Pages:
Author

Topic: . (Read 4860 times)

newbie
Activity: 10
Merit: 1003
.
May 29, 2014, 11:18:07 AM
#54
Je ne suis pas geek, je suis elfe doré, magicien lvl6, incantatrix lvl10, archimage lvl3  Grin

Sinon, je serais intéréssé par votre campagne de crowdfunding, j'adorerais déjà avoir un prismicide  Smiley
(En espérant que vous tenniez mieux les dates que Trezor.)
newbie
Activity: 10
Merit: 1003
May 27, 2014, 04:42:58 PM
#49
Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur...

Non ! Mais si le PC est verolé l'utilisation de dés n'arange rien  Grin


Si tu utilise un seed tiré par des dés sur un wallet bip32 que tu utilise offline, c'est déja bien mieux

Si tu as un hardware RNG chibbré qui génere sur des plages réduites, tu n'es pas impacté (cf articles mod hardware du RNG intel par la NSA.) qui sait si cette modif n'est pas implémentée en série ?

L'intéret du dé est que tu comprends ainsi la chaine de A a Z, alors que ce n'est pas le cas avec une génération sur ordinateur.

Donc pour 2 lancés de dés, tu t'épargnes une inconnue.
newbie
Activity: 19
Merit: 0
May 29, 2014, 06:35:56 AM
#37
@kcud_dab (yeah, on est aussi fans du raspi Smiley )
@linelec (merci pour la ref à Lenny!)
@sardokan (cette obsession des dés... ça sent le rôliste...)

Même si Nicolas (btchip) s'énerve un peu et s'amuse à Troller sur google,
on est tous du même bord et évidemment l'idéal est de ne faire confiance
à personne et surtout pas à l'environnement logiciel autour du soft qui
fait office de wallet si il est proprio et pas ouvert.

Comme Nicolas le rappelait, le plugin Chrome est juste une version de
Kryptokit rapidement modifiée pour montrer l'utilisation de clefs protégées
par une carte à puce. Et comme le rappelait aussi kcud_dab, l'API est
dispo, tout développeur avec un peu de temps devant lui peut adapter
un autre wallet qui ne sera pas forcément un plugin chrome... ou même
redévelopper un soft wallet from scratch qui sait dialoguer avec l'API
du hard wallet (la carte).

Concernant une étape supplémentaire de sécurisation, vous pouvez
toujours regarder notre prochain projet (notre = équipe BTCHIP avec
d'autres fous dont moi) si n'est déjà fait :

PRISMicide for Bitcoin :
----------------------
=> https://www.youtube.com/watch?v=GiylJnkh85w  

Remarques, commentaires, ect... bienvenus ici :
----------------------------------------------
=> https://bitcointalksearch.org/topic/prismicide-pour-bitcoin-officiel-wallet-sur-carte-a-puce-open-source-video-596196

Dans ce projet, l'environnement immédiat est sécurisé (le lecteur open
source et open hardware) et si vous souhaitez générer votre propre
seed (avec des dés ou même à pile ou face en binaire... ce qui vous
chante), vous pourrez l'importer dans la carte (si vous ne souhaitez
pas faire confiance au RNG de la carte).  L'OS de cette carte sera
open source. Le projet avance bien et on passera par une campagne
de crowdfunding via indiegogo dans les prochains jours pour ceux
qui voudront avoir les premiers samples et participer à l'accélération
du projet Smiley

Toute aide sera bienvenue !

In crypto we trust.
And nothing else.
--
Fred
hero member
Activity: 623
Merit: 500
CTO, Ledger
May 28, 2014, 11:55:37 PM
#36
D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalksearch.org/topic/cest-sorti-support-btchip-francophone-176654
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium

Bref un truc sur & fiable

hop, toi tu vas prendre pour les autres, parce que la parano c'est bien, mais correctement ajustée c'est mieux  Grin

le seul interet de Chrome içi, c'est de présenter une interface qui permet d'utiliser facilement le dongle pour la mythique Madame Michu (en supposant qu'un jour elle ait des bitcoins, on va dire que c'est la manière la plus sécurisée et simple de lui en mettre dans les mains) - le fait que Chrome espionne l'utilisateur, vire des applications du store, donne le cancer ou soit réalisé par le fils caché d'Hitler et Dieudonné (après qu'ils se soient mariés pour tous et fait 5 GPA préparées par les reptilios-illuminatis judéo-communistes depuis l'Atlantide), on s'en tape complètement, vu que toute la partie intéressante cryptographiquement parlant se passe dehors.

