
sur une plateforme ultra-securisee et verrouillee
ce sera bien fait pour eux. microsoft vend
un produit commercial et proprietaire et
donc il peut legalement tout faire pour empecher
la reproduction de son systeme, applications
et verrouiller tout le reste. je suis d'avis
qu'on les encourage. car ce qui fait qu'il y
a temps de moutons sous windows c'est qu'ils
se procurent leur os a l'achat ou par copie
et qu'ensuite ils le remplissent de softs en
warez. quand microsoft aura tout verrouille,
les gens se tourneront vers autre chose.
encourageons donc le verrouillage de la
plateforme microsoft. aidons-les a creuser
leur propre tombe :>
Par une cle contenue dans le BIOS ou le hard. Et je ne fait *aucune* confiance aux fabricants pour me laisser ma liberté de choix. Je n'ai qu'à voir que ce sont les meme qui font des lecteurs de DVD zones.
ma machine est un portable ibm, un modele x30. a partir de ce modele, ibm a introduit une puce tcpa fabriquee par atmel. ibm permet de lui coller un reset (on appuie sur fn pendant le boot puis on entre dans le bios et on peut faire un reset de la puce tcpa ce qui permet d'en prendre le controle a condition d'etre en local, face a la machine). on peut aussi l'activer ou la desactiver depuis le bios.
ensuite on peut depuis BSD (NetBSD pour ma part) ou Linux creer sa propre clef privee qu'on stocke dans la puce TCPA. a partir de la on peut chiffrer, dechiffrer, signer, verifier et tout se passe dans la puce. si le matos est altere, les registres changent au boot et la puce se bloque et empeche toute tentative d'utilisation des clefs stockees.
j'ai un gnupg modifie qui chiffre et signe via ma puce tcpa. la clef privee est dedans et non extractible, la puce est tampering-protected (elle se purge a la moindre utilisation non- conforme au plan hardware) et on a un controle complet de la puce.
ya des fabriquants qui considerent que c'est l'utilisateur qui doit controler les choses, et c'est une constante chez ibm (qui etait la seule marque a proposer un bios avec une option pour desactiver le serial id du pentium 3, il aura fallu attendre plusieurs mois pour les autres, certains fabriquants ayant refuse de proposer de tels bios)
il y a des usages interessants a disposer sur un plan materiel d'une puce tcpa et d'un generateur hardware d'aleatoire (j'utilise deux diodes montees sur port com, un petit montage perso) mais tu as des fabriquants comme VIA qui en proposent directement dans le processeur sur les derniers modeles EPIA (mieux que de placer le generateur sur la carte mere comme Intel au risque de le voir "altere" par un petit montage local sur la carte mere pour faire echouer la generation de nombres aleatoires...
le probleme c'est que certains fabriquants en profitent pour verrouiller leur plateforme, comme Microsoft. comme la plupart des gens utilisent leurs produits en considerant que c'est un peu la seule offre disponible, on risque de finir dans un monde ou la majorite des gens seront sous controle et leur machine sous-controle peu ou prou distant pour ce qui concerne la lecture de video, musique et tout ce qui suivra (livres puis lecture de donnees via leur butineur sur le web) et les autres qui, techniquement attentifs, sauront s'en separer.
c'est dommage mais franchement, les gens sous windows c'est pas mon probleme. s'ils finissent sur une plateforme ultra-securisee et verrouillee ce sera bien fait pour eux. microsoft vend un produit commercial et proprietaire et donc il peut legalement tout faire pour empecher la reproduction de son systeme, applications et verrouiller tout le reste. je suis d'avis qu'on les encourage. car ce qui fait qu'il y a temps de moutons sous windows c'est qu'ils se procurent leur os a l'achat ou par copie et qu'ensuite ils le remplissent de softs en warez. quand microsoft aura tout verrouille, les gens se tourneront vers autre chose.
encourageons donc le verrouillage de la plateforme microsoft. aidons-les a creuser leur propre tombe :>
Erwan David
écrivait :
ensuite on peut depuis BSD (NetBSD pour ma part) ou Linux creer sa propre clef privee qu'on stocke dans la puce TCPA. a partir de la on peut chiffrer, dechiffrer, signer, verifier et tout se passe dans la puce. si le matos est altere, les registres changent au boot et la puce se bloque et empeche toute tentative d'utilisation des clefs stockees.
