Commit 797ff744 authored by mazenovi's avatar mazenovi
Browse files

enhance privacy

parent 06ce53f1
<li><a href="privacy/jnarac.html">jnarac</a> ok</li>
<li><a href="privacy/passwords.html">passwords</a></li>
<li><a href="privacy/jnarac.html">je n'ai rien &agrave; cacher</a></li>
<li><a href="privacy/passwords.html">mots de passes</a></li>
<li><a href="privacy/tracking.html">tracking</a></li>
<li><a href="privacy/sovereignty.html">sovereignty</a> ok</li>
<li><a href="privacy/sovereignty.html">souvenrainet&eacute;</a></li>
<li><a href="privacy/tails.html">tails</a></li>
<li><a href="privacy/tor.html">tor</a>ok</li>
<li><a href="privacy/crypto.html">crypto</a>ok</li>
<li><a href="privacy/ssl.html">ssl</a>ok</li>
<li><a href="privacy/pgp.html">pgp</a>ok</li>
<li><a href="privacy/crypto.html">crypto</a>k</li>
<li><a href="privacy/tls.html">tls</a></li>
<li><a href="privacy/pgp.html">pgp</a></li>
<li><a href="privacy/tor.html">tor</a></li>
<li><a href="privacy/bitcoin.html">bitcoin</a></li>
<li>bonnes resolutions</li>
<li>sujet websec</li>
<li>3 moyens de dépenser BTC légalement</li>
<li>3 .onion français (screen shot)</li>
<li>chiffré PGP avec ma clé signé</li>
<li>sujet privacy</li>
......@@ -131,6 +131,17 @@ $ gpg --list-private-keys
* dont on a le mot de passe
### Fonctions des clés
| Constant | Character |
|-------------------|-----------|
| PUBKEY_USAGE_SIG | S |
| PUBKEY_USAGE_CERT | C |
| PUBKEY_USAGE_ENC | E |
| PUBKEY_USAGE_AUTH | A |
Authentication
### Exporter une clé GPG
```bash
......@@ -368,8 +379,8 @@ Hardocre mode \o/
## Révocation
* secret ou clé perdus
* secret ou clé compromises
* secret ou clé perdu
* secret ou clé compromis
* l'attaquant peut
* écrire en se faisant passer pour le propriétaire des clés
* signer en général
......@@ -435,8 +446,6 @@ $ gpg --encrypt --armor --output msg.gpg \
* importation au préalable
* --recipient permet de spécifier la clé publique à utiliser
<br>
#### Déchiffrer
```bash
......@@ -521,7 +530,11 @@ Automatisable via cron
```
### Importer un clé à partir d'un serveur de clé public (manuellement i.e. sans enigmail)
### Importer un clé à partir d'un serveur de clé public
```bash
gpg --keyserver pgp.mit.edu --recv-key 0EBE8000
```
## Réseau de confiance
......@@ -694,19 +707,17 @@ gpg> trust
### [openKeyChain](https://www.openkeychain.org/)
* Gestionnaire de clés PGP pour android
* Open source (F-Droid)
* Open source ([F-Droid](https://f-droid.org/))
### [k9mail](https://k9mail.github.io/)
* Client mail pour android
* Open source (F-Droid)
* bonne intégrationavec OpenKeyChain
https://www.reddit.com/r/privacy/comments/6d3a33/best_android_rom_for_privacy/
* Open source ([F-Droid](https://f-droid.org/))
* bonne intégrationavec [openKeyChain](https://www.openkeychain.org/)
### [openpgp.js](https://github.com/openpgpjs/openpgpjs)
https://security.stackexchange.com/questions/38219/security-of-running-openpgp-js-in-a-browser-with-the-private-key-in-html5-locals
https://github.com/openpgpjs/openpgpjs/wiki/Introduction
* [OpenPGP.js Introduction](https://github.com/openpgpjs/openpgpjs/wiki/Introduction)
* [security of running openpgp.js in a browser with the private key in html5 locals](https://security.stackexchange.com/questions/38219/security-of-running-openpgp-js-in-a-browser-with-the-private-key-in-html5-locals)
# souveraineté
# Souveraineté
Si l'utilisateur n'utilise pas des outils qu'il contrôle ...
......@@ -53,7 +53,7 @@ Il est contrôlé par ses outils
* logiciels: [framasoft](https://framasoft.org/), [alternativeto](https://alternativeto.net/)
* Android: [F-DROID](https://f-droid.org/fr/)
* Android: [F-DROID](https://f-droid.org/fr/), [<i class="fa fa-reddit" aria-hidden="true"></i> best android ROM for privacy](https://www.reddit.com/r/privacy/comments/6d3a33/best_android_rom_for_privacy/)
## Services
......
