Certificat SSL/TLS Leaf avec openssl: passer aux courbes elliptiques sans changer d'autorité de certification

Rédigé par Frédéric Dumas Aucun commentaire
Classé dans : Administration système Mots clés : X.509, ssl, réseaux, hacking
Source: https://hackaday.com/2020/07/10/mmm-obfuscated-shell-donuts/
-----------------------------------------
On peut créer des certificats SSL/TLS basés sur les courbes elliptiques aussi facilement que ceux habituellement basés sur RSA.



En 2025 et 2026, il sera encore possible de faire signer par son autorité de certification commerciale habituelle, avec une validité d'un an, les certificats SSL/TLS "leaf" (ceux qu'on installe sur les serveurs HTTPS). Puis à partir d'avril 2026, cette période de validité des certificats SSL sera progressivement raccourcie, pour ne plus pouvoir excéder un mois, pour tous ceux signés après mars 2029. C'est la volonté de Google qui s'est imposée au sein de l'organisme de réglementation de ce type d'affaires, le Forum CA/Browser (en), dont les autorités de certifications comme les éditeurs de navigateurs web, respectent les décisions.

Autant dire que la génération manuelle des certificats SSL/TLS va peu à peu appartenir au passé, les administrateurs système étant contraints à automatiser leur renouvellement, plutôt que d'intervenir en personne tous les mois sur leurs serveurs. Cette situation est déjà connue à tous ceux qui font automatiquement signer leurs certificats par Let's Encrypt.

Générer manuellement une paire de clés à chiffrement asymétrique, puis soumettre la demande de signature de certificat correspondante à l'autorité de certification, restera une pratique en vigueur pendant quelques courtes années, jusqu'à ce que la fréquence de répétition de l'opération nous décourage tous.

Dans l'attente, ceux qui cherchent encore comment le faire trouveront de nombreux tutoriaux sur le web, expliquant l'usage de l'utilitaire en ligne de commande openssl. Une particularité de ces tutoriaux est qu'ils sont presque tous écrits pour générer des certificats utilisant des clés RSA de 2048 bits. Une valeur que le NIST déconseille de continuer à utiliser au-delà de 2030, compte tenu de l'increvable loi de Moore. Or, augmenter encore la taille des clés RSA alourdit proportionnellement celle des certificats leaf, qui sont portant transmis de manière frénétique par les serveurs, à chaque demande de négociation HTTPS provenant d'un navigateur web.

En comparaison, on ne sacrifie en rien la sécurité en choisissant les courbes elliptiques et une taille de clé de quelques centaines d'octets seulement, pour générer ce même couple de clés asymétriques et la demande de signature de certificat correspondante. Openssl supporte les courbes elliptiques depuis 15 ans tout aussi bien qu'il a supporté les clés RSA depuis aussi loin que la mémoire remonte. Passer aux algorithmes à courbes elliptiques présente l'avantage d'équiper ses serveurs de certificats SSL/TLS très légers en taille, tout en conservant au moins la même sécurité.

Il ne faut que connaitre les bonnes options à passer à openssl, et c'est ce que ce billet se propose d'explorer ici.


Lire la suite de Certificat SSL/TLS Leaf avec openssl: passer aux courbes elliptiques sans changer d'autorité de certification

L'Euro numérique au crible des principes du Logiciel Libre

Rédigé par Frédéric Dumas Aucun commentaire
--------------------------------------------

Depuis 2021, l'euro numérique est en préparation à la Banque Centrale Européenne. Son fonctionnement impliquera une longue chaine de machines, depuis les serveurs de la BCE jusqu'aux applications mobiles bancaires responsables d'initier les transactions, en passant par les infrastructures des banques commerciales. La phase de conception et les principales propriétés de l'euro numérique s'inspirent-elles de certaines au moins des libertés promues dans le Logiciel Libre ?



Sur Youtube, de nombreuses vidéos se donnant par elles-mêmes la mission de faire découvrir comment pourrait fonctionner l'euro numérique sont... burlesques. Beaucoup prennent comme un fait avéré que l'euro numérique serait conçu comme un "smart contract", c'est à dire intégrera des mécanismes d'usages conditionnels, donnant potentiellement la faculté aux priorités politiques du moment d'apporter des restrictions à son usage, avec en toile de fond la menace du "crédit social à la chinoise".