Qu'on peut à condition qu'on t'en laisse la possibilité... Et je ne fais pas confiance à l'industrie informatique actuelle pour ne pas « oublier » d'implémenter cette fonctionnalité.
gilbertf@netbsd-fr.org écrivait :
ensuite on peut depuis BSD (NetBSD pour ma part)
ou Linux creer sa propre clef privee qu'on stocke
dans la puce TCPA. a partir de la on peut chiffrer,
dechiffrer, signer, verifier et tout se passe dans
la puce. si le matos est altere, les registres
changent au boot et la puce se bloque et empeche
toute tentative d'utilisation des clefs stockees.
Qu'on peut à condition qu'on t'en laisse la possibilité...
Et je ne fais pas confiance à l'industrie informatique actuelle pour
ne pas « oublier » d'implémenter cette fonctionnalité.
ensuite on peut depuis BSD (NetBSD pour ma part) ou Linux creer sa propre clef privee qu'on stocke dans la puce TCPA. a partir de la on peut chiffrer, dechiffrer, signer, verifier et tout se passe dans la puce. si le matos est altere, les registres changent au boot et la puce se bloque et empeche toute tentative d'utilisation des clefs stockees.
Qu'on peut à condition qu'on t'en laisse la possibilité... Et je ne fais pas confiance à l'industrie informatique actuelle pour ne pas « oublier » d'implémenter cette fonctionnalité.
Erwan David
écrivait :
ensuite on peut depuis BSD (NetBSD pour ma part) ou Linux creer sa propre clef privee qu'on stocke dans la puce TCPA. a partir de la on peut chiffrer, dechiffrer, signer, verifier et tout se passe dans la puce. si le matos est altere, les registres changent au boot et la puce se bloque et empeche toute tentative d'utilisation des clefs stockees.
Qu'on peut changer à condition qu'on t'en laisse la possibilité... Et je ne fais pas confiance à l'industrie informatique actuelle pour ne pas « oublier » d'implémenter cette fonctionnalité.
gilbertf@netbsd-fr.org écrivait :
ensuite on peut depuis BSD (NetBSD pour ma part)
ou Linux creer sa propre clef privee qu'on stocke
dans la puce TCPA. a partir de la on peut chiffrer,
dechiffrer, signer, verifier et tout se passe dans
la puce. si le matos est altere, les registres
changent au boot et la puce se bloque et empeche
toute tentative d'utilisation des clefs stockees.
Qu'on peut changer à condition qu'on t'en laisse la possibilité...
Et je ne fais pas confiance à l'industrie informatique actuelle pour
ne pas « oublier » d'implémenter cette fonctionnalité.
ensuite on peut depuis BSD (NetBSD pour ma part) ou Linux creer sa propre clef privee qu'on stocke dans la puce TCPA. a partir de la on peut chiffrer, dechiffrer, signer, verifier et tout se passe dans la puce. si le matos est altere, les registres changent au boot et la puce se bloque et empeche toute tentative d'utilisation des clefs stockees.
Qu'on peut changer à condition qu'on t'en laisse la possibilité... Et je ne fais pas confiance à l'industrie informatique actuelle pour ne pas « oublier » d'implémenter cette fonctionnalité.
gilbertf
Erwan David wrote:
Qu'on peut changer à condition qu'on t'en laisse la possibilité... Et je ne fais pas confiance à l'industrie informatique actuelle pour ne pas « oublier » d'implémenter cette fonctionnalité.
c'est le cas depuis plusieurs annees avec les portables vendus par ibm. j'ai recu la doc technique complete du composant atmel et des infos supplementaires obtenues en signant un NDA aupres d'ibm. je suis aussi en contact avec le developpeur charge du tcpa chez ibm et leur approche du TCPA n'a rien a voir avec le FUD lie a Palladium et autres variantes.
