Bonsoir à tous,
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
Merci.
Bonsoir à tous,
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
Merci.
Bonsoir à tous,
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
Merci.
Bonsoir,
Y a MSI.
Consulte le site pour voir les partenaires:
http://www.msi-sa.net/fr/accueil.php?
Sinon, à ma connaissance, la plupart des grandes boîtes hi-tech en
France ont des laboratoires R&D/spécialistes en cryptographie:
BULL, FT, Cap Gemini, IBM, GEMPLUS
Bonsoir,
Y a MSI.
Consulte le site pour voir les partenaires:
http://www.msi-sa.net/fr/accueil.php?
Sinon, à ma connaissance, la plupart des grandes boîtes hi-tech en
France ont des laboratoires R&D/spécialistes en cryptographie:
BULL, FT, Cap Gemini, IBM, GEMPLUS
Bonsoir,
Y a MSI.
Consulte le site pour voir les partenaires:
http://www.msi-sa.net/fr/accueil.php?
Sinon, à ma connaissance, la plupart des grandes boîtes hi-tech en
France ont des laboratoires R&D/spécialistes en cryptographie:
BULL, FT, Cap Gemini, IBM, GEMPLUS
Bonsoir à tous,
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
Merci.
Bonsoir à tous,
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
Merci.
Bonsoir à tous,
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
Merci.
http://www.keynectis.com/ste_pourq.htm, société de certification
électronique française (service)
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
http://www.keynectis.com/ste_pourq.htm, société de certification
électronique française (service)
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
http://www.keynectis.com/ste_pourq.htm, société de certification
électronique française (service)
existe t-il des boites en france spécialisées dans la cryptographie/
cryptologie/cryptanalyse/cryptosystème ?
Si oui, lesquelles?
On Wed, 2 Mar 2005, Roland Le Franc wrote:
On peut aussi citer Cryptolog (http://www.cryptolog.com/), Thomas Pornin
n'oserait peut-être pas le faire lui-même...
Ils ont une brochette de très bons cryptologues en stock. ;)
On Wed, 2 Mar 2005, Roland Le Franc wrote:
On peut aussi citer Cryptolog (http://www.cryptolog.com/), Thomas Pornin
n'oserait peut-être pas le faire lui-même...
Ils ont une brochette de très bons cryptologues en stock. ;)
On Wed, 2 Mar 2005, Roland Le Franc wrote:
On peut aussi citer Cryptolog (http://www.cryptolog.com/), Thomas Pornin
n'oserait peut-être pas le faire lui-même...
Ils ont une brochette de très bons cryptologues en stock. ;)
je n'en doute pas une seconde ... but ... à regarder leur ExaMail:
<<à chaque utilisation, le plug-in Cryptolog récupère automatiquement
les certificats sur les serveurs, et les déchiffre localement pour
pouvoir signer et chiffrer le message.>>
il me semble que ce n'est pas un cert qui doit descendre pour signer
mais un P.12 complet, par ailleurs pour chiffrer à l'intention de mon
destinataire il me semble devoir posséder sa clé publique et non mon
cert perso.
au dela des raccourcis (nécessaires?) de cette présentation, quelle est
ici la (bonne) raison de ne pas utiliser une vraie carte à puce plutot
que cette carte à puce virtuelle (même brevetée) ??
indépandemment de toutes les bonnes pratiques qui ont du être
installées, peut-on seulement démontrer qu'un code sensible (la clé
privée de signature) peut s'exécuter sainement en milieu hostile ?
je n'en doute pas une seconde ... but ... à regarder leur ExaMail:
<<à chaque utilisation, le plug-in Cryptolog récupère automatiquement
les certificats sur les serveurs, et les déchiffre localement pour
pouvoir signer et chiffrer le message.>>
il me semble que ce n'est pas un cert qui doit descendre pour signer
mais un P.12 complet, par ailleurs pour chiffrer à l'intention de mon
destinataire il me semble devoir posséder sa clé publique et non mon
cert perso.
au dela des raccourcis (nécessaires?) de cette présentation, quelle est
ici la (bonne) raison de ne pas utiliser une vraie carte à puce plutot
que cette carte à puce virtuelle (même brevetée) ??
indépandemment de toutes les bonnes pratiques qui ont du être
installées, peut-on seulement démontrer qu'un code sensible (la clé
privée de signature) peut s'exécuter sainement en milieu hostile ?
je n'en doute pas une seconde ... but ... à regarder leur ExaMail:
<<à chaque utilisation, le plug-in Cryptolog récupère automatiquement
les certificats sur les serveurs, et les déchiffre localement pour
pouvoir signer et chiffrer le message.>>
il me semble que ce n'est pas un cert qui doit descendre pour signer
mais un P.12 complet, par ailleurs pour chiffrer à l'intention de mon
destinataire il me semble devoir posséder sa clé publique et non mon
cert perso.
au dela des raccourcis (nécessaires?) de cette présentation, quelle est
ici la (bonne) raison de ne pas utiliser une vraie carte à puce plutot
que cette carte à puce virtuelle (même brevetée) ??
indépandemment de toutes les bonnes pratiques qui ont du être
installées, peut-on seulement démontrer qu'un code sensible (la clé
privée de signature) peut s'exécuter sainement en milieu hostile ?