Il y a une raison à la prolifération d'informations sensationnalistes: à ce jour, les spécifications fonctionnelles de l'euro numérique ne sont pas publiques. Le document en préparation, intitulé "digital euro scheme rulebook", n'a pas atteint sa version 1.0, et n'est diffusé qu'à une sélection restreinte de participants à sa rédaction. Ceux-ci sont principalement des acteurs bancaires, et leur liste est publique.

Les pages du site de la BCE (en) dédiées à l'euro numérique sont d'ailleurs construites ainsi: on y trouve des résumés, des listes, des agendas, des comptes-rendus, les uns faisant référence aux autres. C'est un jeu de poupées russes dont nous allons essayer d'explorer un peu la surface.


Lire la suite de L'Euro numérique au crible des principes du Logiciel Libre

Clover, le bootloader NVMe des machines simplement PCIe

Rédigé par Frédéric Dumas Aucun commentaire
Classé dans : Administration système Mots clés : réutilisation, hacking
L'image d'illustration a été générée à l'aide du modèle de diffusion

Disponible sous licence libre, Clover permet de démarrer un système d'exploitation depuis la mémoire de masse SSD NVMe des machines dont le BIOS/UEFI ne le permet normalement pas.



Les BIOS/UEFI des machines datant d'avant 2013 n'incluaient pas les SSD NVMe, ces mémoires de masse PCIe à très faible latence, parmi les périphériques de démarrage. Sur de telles machines dépourvues de slots M.2, on avait beau installer un système d'exploitation sur le SSD NVMe, le système d'exploitation ne pouvait être amorcé par l'UEFI. Pour toutes ces machines, une astucieuse solution corrige désormais cette limitation et permet de les faire profiter elles-aussi des excellents temps de latence et de transfert des mémoires de masse NVMe, comme "disque" principal de démarrage.

Clover est une suite d'utilitaires et de pilotes, disponibles sous licence libre, téléchargeables depuis GitHub, et issus des travaux sur le Hackintosh. Copié sur une clé USB, Clover devient un programme d'amorçage intermédiaire, appelé au démarrage par l'UEFI, et capable à son tour d'identifier la présence d'un système d'exploitation sur NVMe, puis de le faire ainsi démarrer. La mise en œuvre de Clover est ce que nous allons détailler ici.

Lire la suite de Clover, le bootloader NVMe des machines simplement PCIe

XXIe siècle : ces créateurs de langages qui nous ont quitté

Rédigé par Frédéric Dumas Aucun commentaire
Classé dans : Langages, Société Mots clés : Basic, Pascal, C, Unix, Bell Labs
Thomas Kurtz tient une bande magnétique dans le département d’informatique de l’université de Dartmouth dans les années 1960.
--------------------
Thomas Kurtz au département d’informatique de l’université de Dartmouth (New Hampshire, États-Unis) dans les années 1960.
Photo: Adrian Bouchard - Rauner Special Collections Library

Ce premier quart du XXIè siècle aura vu disparaitre tous les créateurs de langages de programmation qui ont illuminé les décennies 80 et 90 de la micro-informatique: Basic, Pascal, et C



Il existe une foule d'autres langages de programmation conçus dans les dernières décennies du XXème siècle, mais aucun d'eux ne fut utilisé comme Basic, Pascal et C, par des autodidactes s'appropriant la micro-informatique, motivés par leur curiosité et leur enthousiasme. Le but de ce billet est de rendre un hommage particulier à ces créateurs qui mirent leur talent au service du plus grand nombre, et qui nous ont quitté en ce début de XXIème siècle.

