Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "CypherPunk/20110512"

From Le L∞p's Wiki
Jump to: navigation, search
m (fix cat)
m (ajout Category:Albatart)
 
(One intermediate revision by the same user not shown)
Line 1: Line 1:
== Quand ? ==
+
Cette première session (ce qui veut dire qu'il y en aura d'autres... ou pas) aura lieu au Loop '''en soirée du jeudi 12 mai''', car la nuit tous les ''cyphercats'' sont gris.
Le premier (ce qu'il veut dire qu'il y en aura d'autres)(ou pas) aura lieu le Jeudi 12 mai au LOOP en soirée, car la nuit tous les cyphercats sont gris.
+
  
En soirée c'est après le boulot pour ceux qui bossent, au petit-dèj pour les autres. Visez un 19h30/20H, on commencera à bosser dés qu'on sera une petite dizaine.
+
En soirée, c'est après le boulot pour ceux qui bossent, au petit-déj' pour les autres. Visez un 19 h 30/20 h, on commencera à bosser dès qu'on sera une petite dizaine.
  
 
On essaiera d'aborder, dans l'ordre, les points suivants :
 
On essaiera d'aborder, dans l'ordre, les points suivants :
  
* Anonymisation de trafic via [https://www.torproject.org/ Tor]
+
* anonymisation de trafic via '''Tor''' ;
* Utilisation de [http://www.yubico.com/yubikey Yubikey] pour une identification OTP
+
* utilisation de '''Yubikey''' pour une identification '''OTP''' ;
* Chiffrement de disque par [http://code.google.com/p/cryptsetup/ Luks]
+
* chiffrement de disque par '''LUKS''' ;
* Utilisation de [http://www.gnupg.net/ GPG] au quotidien, principe de la Toile de Confiance et signature de clef
+
* utilisation de '''GnuPG''' au quotidien, principe de la '''toile de confiance''' et '''signature de clés'''.
  
Amenez donc vos machines pour expérimenter, de quoi sauvegarder vos données (nous ne sommes pas à l'abri d'un crash ou d'une perte de clef).
+
Amenez donc vos machines pour expérimenter, de quoi sauvegarder vos données (nous ne sommes pas à l'abri d'un crash ou d'une perte de clé). Il nous faut aussi de quoi connecter tout le monde, alors amenez vos multiprises et autres switchs/hubs portables.
Il nous faut aussi de quoi connecter tout le monde, donc amenez vos prises multiples et autres switchs / hubs portable.
+
  
== Quoi ? ==
+
== Tor ==
=== Tor ===
+
Tor est un système de routage en oignon permettant d'anonymiser le traffic TCP sortant d'une machine.
+
  
* Installation de Tor et configuration
+
[https://www.torproject.org/ '''Tor'''] est un système de routage en oignon permettant d'anonymiser le trafic TCP sortant d'une machine.
* torification d'applications
+
* démarrage automatique de Tor sur certaines connexion réseau
+
* le problème de la fuite DNS
+
* chiffrement avec SSL
+
  
=== Chiffrement de disque ===
+
* Installation de Tor et configuration ;
[http://code.google.com/p/cryptsetup/ LUKS] est un système de gestion de clé unifié pour linux qui permet de gérer différent algorithme de chiffrement et différentes clef pour pouvoir chiffrer des volumes et y accéder de manière unifiée. Il faut utiliser des algorithmes de chiffrement fort avec ces systèmes là.
+
* torification d'applications ;
 +
* démarrage automatique de Tor sur certaines connexions réseau ;
 +
* discussion autour du problème de la fuite DNS ;
 +
* chiffrement avec TLS.
  