là on va me répondre "ben oui, mais bon, Google méchants, ils peuvent voir tout ce que j'ai comme bitcoins quand meme, et faire un index pour l'envoyer à l'encore plus méchant fisc qui va venir me cueillir à 6h du matin" ; mais on s'en tape une nouvelle fois, bitcoin n'est de toute façon pas conçu pour cacher ce qui va etre intégré à la blockchain ou la blockchain elle meme.

donc s'il vous plait, passez aux vrais arguments, genre ça vous ennuie que le dongle ne soit pas open source (en plus c'est cool, j'ai aussi des réponses pour ça  Grin)

accessoirement quand on connait un minimum Google de l'intérieur, on voit assez vite que c'est une des rares boites dans le monde où les gens en ont quelque chose à foutre de la protection des données utilisateur en interne (et ont les compétences pour les gérer correctement)  Kiss

hero member
Activity: 672
Merit: 501
May 28, 2014, 08:15:58 PM
#35
Sinon, une bête clef USB stockée dans un coffre fort enfoui sous terre avec un buisson recouvrant le tout, c'est pas mal non plus  Roll Eyes
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
May 27, 2014, 04:45:10 PM
#34
Quote
mais un lib en C existe et une intégration avec d'autres client bitcoins est prévue.
En fait il ne manque que du temps pour faire un client qui ne tourne pas dans un browser douteux, les spécs sont dispos -> http://btchip.github.io/btchip-doc/bitcoin-technical.html

(et Chromium est plus ou moins open source, donc tu peux voir ce qu'il fait.. ou il suffit de le faire sur un poste offline)
full member
Activity: 210
Merit: 100
May 27, 2014, 04:30:11 PM
#33
D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalksearch.org/topic/cest-sorti-support-btchip-francophone-176654
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium

Bref un truc sur & fiable

full member
Activity: 210
Merit: 100
May 27, 2014, 04:25:43 PM
#32
Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur...

Non ! Mais si le PC est verolé l'utilisation de dés n'arange rien  Grin
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
May 27, 2014, 02:03:52 PM
#31
D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalksearch.org/topic/cest-sorti-support-btchip-francophone-176654
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium pour l'instant mais un lib en C existe et une intégration avec d'autres client bitcoins est prévue.

Une seed est générée à l'initialisation pour pouvoir regénérer la même adresse bitcoin après un reset de sa carte (3 faux pin la carte se reset) ou de récupérer son adresse sur une autre puce (pour avoir plusieurs sim qui ont la même clée par ex, par contre j'ai pas encore testé).

Bref à suivre (et à tester pour ceux que ça intéresse, le développeur aime bien avoir des retours et des gens qui testent)
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
May 27, 2014, 01:57:03 PM
#30
Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur... en espérant que tu ne te fasses jamais volé tes bitcoins :-)
On a vu recement les histoires de la NSA qui intercepte les colis pour y placer des mouchard et/ou modifier des composants, au moins avec une feuille et un papier je peux être assuré à 100% que ma clée privée n'est pas compromise !



Encore une fois l'idée n'est pas de devenir parano, et même si je ne pense pas que beaucoup d'entre nous ici soient des cibles pour lesquelles des gens y mettront les moyens et le temps necessaires, le but est plus de débattre des différentes techniques et dangers de ces dernières... (ainsi que d'apprendre un peu à ceux qui n'y connaissent rien).
Moi même perso je ne suis pas allé jusqu'aux dés mais me suis arrêté au raspberrypi + imprimante en offline pour générer des paper wallets.
full member
Activity: 210
Merit: 100
May 27, 2014, 01:42:35 PM
#29
dd if=/dev/urandom bs=32 count=1 | sha256sum -

Jusqu'au jour ou on trouve un bug dans /dev/urandom (ou que tu te fais infecter ton PC par un malware qui comprommet la génération de nombre aléatoire)


Mais il y a 1000 & 1 sources !

date +"%H%M%S%3N%N" | sha512sum

Et plein de trucs dans /var/log /dev a hacher.