......@@ -20,6 +20,21 @@
* Une solution est de chiffrer (chiffrement symétique) son système
* Booter à partir d'un autre système l'attaquant devra connaître le mot de passe pour lire le disque en clair
## Enjeu de l'OS
Solution de chiffrement par OS
* [<i class="fa fa-apple" aria-hidden="true"></i> FileVault](https://fr.wikipedia.org/wiki/FileVault)
* [<i class="fa fa-windows" aria-hidden="true"></i> BitLocker](https://fr.wikipedia.org/wiki/BitLocker_Drive_Encryption)
* [<i class="fa fa-linux" aria-hidden="true"></i> dm-crypt](https://fr.wikipedia.org/wiki/Dm-crypt)
* [<i class="fa fa-apple" aria-hidden="true"></i> <i class="fa fa-windows" aria-hidden="true"></i> <i class="fa fa-linux" aria-hidden="true"></i> <strike>TrueCrypt</strike> VeraCrypt](https://www.veracrypt.fr/en/Home.html)
* [<i class="fa fa-android" aria-hidden="true"></i> C’est le moment de chiffrer votre téléphone Android](https://korben.info/cest-moment-de-chiffrer-telephone-android.html)
* [<i class="fa fa-apple" aria-hidden="true"></i> Guide d'utilisation de chiffrer votre iPhone](https://ssd.eff.org/fr/module/guide-dutilisation-de-chiffrer-votre-iphone)
## Enjeu de l'OS
* Une autre solution est l'utilisation d'un système Live
* bootable à partir d'un support amovible (CD / USB)
* avantage
......@@ -41,41 +56,49 @@
* OS **live** basé sur **Debian**
* 64 bits uniquement depuis 2017
* objectif
* Pbjectifs
* préserver la vie privée
* préserver l'anonymat
* moyen
* Moyen
* réduire ses traces sur la machines
* réduire / chiffrer les traces laissée sur le réseau
* réduire / chiffrer les traces laissées sur le réseau
* résout le problème de l'amnésie d'un OS live
https://tails.boum.org/index.fr.html
https://tails.boum.org/about/index.fr.html
https://tails.boum.org/doc/index.fr.html
## Tails
* [Site officiel](https://tails.boum.org/about/index.fr.html)
* [Documentation](https://tails.boum.org/doc/index.fr.html)
* [Tails download](https://tails.boum.org/install/)
## Historique
* juin 2009
* descendant de Incognito(https://en.wikipedia.org/wiki/Incognito_(operating_system))
* financé par
* le projet Tor
* Debian
* Mozilla
* Juin 2009
* descendant de [Incognito](https://en.wikipedia.org/wiki/Incognito_(operating_system))
* Financé par
* [Tor project](https://www.torproject.org/)
* [Debian](www.debian.org)
* [Mozilla](https://www.mozilla.org/fr/)
* [Freedom of the PressFoundation](https://fr.wikipedia.org/wiki/Freedom_of_the_Press_Foundation)
* [XKeyscore](https://fr.wikipedia.org/wiki/XKeyscore) de la [NSA](https://fr.wikipedia.org/wiki/National_Security_Agency)
* règles ciblant les personnes
* cherchant des informations sur Tails à l'aide d'un moteur de recherche
* visiteurs du site officiel
* Un commentaire dans le code source de XKeyscore décrit Tails comme « un outil de communication recommandé par des extrémistes sur des forums extrémistes »
## [XKeyscore](https://fr.wikipedia.org/wiki/XKeyscore)
* Règles ciblant les personnes
* cherchant des informations sur Tails à l'aide d'un moteur de recherche
* visiteurs du site officiel
« *un outil de communication recommandé par des extrémistes sur des forums extrémistes* »
[NSA](https://fr.wikipedia.org/wiki/National_Security_Agency)
Note:
- Tails en donc très efficace
## Création du système live
![VM Tails](images/tails/vm-tails.png)
## Mise à jour
## Création d'une partition chiffrée
......
......@@ -121,9 +121,9 @@ BAMMC2V4YW1wbGUuY29tMB4XDTE3MTAzMTExMzEzNFoXDTE3MTEzMDExMzEzNFow
## Certificat auto-signé
* Issuer et Subject identiques
* **Issuer** et **Subject** identiques
* Tout le monde peut en fabriquer
* Rejeté par défaut par les navigateurs
* Rejetés par défaut par les navigateurs
#### Faire parler un certificat
......@@ -214,6 +214,7 @@ Chaînes de certification
* [digicert](https://www.digicert.com/)
* [verisign](https://www.websecurity.symantec.com/fr/fr/ssl-certificate)
* [Comodo](https://www.comodo.com/)
* ...
* Gratuites
* [StartSSL free](https://www.startcomca.com/index/support?v=1)
* [CAcert](http://www.cacert.org/) (not known good signers)
......@@ -236,7 +237,7 @@ Chaînes de certification
* wildcard
* https://amendes.gouv.fr
* Certificats expirés
* Autorités de certification non importée
* Autorité de certification non importée
* ...