[http://www.freeotfe.org/ FreeOTFE] est un logiciel de chiffrement libre pour les plateformes Win32. Il est compatible avec LUKS et permet donc de créer des systèmes chiffrés accessibles sur les deux plateformes.
+
=== Voir aussi ===
  
* Chiffrement de partition
+
* [https://blog.torproject.org/blog/firefox-4-tor-browser-bundle-windows Bundle Firefox 4 + Tor] pour Windows.
* Le module pam_mount et LUKS
+
* [http://www.mulliner.org/collin/ttdnsd.php ttdnsd], un proxy DNS pour Tor.
* Utilisation d'une clef externe pour déverouiller un système Luks
+
* [http://www.pps.jussieu.fr/~jch/software/polipo/ Polipo], un proxy pratique pour Tor.
* Luks et yubikey
+
* Luks, FreeOTFE et stockage sécurisé mobile
+
  
=== Yubikey ===
+
== Chiffrement de disque ==
La yubikey est un appareil permettant de générer des mots de passe à usage unique (OTP[https://secure.wikimedia.org/wikipedia/en/wiki/One-time_password]) comme second facteur d'identification. Elle n'a pas pour but de 'remplacer' le mot de passe, mais d'en renforcer fortement la sécurité en rendant possible une identification multifacteur[https://secure.wikimedia.org/wikipedia/fr/wiki/Authentification_forte]
+
  
Voici quelques idées en vrac de choses à faire (par ordre de complexité à priori):
+
[http://code.google.com/p/cryptsetup/ '''LUKS'''] est un système de gestion de clé unifié pour Linux permettant de gérer différents algorithmes de chiffrement et différentes clés pour pouvoir chiffrer des volumes et y accéder de manière unifiée. Il faut utiliser des algorithmes de chiffrement fort avec ces systèmes-là.
  
* Utilisation Out of the Box, avec le module pam pour s'identifier. Nécessite une connexion à internet.
+
[http://www.freeotfe.org/ '''FreeOTFE'''] est un logiciel de chiffrement libre pour les plateformes Win32. Il est compatible avec LUKS et permet donc de créer des systèmes chiffrés accessibles sur les deux plateformes.
* Configuration de la yubikey en mode statique pour utilisation hors-ligne
+
* Utilisation en mode OTP mais toujours en hors-ligne
+
* Verrouillage de session par déconnexion de la yubikey
+
* yubikey et luks
+
* yubikey et initrd pour s'en servir très tôt
+
  
=== CACert.org ===
+
* Chiffrement de partition ;
CACert est une autorité de certification communautaire gratuite. Comme toute autorité de certification, elle permet de générer des certificats signés.
+
* le module <code>pam_mount</code> et LUKS ;
Les certificats racines de CACert sont inclus dans de nombreuses distributions Linux.
+
* utilisation d'une clé externe pour déverrouiller un système LUKS ;
 +
* LUKS et Yubikey ;
 +
* LUKS, FreeOTFE et stockage mobile sécurisé.
  
Le Web of Trust fonctionne selon un système de points, attribués par un assureur après avoir rencontré physiquement le demandeur et vérifié son identité. Une fois le quota de points requis atteint, il devient possible de générer des certificats signés, que ce soit pour un domaine (wildcard compris), un serveur, ou une adresse mail (certificat client).
+
=== Voir aussi ===
  
Si vous voulez vous faire assurer, je vous conseille de créer un compte dès maintenant et de vous familiariser avec le WoT de CACert. Venez au workshop avec si possible deux pièces d'identité officielles.
+
* Chiffrement d'une partition /home avec [http://home.coming.dk/index.php/encrypted_home_partition_using_luks_pam_ LUKS, LVM et et le module <code>pam</code>].
 +
* [http://robert.penz.name/145/home_partition_encryption_with_luks_under_linux/ LUKS et Linux].
  
=== GPG Key Signature Party ===
+
== Yubikey ==
GPG ([https://secure.wikimedia.org/wikipedia/fr/wiki/GNU_Privacy_Guard Gnu Privacy Guard]) est une suite d'utilitaire libre permettant, par de la cryptographie assymétrique, de signer un message pour en assurer l'authenticité et/ou de chiffrer un message pour en assurer la confidentialité.
+
  
