Re: Re: [TECH] Solution pour mot de passe et passphrase

[Nicolas Vinot <nvinot AT april.org>]

Le dimanche 6 avril 2014 16:11:49 Association Libres-Ailés a écrit :
> Ah. Je pensais que les chiffres donnés là-bas tenaient comptes du 
> principe de Kerckhoffs.

C'est toujours compliqué et très peu fiable de donner une entropie 
généraliste.
Ça dépend toujours de ton attaquant, de ce qu'il sait de tes choix, etc.
On peut donner un ordre de grandeur, mais il faut toujours le recalculer soi-
même avec les éléments qu'on connaît pour avoir un vrai indicateur fiable.

Le simple fait de parler de sa propre méthode de chiffrement à entropie 
théoriquement très forte fait qu'elle peut devenir un système à entropie très 
faible.
Diceware en est un très bon exemple avec une entropie quasiment divisée par 2 
(110 donc sécurisé à 70 donc très faible) par le fait de savoir que c'est 
réellement un Diceware :)

Annoncer une entropie peut aussi poser un problème de confiance, la personne 
en 
face pouvant croire qu'elle est à l'abris avec un mot de passe d'entropie 
indiquée comme > 120, alors qu'il s'agit en réalité de l'entropie maximale 
sous des conditions bien précises et généralement non applicables à une 
utilisation courante.

Donner la formule pour la calculer soit-même avec ses propres estimations, 
c'est mieux :)
        E = L * log(D) / log(2)
        E → entropie
        D → taille du dictionnaire utilisé
        L → nombre d'éléments du dictionnaire utilisé
D et L étant dépendants de l'attaquant, il faut faire les hypothèses les plus 
fortes pour calculer E.

-- 
Nicolas Vinot

Protégez votre vie privée, chiffrez vos communications
GPG : EFB74277 ECE4E222
OTR : 922C97CA EC0B1AD3

Attachment: signature.asc
Description: This is a digitally signed message part.