......@@ -311,7 +312,8 @@ note:
## Signer un fichier
https://raymii.org/s/tutorials/Sign_and_verify_text_files_to_public_keys_via_the_OpenSSL_Command_Line.html
[Sign and verify text files to public keys via the OpenSSL Command Line](https://raymii.org/s/tutorials/Sign_and_verify_text_files_to_public_keys_via_the_OpenSSL_Command_Line.html)
#### Certificate Revocation List (CRL)
......@@ -375,7 +377,7 @@ Protocole d’interrogation de validité pour un certificat
* [Google's Certificate Transparency project](http://www.certificate-transparency.org/)
## SSL / TLS
## <strike>SSL</strike> / TLS
* Crée un canal de communication **authentifié**, protégé en **confidentialité** et en **intégrité**
* Utilise des certificats X.509
......@@ -451,13 +453,13 @@ Le serveur
* Les paramètres de chiffrements
* sont négociés et « jetables »
## Certificats clients
* Un client peut présenter un certificat au serveur
* Le serveur vérifie si le certificat est signé par une CA de confiance
* Le serveur peut utiliser ces informations pour authentifier l’utilisateur
* Le certificat peut être stocké dans un périphérique (e.g. Yubikey), une carte à puce (e.g. CPS), ...
vérifier avec le CNRS
* Le certificat peut être stocké dans un périphérique (e.g. [Yubikey](https://www.yubico.com/)), une carte à puce (e.g. [CPS](https://fr.wikipedia.org/wiki/Carte_de_Professionnel_de_Sant%C3%A9)), ...
## [Cypher suite](https://fr.wikipedia.org/wiki/Suite_cryptographique)
......@@ -513,7 +515,7 @@ risk?](https://security.stackexchange.com/questions/63867/ssl-tls-renegotiation-
## Vulnérabilité TLS_RSA_WITH_RC4_128_MD5
* si la clé privée du serveur est récupérée
* le *pre master secret* est récupérable
* le **secret partagé** est récupérable
* on peut obtenir les clés de session
* toutes les communications sont alors déchiffrables
* passées
......@@ -620,7 +622,7 @@ Note:
* On ne voit pas l'url dans le traffic
* mais on voit l'ip de l'hôte
* Proxy https ou VPN anonimisent complètement le traffic
* Proxy https ou VPN anonymisent complètement le traffic
Note:
- Attention les proxy
......@@ -647,14 +649,7 @@ Note:
* [GnuTLS security](http://www.gnutls.org/security.html)
* [Les attaques SSL / TLS](https://korben.info/les-attaques-ssltls.html)
* [Public Key Infrastructure (PKI)](https://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiques)
* [Certificate authorities issue SSL certificates to fraudsters](http://news.netcraft.com/archives/2015/10/12/certificate-authorities-issue-hundreds-of-deceptive-ssl-certificates-to-fraudsters.html)
Note:
- Repose sur la confiance dans les autorités de confiance
- Honnêteté et sécurité des autorités de certification
- savoir faire : délivré des certificats certifiant par erreur
- signé par une autorité de confiance, chaine valide
- on calcule le hash avec la clé publique de l'autorité et on la compare au hash du certificat
* [Certificate authorities issue SSL certificates to fraudsters](http://news.netcraft.com/archives/2015/10/12/certificate-authorities-issue-hundreds-of-deceptive-ssl-certificates-to-fraudsters.html)
## <i class="fa fa-gears"></i> Tests serveurs
......
......@@ -28,7 +28,7 @@
* Utilisation
* détectable par les sites /service consultés
* [extension TorBlock de MediaWiki](https://www.mediawiki.org/wiki/Extension:TorBlock)
* [How to ban people from sites when using Tor](https://www.reddit.com/r/TOR/comments/7xsl7v/how_to_ban_people_from_sites_when_using_tor/)
* détectable par le FAI
......@@ -66,7 +66,7 @@
* [Tor relays map](https://torflow.uncharted.software)
* [Tor est lent](https://svn.torproject.org/svn/projects/roadmaps/2009-03-11-performance.pdf)
* [Mais ce peut être amélioré](https://www.torproject.org/docs/faq.html.en#WhySlow)
* [Tor utilise RSA 1024 etdevrait passer à Curve25519 group / Ed25519](https://gitweb.torproject.org/torspec.git/tree/tor-spec.txt)
* [Tor utilise RSA 1024 etdevrait passer à Curve 25519 group / Ed25519](https://gitweb.torproject.org/torspec.git/tree/tor-spec.txt)
## Tor Browser
......@@ -114,11 +114,15 @@
* **relais intermédiaire** (*RI*)
* **relais de sortie** (*RS*)
* **relais Hidden Service Directory** (*HSDir*)
* annuaire de (***SC***)
* annuaire de **services cachés** (***SC***)
## Relais
* [Les relais Tor par type (*Flag*)](https://metrics.torproject.org/relayflags.html?start=2017-10-25&end=2018-01-23&flag=Running&flag=Exit&flag=Fast&flag=Guard&flag=Stable&flag=HSDir)
* [Héberger des relais Tor](https://www.torproject.org/docs/tor-doc-relay.html.en)
* [The New Guide to Running a Tor Relay](https://blog.torproject.org/new-guide-running-tor-relay)
## Circuit Tor
......