* Création de clef GPG et utilisation de celles-ci (messagerie notamment)
+
La [https://www.yubico.com/products/yubikey-hardware/yubikey/ '''Yubikey'''] est un appareil permettant de générer des [[wikipedia:One-time password|mots de passe à usage unique]] comme [[wikipedia:Two-factor_authentication|second facteur d'identification]]. Elle n'a pas pour but de remplacer le mot de passe, mais d'en renforcer fortement la sécurité en rendant possible une [[wikipedia:fr:Authentification forte|identification multifacteur]].
* Key Signing Party afin d'étendre le Web of Trust
+
* Thunderbird + Enigmail en version mobile (pas téléphone, mais mobile genre muti-poste)
+
  
=== HOWTO : SvartKast aka Blackthrow ===
+
Voici quelques idées en vrac de choses à faire (par ordre de complexité, à priori) :
  
Mise en place de station anti-censure approuvé par le Telecomix Crypto-Munitions Bureau ! :)
+
* configuration prête à l'emploi, avec le module <code>pam</code> pour s'identifier <small>(nécessite une connexion à internet)</small> ;
 +
* configuration de la Yubikey en mode statique pour une utilisation hors-ligne ;
 +
* utilisation en mode OTP mais toujours hors-ligne ;
 +
* verrouillage de session par déconnexion de la Yubikey ;
 +
* Yubikey et LUKS ;
 +
* Yubikey et <code>initrd</code> pour s'en servir '''très tôt'''.
  
Une station SvartKast est un petit ordinateur qui peut être cachée à l'intérieur des organismes gouvernementaux ou d'entreprises. Il se connecte alors aux réseaux TOR ou I2P et publie son serveur SSH comme un "hidden service" dans chacun de ces réseaux. L'agent Telecomix peut alors se connecter à la station SvartKast en toute anonymat et à distance, il peut contacter et envoyer n'importe quel type de paquet n'importe quel client/serveur des Internets .
+
=== Voir aussi ===
  
http://cryptoanarchy.org/wiki/Svartkast
+
* [http://forum.yubico.com/viewtopic.php?f=8&t=159 Authentification hors-ligne].
 +
* [https://code.google.com/p/yubikey-personalization/ Personnalisation] de la Yubikey.
 +
* [https://code.google.com/p/yubico-pam/ Yubico-pam].
  
=== zFone et VoIP ===
+
== SvartKast ''aka'' Blackthrow ==
Utilisation de zFone pour chiffrer ses communications en VoIP. zFone est de Phil Zimmerman (l'inventeur de PGP) zFone utilise un nouveau protocole appelé ZRTP.
+
zFone est open source et la spec décrivant le nouveau protocole ZRTP est la RFC 6189.
+
  
http://zfoneproject.com/
+
Mise en place d'une station anti-censure approuvée par le [http://telecomix.org/ '''Telecomix Crypto-Munitions Bureau'''] ! :)
  
== Ressources ==
+
Une station [http://cryptoanarchy.org/wiki/Svartkast '''SvartKast'''] est un petit ordinateur qui peut être caché au sein de l'infrastructure informatique d'organismes gouvernementaux ou d'entreprises. Il se connecte alors aux réseaux [https://www.torproject.org/ Tor] ou [http://www.i2p2.de/index_fr.html I2P] et publie son serveur SSH comme service caché dans chacun de ces réseaux. L'agent Telecomix peut alors se connecter à la station SvartKast en toute anonymat et à distance, et peut contacter puis envoyer tout type de paquet vers n'importe quel client ou serveur des Internets .
=== legalities ===
+
* [http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#fr Un point sur les lois concernant la crypto en France]
+
  
=== Tor ===
+
== zFone et VoIP ==
* [https://blog.torproject.org/blog/firefox-4-tor-browser-bundle-windows Bundle FF4 + Tor pour Win]
+
* [http://www.mulliner.org/collin/ttdnsd.php ttdnsd] un proxy DNS pour Tor
+
* [http://www.pps.jussieu.fr/~jch/software/polipo/ polipo] un proxy, pratique pour Tor.
+
  