sous windows la puce tcpa permet de generer une clef et de proteger ses documents, a l'aide d'une application fournie gratuitement par ibm. sous linux et bsd ca permet de mieux proteger sa propre clef privee (de type rsa avec la puce tcpa)
je ne comprends pas tres bien ta remarque. le tcpa est disponible et implemente depuis plusieurs annees deja et chez ibm c'est l'utilisateur qui a le controle de sa puce, peut la purger et la gerer lui-meme. et je parle de faits concrets, pas d'hypotheses. ca fait plus d'un an que j'ai le code TPM compile et actif sur ma machine et plus de six mois que je porte un patch sur gnupg pour utiliser la puce tcpa via gnupg (depuis la 1.2.3)
si des gens decident d'acheter des machines qui sont plus sous le controle de tierces parties que leur propre controle, c'est leur probleme. ils sont deja moutons sous windows donc un peu plus ca change pas grand chose. aucune pitie pour les moutons.
Erwan David <erwan@rail.eu.org> wrote:
Qu'on peut changer à condition qu'on t'en laisse la possibilité...
Et je ne fais pas confiance à l'industrie informatique actuelle pour
ne pas « oublier » d'implémenter cette fonctionnalité.
c'est le cas depuis plusieurs annees avec les
portables vendus par ibm. j'ai recu la doc
technique complete du composant atmel et des
infos supplementaires obtenues en signant un
NDA aupres d'ibm. je suis aussi en contact
avec le developpeur charge du tcpa chez ibm
et leur approche du TCPA n'a rien a voir avec
le FUD lie a Palladium et autres variantes.
sous windows la puce tcpa permet de generer
une clef et de proteger ses documents, a l'aide
d'une application fournie gratuitement par
ibm. sous linux et bsd ca permet de mieux
proteger sa propre clef privee (de type rsa
avec la puce tcpa)
je ne comprends pas tres bien ta remarque.
le tcpa est disponible et implemente depuis
plusieurs annees deja et chez ibm c'est
l'utilisateur qui a le controle de sa puce,
peut la purger et la gerer lui-meme. et
je parle de faits concrets, pas d'hypotheses.
ca fait plus d'un an que j'ai le code TPM
compile et actif sur ma machine et plus de
six mois que je porte un patch sur gnupg
pour utiliser la puce tcpa via gnupg
(depuis la 1.2.3)
si des gens decident d'acheter des machines
qui sont plus sous le controle de tierces
parties que leur propre controle, c'est
leur probleme. ils sont deja moutons sous
windows donc un peu plus ca change pas
grand chose. aucune pitie pour les
moutons.
Qu'on peut changer à condition qu'on t'en laisse la possibilité... Et je ne fais pas confiance à l'industrie informatique actuelle pour ne pas « oublier » d'implémenter cette fonctionnalité.
c'est le cas depuis plusieurs annees avec les portables vendus par ibm. j'ai recu la doc technique complete du composant atmel et des infos supplementaires obtenues en signant un NDA aupres d'ibm. je suis aussi en contact avec le developpeur charge du tcpa chez ibm et leur approche du TCPA n'a rien a voir avec le FUD lie a Palladium et autres variantes.
sous windows la puce tcpa permet de generer une clef et de proteger ses documents, a l'aide d'une application fournie gratuitement par ibm. sous linux et bsd ca permet de mieux proteger sa propre clef privee (de type rsa avec la puce tcpa)
je ne comprends pas tres bien ta remarque. le tcpa est disponible et implemente depuis plusieurs annees deja et chez ibm c'est l'utilisateur qui a le controle de sa puce, peut la purger et la gerer lui-meme. et je parle de faits concrets, pas d'hypotheses. ca fait plus d'un an que j'ai le code TPM compile et actif sur ma machine et plus de six mois que je porte un patch sur gnupg pour utiliser la puce tcpa via gnupg (depuis la 1.2.3)
si des gens decident d'acheter des machines qui sont plus sous le controle de tierces parties que leur propre controle, c'est leur probleme. ils sont deja moutons sous windows donc un peu plus ca change pas grand chose. aucune pitie pour les moutons.