......@@ -3,8 +3,83 @@
# <i class="fa fa-user-secret" aria-hidden="true"></i>
panopticlick
## [panopticlick](https://panopticlick.eff.org/)
https://github.com/willdurand-edu/cookie-playground/blob/master/website/index.html
### Is your browser safe against tracking?
assiste.com
[Electronic Frontier Foundation](https://www.eff.org/about)'s project
## Fingerprint
![Finger print](images/tracking/fingerprint.png)<!-- .element style="width: 80%" -->
## Cookies
* Palie à l'amnésie du protocol HTTP
* En têtes HTTP envoyées par le serveur
```http
Set-Cookie: name=value[; Max-Age=age][; expires=date]
[; domain=domain_name][; path=some_path][; secure][; HttpOnly]
```
* Renvoyées inchangées par le client à chaque requête
```http
Cookie: name=value
```
* Cloisonnés par domaine
* accessibles via les sous domaines
## just do it
* [<i class="fa fa-github" aria-hidden="true"></i> willdurand-edu/cookie-playground](https://github.com/willdurand-edu/cookie-playground)
```bash
sudo add-apt-repository ppa:webupd8team/atom && sudo apt update;
sudo apt install git php atom
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
php -r "if (hash_file('SHA384', 'composer-setup.php') === '544e09ee996cdf60ece3804abc52599c22b1f40f4323403c44d44fdfdd586475ca9813a858088ffbc1f233e9b180f061') { echo 'Installer verified'; } else { echo 'Installer corrupt'; unlink('composer-setup.php'); } echo PHP_EOL;"
php composer-setup.php
php -r "unlink('composer-setup.php');"
php composer.phar install
php -S localhost:4000 -t .
atom .
```
* tracker exposes a dashboard at: http://localhost:4000/tracker/public/dashboard.
* The website does not do much, but is available at: http://localhost:4000/website/.
## Space cookies
* Techniques de tracking
* Cookies plus persistants
* moins limité en taille
* [Supercookie](https://en.wikipedia.org/wiki/HTTP_cookie#Supercookie)
* cookie de niveau racine (.com)
## Space cookies
* Flash cookie
* utilise la persistance flash
* [LSO (Local Shared Object)](https://fr.wikipedia.org/wiki/Objet_local_partag%C3%A9)
* cross domain
* accès à l'historique des sites visités utilisant flash
## Space cookies
* [Zombie cookie](https://en.wikipedia.org/wiki/Zombie_cookie)
* cookie perpétuellement recréé
* [Evercookie](https://en.wikipedia.org/wiki/Evercookie)
* exploite toute les possibilités
* [<i class="fa fa-github"></i> samyk/evercookie](https://github.com/samyk/evercookie/)
* [Cookie de tracking / assiste.com](http://assiste.com/Cookie_de_Tracking.html)
......@@ -4,7 +4,7 @@
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
<title>SSL / TLS</title>
<title>PGP</title>
<link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
<link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
......
......@@ -12,6 +12,7 @@
<!-- Theme used for syntax highlighting of code -->
<link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
<link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
<link rel="stylesheet" href="../main.css">
<!-- Printing and PDF exports -->
<script>
......
......@@ -4,7 +4,7 @@
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
<title>SSL</title>
<title>X.509 / TLS</title>
<link rel="stylesheet" href="../../node_modules/reveal.js/css/reveal.css">
<link rel="stylesheet" href="../../node_modules/reveal.js/css/theme/white.css">
......@@ -26,7 +26,7 @@
<body>
<div class="reveal">
<div class="slides">
<section data-markdown="md/ssl.md"
<section data-markdown="md/tls.md"
data-separator="^\n\n\n"
data-separator-vertical="^\n\n"
data-separator-notes="^Note:"
......
......@@ -12,6 +12,7 @@
<!-- Theme used for syntax highlighting of code -->
<link rel="stylesheet" href="../../node_modules/reveal.js/lib/css/zenburn.css">
<link rel="stylesheet" href="../../node_modules/font-awesome/css/font-awesome.min.css">
<link rel="stylesheet" href="../main.css">
<!-- Printing and PDF exports -->
<script>
......
Supports Markdown
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment