.

[kcud_dab]

"encryptés" ? Je ne connais pas ce mot...

Avant de dire qu'une chose est une connerie il faudrait être plus rigoureux en utilisant le bon vocabulaure pour commencer et par exemple développer sa réponse (ou argumenter un minimum...).

[linelec]

"encryptés" ? Je ne connais pas ce mot...

chiffrés

Avant de dire qu'une chose est une connerie il faudrait être plus rigoureux, utiliser le bon vocabulaure et par exemple développer (ou argumenter un minimum...).

Y'a plein de legende sur le net.

[kcud_dab]

Et quand tu utilises ton disque chiffré en général tu rentres la clée pour déchiffrer les données -> cette clée est en mémoire et peut être récupérée par des gens motivés (bon ok p'tete pas via les impulsions électromagnétiques mais en récupérant les barretes de ram par ex*)

Après l'écoute d'un clavier à distance est très facile et permet plus ou moins facilement de récupérer ta clée de chiffrement ou le password du wallet bitcoin : http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/

Alors oui c'est pas forcément exploitable par tous et il faut des moyens et de la patience, mais ce ne sont pas des conneries autant et c'est bien de garder ces idées en tête sans forcément tomber dans la parano...

* http://www.zdnet.com/blog/security/cryogenically-frozen-ram-bypasses-all-disk-encryption-methods/900

Y'a plein de legende sur le net.

Je veux bien, mais quand plusieurs affirment des choses et que tu arrives ensuite pour dire que ce sont des conneries, ce serait bien d'avoir de meilleurs arguments que de dire que ce sont des légendes urbaines...

[linelec]

L'avantage est qu'avec 32 dés, tu dilue le poids de l'imperfection des dés et tu tires 256 bits en 2 lancés.

Et comme c'est en hexa, tu n'as aucun calcul ou conversion a faire.  

dd if=/dev/urandom bs=32 count=1 | sha256sum -

[linelec]

il faut des moyens et de la patience

C'est impossible hors labo. Tout est noyé dans le bruit electromagnetique.

[kcud_dab]

dd if=/dev/urandom bs=32 count=1 | sha256sum -

Jusqu'au jour ou on trouve un bug dans /dev/urandom (ou que tu te fais infecter ton PC par un malware qui comprommet la génération de nombre aléatoire) , cf le bug de génération de nombre aléatoire sur Android : http://www.coindesk.com/google-patches-android-flaw-that-led-to-bitcoin-heist/

(bon après j'ai utilisé le générateur de nombre aléatoire de mon raspi pour me faire des p'tit paper wallet, mais dans la théorie les dés sont mieux !)

[kcud_dab]

il faut des moyens et de la patience

C'est impossible hors labo. Tout est noyé dans le bruit electromagnetique.

Ça a l'air d'un labo ça pour toi ?
-> http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/
D'ailleurs faudrait que j'essaie un jour :-)

[linelec]

Ça a l'air d'un labo ça pour toi ?
-> http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/
D'ailleurs faudrait que j'essaie un jour :-)

Un local dans une zone industrielle, un 15 aout 

Sinon ca serait comme ecouter un chuchotement lors d'un concert de Motorhead

[linelec]

dd if=/dev/urandom bs=32 count=1 | sha256sum -

Jusqu'au jour ou on trouve un bug dans /dev/urandom (ou que tu te fais infecter ton PC par un malware qui comprommet la génération de nombre aléatoire)

Mais il y a 1000 & 1 sources !

date +"%H%M%S%3N%N" | sha512sum

Et plein de trucs dans /var/log /dev a hacher.

Pour les paranos il suffit de faire des xor, toggle, swap, set, ror, shift, etc... entres les divers resultats.



Alors sortir des dés....



 

[kcud_dab]

Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur... en espérant que tu ne te fasses jamais volé tes bitcoins :-)
On a vu recement les histoires de la NSA qui intercepte les colis pour y placer des mouchard et/ou modifier des composants, au moins avec une feuille et un papier je peux être assuré à 100% que ma clée privée n'est pas compromise !



Encore une fois l'idée n'est pas de devenir parano, et même si je ne pense pas que beaucoup d'entre nous ici soient des cibles pour lesquelles des gens y mettront les moyens et le temps necessaires, le but est plus de débattre des différentes techniques et dangers de ces dernières... (ainsi que d'apprendre un peu à ceux qui n'y connaissent rien).
Moi même perso je ne suis pas allé jusqu'aux dés mais me suis arrêté au raspberrypi + imprimante en offline pour générer des paper wallets.

[kcud_dab]

D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalk.org/index.php?topic=176654.0
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium pour l'instant mais un lib en C existe et une intégration avec d'autres client bitcoins est prévue.

Une seed est générée à l'initialisation pour pouvoir regénérer la même adresse bitcoin après un reset de sa carte (3 faux pin la carte se reset) ou de récupérer son adresse sur une autre puce (pour avoir plusieurs sim qui ont la même clée par ex, par contre j'ai pas encore testé).