Bien qu'ils furent popularisés par l'explosion de la micro-informatique de loisir, ces trois langages prennent racine dans les décennies précédentes, 1960 pour le Basic et 1970 pour le Pascal et le C. Ces décennies sont encore dominées par l'architecture mainframe: les utilisateurs d'un ordinateur central interagissent avec lui au moyen de télétypes (une combinaison de clavier et d'imprimante (en)), puis avec des terminaux à tube cathodique (en) (sans l'unité centrale du PC), qui en sont l'évolution. Compte tenu du progrès très rapide des technologies silicium de l'époque, chaque évolution de matériel est marquée par une forte incompatibilité avec la génération précédente, y compris chez un même fabricant. C'est pourquoi les créateurs de tout langage de programmation partageaient à cette époque trois mêmes objectifs:
  • s'affranchir du code machine et offrir à l'utilisateur un moyen plus à sa portée de programmer l'ordinateur avec des instructions de haut niveau, beaucoup plus rapides à maîtriser;
  • gagner en indépendance par rapport au processeur, facilitant la réutilisation du code d'une génération de machine à la suivante; l'adaptation partielle du code source est beaucoup plus acceptable qu'un portage total du code machine, même si d'une machine à la suivante, la re-écriture de l'interpréteur ou du compilateur du langage pouvait rester, elle, nécessaire;
  • être un outil compatible avec l'accès simultané à la machine par plusieurs utilisateurs à la fois, depuis plusieurs terminaux utilisés en parallèle; cet objectif répond à l'architecture mainframe des milieux universitaires où sont développés ces langages, en attendant la popularisation des micro-ordinateurs personnels.

Lire la suite de XXIe siècle : ces créateurs de langages qui nous ont quitté

De l’entrisme dans le Libre

Rédigé par P. Foubet 2 commentaires

L'entrisme est un mot qui est né pendant la révolution Russe d’octobre 1917. C’est une stratégie politique révolutionnaire qui consiste à faire entrer de manière concertée des membres d'une organisation militante dans une autre organisation rivale, voire dans l'appareil de l'État bourgeois, comme on le nommait à l’époque. Il est aussi employé depuis lors pour décrire des pratiques du même ordre (infiltration, noyautage, ) de mouvements, mouvances (politiques, religieuses…) au sein d'organisations diverses mais aussi de l'État.

Ce concept a été défini et mis au point par Lev Davidovitch Bronstein, plus connu sous le nom de LéonTrotski , dont la « carrière révolutionnaire » est assez colorée.

Cette pratique, toujours d’actualité, inquiète beaucoup certaines entreprises au point que le ministère de l’intérieur qui propose un kit de sensibilisation des atteintes à la sécurité économique a intégré un chapitre dédié au phénomène.

Les méthodes employées pour faire de l'entrisme se révèlent par leur nature très diverses, donc difficiles à parer. L'entrisme peut être mis en œuvre par une direction au sein d'une même organisation, dans le but d'infléchir le pouvoir d'opposition (opposition des syndicats par exemple).

En France, dans le domaine politique, le terme entrisme est employé pour qualifier une pratique de noyautage de l'OCI (Organisation Communiste Internationaliste ) issue de la scission de 1952. Cette stratégie ne fonctionne pas toujours. Par exemple Lionel Jospin, élève à l'Ecole nationale d'administration (ENA), adhère à l’OCI dans les années 60. Il est, un peu plus tard, chargé par la direction de l’OCI d’infiltrer le PS. Mais il aurait peu à peu renoncé à ses idéaux de jeunesse en préférant faire une carrière au sein du parti socialiste qu’il estimait, à cette époque, plein d’avenir. La suite lui ayant donné raison puisqu’il devient premier ministre en juin 1997. Plusieurs journaux, dont Le Monde, ont produit des articles sur le sujet.

Et en quoi tout ceci concerne-t-il le Logiciel Libre ?

Si l’open source s'attache aux avantages d'une méthode de développement au travers de la réutilisation du code source, le Logiciel Libre, selon Richard Stallman, est un mouvement social qui repose sur les principes de Liberté, Égalité, Fraternité. Et ce mouvement remet en cause, entre autres choses, la légitimité de vendre des appareils en forçant les utilisateurs à adopter des systèmes propriétaires, qui en plus volent leurs données. Cela menace directement les grands acteurs d’Internet et de l’informatique dans leur activités qui représentent des centaines de milliards de chiffre d’affaire !

Depuis que le Libre existe, on a pu observer moult tentatives, plus ou moins réussies, pour détourner des associations de leur objectif ou empêcher des logiciels d’être Libres  ! C’est l’objet de ce petit article qui est là pour rappeler que si le concept du Libre représente pour une majorité de militants une belle aventure qui fait rêver, l’impitoyable dureté des lois du monde économique, tel qu’il est régi actuellement, nous ramène à la dure réalité des faits.

Lire la suite de De l’entrisme dans le Libre