=== Chiffrement de disque ===
+
Utilisation de [http://zfoneproject.com/ '''zFone'''] pour chiffrer ses communications en VoIP, dont l'auteur n'est autre que [http://www.philzimmermann.com/FR/background/index.html Phil Zimmerman], l'inventeur de PGP. zFone utilise un nouveau protocole appelé ZRTP.
* [http://home.coming.dk/index.php/encrypted_home_partition_using_luks_pam_ Luks] + lvm + pam
+
* [http://robert.penz.name/145/home_partition_encryption_with_luks_under_linux/ chiffrement du home]
+
  
=== Yubikey ===
+
zFone est open source et la spécification décrivant le nouveau protocole ZRTP est la [https://tools.ietf.org/html/rfc6189 RFC 6189].
* [http://forum.yubico.com/viewtopic.php?f=8&t=159 Oflline auth]
+
 
* [http://code.google.com/p/yubikey-personalization/ yubikey personalization]
+
== CACert.org ==
* [http://code.google.com/p/yubico-pam/ Yubikey Pam]
+
 
 +
[http://www.cacert.org/ '''CACert'''] est une autorité de certification communautaire gratuite. Comme toute autorité de certification, elle permet de générer des certificats signés. Les certificats racines de CACert sont inclus dans de nombreuses distributions Linux.
 +
 
 +
La [[wikipedia:fr:Toile de confiance|toile de confiance]] fonctionne selon un système de points attribués par un assureur après avoir rencontré physiquement le demandeur et vérifié son identité. Une fois le quota de points requis atteint, il devient possible de générer des certificats signés, que ce soit pour un domaine (''wildcard'' compris), un serveur ou une adresse mail (certificat client).
 +
 
 +
Si vous voulez vous faire assurer, je vous conseille de créer un compte dès maintenant et de vous familiariser avec la toile de confiance de CACert. Si cela vous est possible, venez à l'atelier avec deux pièces d'identité officielles.
 +
 
 +
== PGP Key Signing Party ==
 +
 
 +
[http://www.gnupg.org/index.fr.html '''GnuPG'''] est une suite d'utilitaires libres permettant, par de la cryptographie asymétrique, de signer un message pour en assurer l'authenticité et/ou de chiffrer un message pour en assurer la confidentialité.
 +
 
 +
* Création d'une paire de clés PGP et utilisation de celles-ci (dans le cadre de la messagerie électronique notamment) ;
 +
* [[wikipedia:Key signing party|''Key Signing Party'']] afin d'étendre la toile de confiance ;
 +
* Thunderbird + Enigmail en version mobile (pas téléphonique, mais mutiposte).
 +
 
 +
=== Voir aussi ===
 +
 
 +
* Organiser une [http://linuxreviews.org/howtos/gnupg/signingparty/ ''key signing party''].
 +
 
 +
== Ressources ==
 +
=== Législation ===
  
=== CACert ===
+
* Un point sur les lois concernant [http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#fr la cryptographie en France].
* [http://www.cacert.org Site CACert.org]
+
  
=== GPG key signing party ===
 
* [http://linuxreviews.org/howtos/gnupg/signingparty/ HowTo]
 
  
[[Category:Workshop CypherPunk]]
+
[[Category:CypherPunk]]
 +
[[Category:Albatart]]

Latest revision as of 01:24, 19 December 2013

Cette première session (ce qui veut dire qu'il y en aura d'autres... ou pas) aura lieu au Loop en soirée du jeudi 12 mai, car la nuit tous les cyphercats sont gris.

En soirée, c'est après le boulot pour ceux qui bossent, au petit-déj' pour les autres. Visez un 19 h 30/20 h, on commencera à bosser dès qu'on sera une petite dizaine.

On essaiera d'aborder, dans l'ordre, les points suivants :

  • anonymisation de trafic via Tor ;
  • utilisation de Yubikey pour une identification OTP ;
  • chiffrement de disque par LUKS ;
  • utilisation de GnuPG au quotidien, principe de la toile de confiance et signature de clés.

Amenez donc vos machines pour expérimenter, de quoi sauvegarder vos données (nous ne sommes pas à l'abri d'un crash ou d'une perte de clé). Il nous faut aussi de quoi connecter tout le monde, alors amenez vos multiprises et autres switchs/hubs portables.