Bref à suivre (et à tester pour ceux que ça intéresse, le développeur aime bien avoir des retours et des gens qui testent)

[linelec]

Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur...

Non ! Mais si le PC est verolé l'utilisation de dés n'arange rien 

[linelec]

D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalk.org/index.php?topic=176654.0
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium

Bref un truc sur & fiable

[kcud_dab]

mais un lib en C existe et une intégration avec d'autres client bitcoins est prévue.

En fait il ne manque que du temps pour faire un client qui ne tourne pas dans un browser douteux, les spécs sont dispos -> http://btchip.github.io/btchip-doc/bitcoin-technical.html

(et Chromium est plus ou moins open source, donc tu peux voir ce qu'il fait.. ou il suffit de le faire sur un poste offline)

[mangodream]

Sinon, une bête clef USB stockée dans un coffre fort enfoui sous terre avec un buisson recouvrant le tout, c'est pas mal non plus 

[btchip]

D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalk.org/index.php?topic=176654.0
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium

Bref un truc sur & fiable

hop, toi tu vas prendre pour les autres, parce que la parano c'est bien, mais correctement ajustée c'est mieux  

le seul interet de Chrome içi, c'est de présenter une interface qui permet d'utiliser facilement le dongle pour la mythique Madame Michu (en supposant qu'un jour elle ait des bitcoins, on va dire que c'est la manière la plus sécurisée et simple de lui en mettre dans les mains) - le fait que Chrome espionne l'utilisateur, vire des applications du store, donne le cancer ou soit réalisé par le fils caché d'Hitler et Dieudonné (après qu'ils se soient mariés pour tous et fait 5 GPA préparées par les reptilios-illuminatis judéo-communistes depuis l'Atlantide), on s'en tape complètement, vu que toute la partie intéressante cryptographiquement parlant se passe dehors.

là on va me répondre "ben oui, mais bon, Google méchants, ils peuvent voir tout ce que j'ai comme bitcoins quand meme, et faire un index pour l'envoyer à l'encore plus méchant fisc qui va venir me cueillir à 6h du matin" ; mais on s'en tape une nouvelle fois, bitcoin n'est de toute façon pas conçu pour cacher ce qui va etre intégré à la blockchain ou la blockchain elle meme.

donc s'il vous plait, passez aux vrais arguments, genre ça vous ennuie que le dongle ne soit pas open source (en plus c'est cool, j'ai aussi des réponses pour ça  )

accessoirement quand on connait un minimum Google de l'intérieur, on voit assez vite que c'est une des rares boites dans le monde où les gens en ont quelque chose à foutre de la protection des données utilisateur en interne (et ont les compétences pour les gérer correctement)  

[prismicide]

@kcud_dab (yeah, on est aussi fans du raspi )
@linelec (merci pour la ref à Lenny!)
@sardokan (cette obsession des dés... ça sent le rôliste...)

Même si Nicolas (btchip) s'énerve un peu et s'amuse à Troller sur google,
on est tous du même bord et évidemment l'idéal est de ne faire confiance
à personne et surtout pas à l'environnement logiciel autour du soft qui
fait office de wallet si il est proprio et pas ouvert.

Comme Nicolas le rappelait, le plugin Chrome est juste une version de
Kryptokit rapidement modifiée pour montrer l'utilisation de clefs protégées
par une carte à puce. Et comme le rappelait aussi kcud_dab, l'API est
dispo, tout développeur avec un peu de temps devant lui peut adapter
un autre wallet qui ne sera pas forcément un plugin chrome... ou même
redévelopper un soft wallet from scratch qui sait dialoguer avec l'API
du hard wallet (la carte).

Concernant une étape supplémentaire de sécurisation, vous pouvez
toujours regarder notre prochain projet (notre = équipe BTCHIP avec
d'autres fous dont moi) si n'est déjà fait :

PRISMicide for Bitcoin :
----------------------
=> https://www.youtube.com/watch?v=GiylJnkh85w  

Remarques, commentaires, ect... bienvenus ici :
----------------------------------------------
=> https://bitcointalk.org/index.php?topic=596196.0

Dans ce projet, l'environnement immédiat est sécurisé (le lecteur open
source et open hardware) et si vous souhaitez générer votre propre
seed (avec des dés ou même à pile ou face en binaire... ce qui vous
chante), vous pourrez l'importer dans la carte (si vous ne souhaitez
pas faire confiance au RNG de la carte).  L'OS de cette carte sera
open source. Le projet avance bien et on passera par une campagne
de crowdfunding via indiegogo dans les prochains jours pour ceux
qui voudront avoir les premiers samples et participer à l'accélération
du projet

Toute aide sera bienvenue !

In crypto we trust.
And nothing else.
--
Fred