[...]. Dans notre système, l'utilisateur transporte
son mot de passe dans sa tête, et il le tape tous les jours, donc
la perte d'accès à ses données est très peu probable.
[...]
Et j'insiste sur le fait qu'on fait du code Java compatible avec la JVM
Microsoft telle qu'incluse dans IE 5.5 (j'insiste parce que ça n'a rien
d'évident : très peu de classes standard, et des bugs à contourner).
-- Le coût : pour les gros déploiements (genre 300000 utilisateurs),
notre solution est beaucoup moins chère que la fabrication des cartes
(et il ne faut pas oublier les lecteurs de cartes !).
Quant au brevet, il existe pour des raisons juridiques et commerciales
que je ne maîtrise pas, car je ne suis qu'un scientifique.
[...]. Dans notre système, l'utilisateur transporte
son mot de passe dans sa tête, et il le tape tous les jours, donc
la perte d'accès à ses données est très peu probable.
[...]
Et j'insiste sur le fait qu'on fait du code Java compatible avec la JVM
Microsoft telle qu'incluse dans IE 5.5 (j'insiste parce que ça n'a rien
d'évident : très peu de classes standard, et des bugs à contourner).
-- Le coût : pour les gros déploiements (genre 300000 utilisateurs),
notre solution est beaucoup moins chère que la fabrication des cartes
(et il ne faut pas oublier les lecteurs de cartes !).
Quant au brevet, il existe pour des raisons juridiques et commerciales
que je ne maîtrise pas, car je ne suis qu'un scientifique.
[...]. Dans notre système, l'utilisateur transporte
son mot de passe dans sa tête, et il le tape tous les jours, donc
la perte d'accès à ses données est très peu probable.
[...]
Et j'insiste sur le fait qu'on fait du code Java compatible avec la JVM
Microsoft telle qu'incluse dans IE 5.5 (j'insiste parce que ça n'a rien
d'évident : très peu de classes standard, et des bugs à contourner).
-- Le coût : pour les gros déploiements (genre 300000 utilisateurs),
notre solution est beaucoup moins chère que la fabrication des cartes
(et il ne faut pas oublier les lecteurs de cartes !).
Quant au brevet, il existe pour des raisons juridiques et commerciales
que je ne maîtrise pas, car je ne suis qu'un scientifique.
Bon, j'imagine que vos serveurs bloquent dès que plusieurs erreurs sont
commises, ce qui protège contre l'attaque par dictionnaire sans
collaboration de l'utilisateur, mais il reste que toute les attaques où
l'on arrive à voler son mot de passe exposent ensuite définitivement
sa clé privée ...
Mais ce n'est pas pour la clé privée le niveau de sécurité des cartes
à puce. Si la sécurité du poste où la clé est utilisé n'est pas
assurée, la clé peut être volée.
Je vois un avantage réel à votre solution par rapport au certificat
logiciel, c'est qu'en volant le pc de quelqu'un, on ne peut pas
récupérer la clé.
Ce que l'on pourrait obtenir avec un certificat logiciel si on
trouvait un moyen de faire en sorte que le mot de passe résiste
totalement à la force brute/dictionnaire.
Je trouve ça pas terrible comme justification.
Bon, j'imagine que vos serveurs bloquent dès que plusieurs erreurs sont
commises, ce qui protège contre l'attaque par dictionnaire sans
collaboration de l'utilisateur, mais il reste que toute les attaques où
l'on arrive à voler son mot de passe exposent ensuite définitivement
sa clé privée ...
Mais ce n'est pas pour la clé privée le niveau de sécurité des cartes
à puce. Si la sécurité du poste où la clé est utilisé n'est pas
assurée, la clé peut être volée.
Je vois un avantage réel à votre solution par rapport au certificat
logiciel, c'est qu'en volant le pc de quelqu'un, on ne peut pas
récupérer la clé.
Ce que l'on pourrait obtenir avec un certificat logiciel si on
trouvait un moyen de faire en sorte que le mot de passe résiste
totalement à la force brute/dictionnaire.