Tor

Tor est un système de routage en oignon permettant d'anonymiser le trafic TCP sortant d'une machine.

  • Installation de Tor et configuration ;
  • torification d'applications ;
  • démarrage automatique de Tor sur certaines connexions réseau ;
  • discussion autour du problème de la fuite DNS ;
  • chiffrement avec TLS.

Voir aussi

Chiffrement de disque

LUKS est un système de gestion de clé unifié pour Linux permettant de gérer différents algorithmes de chiffrement et différentes clés pour pouvoir chiffrer des volumes et y accéder de manière unifiée. Il faut utiliser des algorithmes de chiffrement fort avec ces systèmes-là.

FreeOTFE est un logiciel de chiffrement libre pour les plateformes Win32. Il est compatible avec LUKS et permet donc de créer des systèmes chiffrés accessibles sur les deux plateformes.

  • Chiffrement de partition ;
  • le module pam_mount et LUKS ;
  • utilisation d'une clé externe pour déverrouiller un système LUKS ;
  • LUKS et Yubikey ;
  • LUKS, FreeOTFE et stockage mobile sécurisé.

Voir aussi

Yubikey

La Yubikey est un appareil permettant de générer des mots de passe à usage unique comme second facteur d'identification. Elle n'a pas pour but de remplacer le mot de passe, mais d'en renforcer fortement la sécurité en rendant possible une identification multifacteur.

Voici quelques idées en vrac de choses à faire (par ordre de complexité, à priori) :

  • configuration prête à l'emploi, avec le module pam pour s'identifier (nécessite une connexion à internet) ;
  • configuration de la Yubikey en mode statique pour une utilisation hors-ligne ;
  • utilisation en mode OTP mais toujours hors-ligne ;
  • verrouillage de session par déconnexion de la Yubikey ;
  • Yubikey et LUKS ;
  • Yubikey et initrd pour s'en servir très tôt.

Voir aussi

SvartKast aka Blackthrow

Mise en place d'une station anti-censure approuvée par le Telecomix Crypto-Munitions Bureau ! :)

Une station SvartKast est un petit ordinateur qui peut être caché au sein de l'infrastructure informatique d'organismes gouvernementaux ou d'entreprises. Il se connecte alors aux réseaux Tor ou I2P et publie son serveur SSH comme service caché dans chacun de ces réseaux. L'agent Telecomix peut alors se connecter à la station SvartKast en toute anonymat et à distance, et peut contacter puis envoyer tout type de paquet vers n'importe quel client ou serveur des Internets .

zFone et VoIP

Utilisation de zFone pour chiffrer ses communications en VoIP, dont l'auteur n'est autre que Phil Zimmerman, l'inventeur de PGP. zFone utilise un nouveau protocole appelé ZRTP.

zFone est open source et la spécification décrivant le nouveau protocole ZRTP est la RFC 6189.

CACert.org

CACert est une autorité de certification communautaire gratuite. Comme toute autorité de certification, elle permet de générer des certificats signés. Les certificats racines de CACert sont inclus dans de nombreuses distributions Linux.

La toile de confiance fonctionne selon un système de points attribués par un assureur après avoir rencontré physiquement le demandeur et vérifié son identité. Une fois le quota de points requis atteint, il devient possible de générer des certificats signés, que ce soit pour un domaine (wildcard compris), un serveur ou une adresse mail (certificat client).

Si vous voulez vous faire assurer, je vous conseille de créer un compte dès maintenant et de vous familiariser avec la toile de confiance de CACert. Si cela vous est possible, venez à l'atelier avec deux pièces d'identité officielles.

PGP Key Signing Party

GnuPG est une suite d'utilitaires libres permettant, par de la cryptographie asymétrique, de signer un message pour en assurer l'authenticité et/ou de chiffrer un message pour en assurer la confidentialité.

  • Création d'une paire de clés PGP et utilisation de celles-ci (dans le cadre de la messagerie électronique notamment) ;
  • Key Signing Party afin d'étendre la toile de confiance ;
  • Thunderbird + Enigmail en version mobile (pas téléphonique, mais mutiposte).

Voir aussi

Ressources

Législation