Une autre raison de contester le forcage à HTTPS
mardi 12 mai 2015 à 07:22Liens en vrac de sebsauvage 12/05/2015
Je suis tombé sur un autre argument anti-HTTPS tout à fait pertinent: Si Mozilla commence à bannir progressivement HTTP au profit d'HTTPS, cela va avoir un impact dangereux pour les dissidents qui ont besoin de rester anonymes. Parce que pour pouvoir obtenir un certificat, il faut vous identifier auprès d'une autorité de certification.
Le choix de Mozilla est donc directement préjudiciable à la liberté d'expression.
(Permalink)
Les Liens de Memiks > Liens en vrac de sebsauvage 12/05/2015
Je ne suis pas tout à fait d'accord avec toi Seb.
Car tu peux très bien autosigner un certificat, ou te faire délivrer un certificat par une autorité qui elle prone la liberté d'expression (même si il n'y en a pas encore à ma connaissance).
Et puis rien n'empeche d'ajouter une autorité de certification Tor dans le bundle Tor pour que des sites https via tor puisse utilisé un certificat dérivé.
Par contre ce qui me chagrine le plus c'est que cela soit plus de la poudre au yeux pour que les gens se "croient" en sécurité.
En HTTPS TOUTES les connections partagent le même certificat, ce que je veux dire c'est qu'il "suffit" d'enregistrer les flux chiffrés et de mettre la main (avant ou après) sur la clé privé du serveur. et tu peux TOUT déchiffré.
(sauf pour le forward secrecy je crois mais faut que je vérifie)
Cela ne remplacera pas un échange de clés de chiffrement pour chaque connection, en tout cas ce n'est pas aussi sécurisé....
Bref, laissez faire, la NSA n'aura qu'a se contenter des méta donnés, pour faire le tri dans les enregistrements de flux et cibler les attaques vers les serveurs intéressant pour récupérer la clé.
Tiens, je me demande si il ne serait pas possible de générer une négociation avec un flux d'entrée connu afin de pouvoir faire une analyse statistique du résultat afin d'avoir des infos sur la clé (comme l'entropie utilisée...) ?
(Permalink)
Rocking links > Liens en vrac de sebsauvage 12/05/2015
C' est tout le problème du chiffrement.
"Si tu chiffres, certes on ne peut pas savoir ce que tu dis, mais du coup on sait exactement qui tu es."
C'est pas terrible quand on ne veut pas être identifié.
Du reste, c'est bien l'utilité de zerobin : offrir un service qui permette de chiffrer ET de rester anonyme, n'est-ce pas ?
(Permalink)
Je suis tombé sur un autre argument anti-HTTPS tout à fait pertinent: Si Mozilla commence à bannir progressivement HTTP au profit d'HTTPS, cela va avoir un impact dangereux pour les dissidents qui ont besoin de rester anonymes. Parce que pour pouvoir obtenir un certificat, il faut vous identifier auprès d'une autorité de certification.
Le choix de Mozilla est donc directement préjudiciable à la liberté d'expression.
(Permalink)
Les Liens de Memiks > Liens en vrac de sebsauvage 12/05/2015
Je ne suis pas tout à fait d'accord avec toi Seb.
Car tu peux très bien autosigner un certificat, ou te faire délivrer un certificat par une autorité qui elle prone la liberté d'expression (même si il n'y en a pas encore à ma connaissance).
Et puis rien n'empeche d'ajouter une autorité de certification Tor dans le bundle Tor pour que des sites https via tor puisse utilisé un certificat dérivé.
Par contre ce qui me chagrine le plus c'est que cela soit plus de la poudre au yeux pour que les gens se "croient" en sécurité.
En HTTPS TOUTES les connections partagent le même certificat, ce que je veux dire c'est qu'il "suffit" d'enregistrer les flux chiffrés et de mettre la main (avant ou après) sur la clé privé du serveur. et tu peux TOUT déchiffré.
(sauf pour le forward secrecy je crois mais faut que je vérifie)
Cela ne remplacera pas un échange de clés de chiffrement pour chaque connection, en tout cas ce n'est pas aussi sécurisé....
Bref, laissez faire, la NSA n'aura qu'a se contenter des méta donnés, pour faire le tri dans les enregistrements de flux et cibler les attaques vers les serveurs intéressant pour récupérer la clé.
Tiens, je me demande si il ne serait pas possible de générer une négociation avec un flux d'entrée connu afin de pouvoir faire une analyse statistique du résultat afin d'avoir des infos sur la clé (comme l'entropie utilisée...) ?
(Permalink)
Rocking links > Liens en vrac de sebsauvage 12/05/2015
C' est tout le problème du chiffrement.
"Si tu chiffres, certes on ne peut pas savoir ce que tu dis, mais du coup on sait exactement qui tu es."
C'est pas terrible quand on ne veut pas être identifié.
Du reste, c'est bien l'utilité de zerobin : offrir un service qui permette de chiffrer ET de rester anonyme, n'est-ce pas ?
(Permalink)