298 private links
Déjà lu, mais lien gardé pour lectures des différents articles conseillés pour approfondir la recherche :
- l'interview d'un des développeurs de GnuPG : https://www.april.org/vie-privee-en-2013-pourquoi-quand-comment-par-werner-koch
- ou bien un très bon article de Dan Goodin expliquant comment contourner (et non pas casser) la crypto : http://arstechnica.com/security/2013/09/spooks-break-most-internet-crypto-but-how/
- ou encore celui de Peter Bright sur les vraies capacités de la NSA : http://arstechnica.com/security/2013/09/of-course-nsa-can-crack-crypto-anyone-can-the-question-is-how-much/
- Voir aussi l'article de Matthew Green qui fait le tour des techniques connues et inconnues pour déchiffrer le trafic TLS : http://blog.cryptographyengineering.com/2013/12/how-does-nsa-break-ssl.html
Et comme l'indique l'auteur : « Tout cela n'était que des solutions techniques car cet article se focalise sur l'aspect technique des choses. Mais, évidemment, le problème de fond est politique et c'est dans des changements politiques profonds qu'il faut chercher les vraies solutions. Il n'est pas normal qu'il faille être expert en crypto pour avoir une vie privée ! »
Article très détaillé et très bien expliqué sur la mise en place d'un service DoT et DoH (respectivement DNS over TLS et DNS over HTTPS) et sur son fonctionnement, avec en prime des outils pour vérifications, analyse, suivi de l'état du système.
Merci encore à Bortzmeyer.
Un petit rappel concernant DKIM, un protocole qui permet de vérifier l’authenticité d’un courriel.
TL;DR: NE PAS utiliser des clefs de moins de 1024 bits.
Toutefois, ma question concernait une taille de clef plus longue, comme 2048 ou 4096 comme utilisées pour les certificats TLS, si ça risque de poser problème avec les tailles des requêtes DNS.
Des conseils pour stocker correctement, de nos jours, les mots de passe, dans différents langages.
(Via SebSauvage http://sebsauvage.net/links/?50sqeQ)
Un brouillon concernant TLSv1.3.
D'ailleurs, pour pouvoir profiter de Forward-Secrety, il suffit de retirer le chiffrement RSA pour l'échange de clefs symétriques, avec "!kRSA", comme ceci (liste fonctionnant avec OpenSSL en version 1.0.2f actuellement) :
HIGH:!kRSA:!DHE:!DH:!SSLv3:!SSLv2:!RC4:!aNULL:!eNULL:!EXPORT:!3DES:!DES:!SHA1:!MD5
Pour retirer le chiffrement AES128, il suffit de rajouter ":!AES128" à la liste, mais les navigateurs actuels ne fonctionnent pas sans.
Un SGDB (que sais-je ?) où les données sont chiffrées et déchiffrées uniquement côté client et où la partie logique est réalisée aussi côté client, le serveur lui ne traitant que des requêtes en fournissant les bouts demandés de données.
Je trouve que c'est une approche intéressante, à regarder.
Voir aussi la discussion sur le site web developpez.com :
https://www.developpez.com/actu/93672/ZeroDB-une-base-de-donnees-open-source-chiffree-de-bout-en-bout-elle-permet-aux-applications-d-interroger-des-donnees-chiffrees/
Algorithmes de chiffrement pour navigateurs Web.