Je trouve ça pas terrible comme justification.
Bon, j'imagine que vos serveurs bloquent dès que plusieurs erreurs sont
commises, ce qui protège contre l'attaque par dictionnaire sans
collaboration de l'utilisateur, mais il reste que toute les attaques où
l'on arrive à voler son mot de passe exposent ensuite définitivement
sa clé privée ...
Mais ce n'est pas pour la clé privée le niveau de sécurité des cartes
à puce. Si la sécurité du poste où la clé est utilisé n'est pas
assurée, la clé peut être volée.
Je vois un avantage réel à votre solution par rapport au certificat
logiciel, c'est qu'en volant le pc de quelqu'un, on ne peut pas
récupérer la clé.
Ce que l'on pourrait obtenir avec un certificat logiciel si on
trouvait un moyen de faire en sorte que le mot de passe résiste
totalement à la force brute/dictionnaire.
Je trouve ça pas terrible comme justification.
According to Sylvain :
L'idée générale est [...]
merci pour ces éclairsissements!
Les raisons principales sont :
-- La robustesse : une carte à puce, ça peut tomber en panne (rarement,
mais ça arrive) et ça peut se perdre (quand on se fait voler son
portefeuille par exemple). Dans notre système, l'utilisateur transporte
son mot de passe dans sa tête, et il le tape tous les jours, donc
la perte d'accès à ses données est très peu probable.
-- Le nomadisme : comme le client est purement logiciel, il peut marcher
partout.
À un certain niveau d'hostilité, on ne peut pas faire grand chose de
toutes façons. Si on fait une signature avec une carte à puce, branchée
dans un lecteur relié à un ordinateur compromis, l'utilisateur n'a
aucune garantie que ce qu'il voit à l'écran est bien ce qui est signé
par la carte.
est-ce que Word affiche réellement le contenu du fichier cliqué, est-ce
sauf ceux où la carte à puce dispose de son propre clavier
(pour rentrer le code PIN) et de son propre écran
(pour afficher ce qu'elle est en train de signer) :
de tels systèmes sont plus sûrs, mais je dois dire
que je n'en ai jamais vus en vrai.
According to Sylvain <noSpam@mail.net>:
L'idée générale est [...]
merci pour ces éclairsissements!
Les raisons principales sont :
-- La robustesse : une carte à puce, ça peut tomber en panne (rarement,
mais ça arrive) et ça peut se perdre (quand on se fait voler son
portefeuille par exemple). Dans notre système, l'utilisateur transporte
son mot de passe dans sa tête, et il le tape tous les jours, donc
la perte d'accès à ses données est très peu probable.
-- Le nomadisme : comme le client est purement logiciel, il peut marcher
partout.
À un certain niveau d'hostilité, on ne peut pas faire grand chose de
toutes façons. Si on fait une signature avec une carte à puce, branchée
dans un lecteur relié à un ordinateur compromis, l'utilisateur n'a
aucune garantie que ce qu'il voit à l'écran est bien ce qui est signé
par la carte.
est-ce que Word affiche réellement le contenu du fichier cliqué, est-ce
sauf ceux où la carte à puce dispose de son propre clavier
(pour rentrer le code PIN) et de son propre écran
(pour afficher ce qu'elle est en train de signer) :
de tels systèmes sont plus sûrs, mais je dois dire
que je n'en ai jamais vus en vrai.
According to Sylvain :
L'idée générale est [...]
merci pour ces éclairsissements!
Les raisons principales sont :
-- La robustesse : une carte à puce, ça peut tomber en panne (rarement,
mais ça arrive) et ça peut se perdre (quand on se fait voler son
portefeuille par exemple). Dans notre système, l'utilisateur transporte
son mot de passe dans sa tête, et il le tape tous les jours, donc
la perte d'accès à ses données est très peu probable.
-- Le nomadisme : comme le client est purement logiciel, il peut marcher
partout.
À un certain niveau d'hostilité, on ne peut pas faire grand chose de
toutes façons. Si on fait une signature avec une carte à puce, branchée
dans un lecteur relié à un ordinateur compromis, l'utilisateur n'a
aucune garantie que ce qu'il voit à l'écran est bien ce qui est signé
par la carte.
est-ce que Word affiche réellement le contenu du fichier cliqué, est-ce
sauf ceux où la carte à puce dispose de son propre clavier
(pour rentrer le code PIN) et de son propre écran
(pour afficher ce qu'elle est en train de signer) :
de tels systèmes sont plus sûrs, mais je dois dire
que je n'en ai jamais vus en vrai.