Pour les paranos il suffit de faire des xor, toggle, swap, set, ror, shift, etc... entres les divers resultats.



Alors sortir des dés....



 Grin
full member
Activity: 210
Merit: 100
May 27, 2014, 11:51:58 AM
#28

Ça a l'air d'un labo ça pour toi ?
-> http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/
D'ailleurs faudrait que j'essaie un jour :-)

Un local dans une zone industrielle, un 15 aout  Grin

Sinon ca serait comme ecouter un chuchotement lors d'un concert de Motorhead


legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
May 27, 2014, 08:07:51 AM
#27

il faut des moyens et de la patience

C'est impossible hors labo. Tout est noyé dans le bruit electromagnetique.

Ça a l'air d'un labo ça pour toi ?
-> http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/
D'ailleurs faudrait que j'essaie un jour :-)
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
May 27, 2014, 08:06:34 AM
#26
dd if=/dev/urandom bs=32 count=1 | sha256sum -

Jusqu'au jour ou on trouve un bug dans /dev/urandom (ou que tu te fais infecter ton PC par un malware qui comprommet la génération de nombre aléatoire) , cf le bug de génération de nombre aléatoire sur Android : http://www.coindesk.com/google-patches-android-flaw-that-led-to-bitcoin-heist/

(bon après j'ai utilisé le générateur de nombre aléatoire de mon raspi pour me faire des p'tit paper wallet, mais dans la théorie les dés sont mieux !)
full member
Activity: 210
Merit: 100
May 27, 2014, 08:03:29 AM
#25

il faut des moyens et de la patience


C'est impossible hors labo. Tout est noyé dans le bruit electromagnetique.
full member
Activity: 210
Merit: 100
May 27, 2014, 08:01:11 AM
#24

L'avantage est qu'avec 32 dés, tu dilue le poids de l'imperfection des dés et tu tires 256 bits en 2 lancés.

Et comme c'est en hexa, tu n'as aucun calcul ou conversion a faire.  Smiley



dd if=/dev/urandom bs=32 count=1 | sha256sum -
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
May 27, 2014, 07:58:12 AM
#23
Et quand tu utilises ton disque chiffré en général tu rentres la clée pour déchiffrer les données -> cette clée est en mémoire et peut être récupérée par des gens motivés (bon ok p'tete pas via les impulsions électromagnétiques mais en récupérant les barretes de ram par ex*)

Après l'écoute d'un clavier à distance est très facile et permet plus ou moins facilement de récupérer ta clée de chiffrement ou le password du wallet bitcoin : http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/

Alors oui c'est pas forcément exploitable par tous et il faut des moyens et de la patience, mais ce ne sont pas des conneries autant et c'est bien de garder ces idées en tête sans forcément tomber dans la parano...

* http://www.zdnet.com/blog/security/cryogenically-frozen-ram-bypasses-all-disk-encryption-methods/900

Y'a plein de legende sur le net.
Je veux bien, mais quand plusieurs affirment des choses et que tu arrives ensuite pour dire que ce sont des conneries, ce serait bien d'avoir de meilleurs arguments que de dire que ce sont des légendes urbaines...
full member
Activity: 210
Merit: 100
May 27, 2014, 07:46:50 AM
#22
"encryptés" ? Je ne connais pas ce mot...

chiffrés

Quote
Avant de dire qu'une chose est une connerie il faudrait être plus rigoureux, utiliser le bon vocabulaure et par exemple développer (ou argumenter un minimum...).

Y'a plein de legende sur le net.

legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
May 27, 2014, 07:43:15 AM
#21
"encryptés" ? Je ne connais pas ce mot...

Avant de dire qu'une chose est une connerie il faudrait être plus rigoureux en utilisant le bon vocabulaure pour commencer et par exemple développer sa réponse (ou argumenter un minimum...).
full member
Activity: 210
Merit: 100
May 27, 2014, 07:40:43 AM
#20
des mecs qui iraient jusqu'à sniffer les impulsions éléctromagnétiques du disque dur pour /rape un wallet est génial Smiley

Conneries tout ca. Et comme les disques sont maintenant encryptés...
Pages:
Jump to: