Auteur Sujet: Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA (Lu 10074 fois)

corrector · « **Réponse #24 le:** 10 novembre 2013 à 01:35:01 »

Citation de: TitiDu01 le 10 novembre 2013 à 01:30:40

Ba pour le SFTP il n'y a rien besoin si ? Le sereur SSH suffit et c'est celui de base dans raspbian.

Oui, c'est bien du serveur SSH dont je parle.

Peux-tu te connecter en SSH en mode bavard (-v)?

Que contiennent /etc/ssh/ssh_config et ~/.ssh/config?

Thibault · « **Réponse #25 le:** 10 novembre 2013 à 01:46:39 »

Il me semble que c'est OpenSSH.

Sinon pour les fichiers:

/etc/ssh/ssh_config

Code: [Sélectionner]

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

~/.ssh/config
N’existe pas !

corrector · « **Réponse #26 le:** 10 novembre 2013 à 01:55:34 »

Citation de: TitiDu01 le 10 novembre 2013 à 01:46:39

/etc/ssh/ssh_config
# Protocol 2,1 # Cipher 3des # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

Tu peux utiliser scp -c CHIFFRE pour sélectionner une méthode de chiffrement.

BadMax · « **Réponse #27 le:** 10 novembre 2013 à 09:12:33 »

Citation de: corrector le 09 novembre 2013 à 22:36:55

Quoi est plus lourd que quoi?

Que pour du débit brut, https est plus lourd qu'un SFTP. 'ttention, j'ai dit il me semble.

Citation de: corrector le 09 novembre 2013 à 22:36:55

sur certains processeurs Intel et AMD.

J'ai un Core i7 Westmere, y'a pas AES.

vivien · « **Réponse #28 le:** 10 novembre 2013 à 10:25:30 »

Pour LaFibre.info, le processeur gère bien AES :

flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid

Les infos compètes via cat /proc/cpuinfo :

Code: [Sélectionner]

processor	: 7
vendor_id	: GenuineIntel
cpu family	: 6
model		: 42
model name	: Intel(R) Xeon(R) CPU E31230 @ 3.20GHz
stepping	: 7
microcode	: 0x25
cpu MHz		: 1600.000
cache size	: 8192 KB
physical id	: 0
siblings	: 8
core id		: 3
cpu cores	: 4
apicid		: 7
initial apicid	: 7
fpu		: yes
fpu_exception	: yes
cpuid level	: 13
wp		: yes
flags		: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid
bogomips	: 6385.41
clflush size	: 64
cache_alignment	: 64
address sizes	: 36 bits physical, 48 bits virtual
power management:

Thibault · « **Réponse #29 le:** 10 novembre 2013 à 10:40:50 »

@Corrector : Tu veux que je fasse un test avec tous ?

Citer

Tu peux utiliser scp -c CHIFFRE pour sélectionner une méthode de chiffrement.

kgersen · « **Réponse #30 le:** 10 novembre 2013 à 10:43:42 »

Lors du passage de GMail en HTTPS en 2010 les changements constatés étaient:

moins de 1% cpu load
moins de 10KB de mémoire consommée par connexion
moins de 2% de traffic réseau

Le plus gros du boulot a lieu a l'ouverture de connexion et est fait pas le client.

corrector · « **Réponse #31 le:** 10 novembre 2013 à 10:44:11 »

Citation de: TitiDu01 le 10 novembre 2013 à 10:40:50

@Corrector : Tu veux que je fasse un test avec tous ?

Pas avec ceux qui sont overkill! (AES-256 n'a pas de justification.)

Juste AES-128 et ARC4.

corrector · « **Réponse #32 le:** 10 novembre 2013 à 11:13:17 »

Citation de: vivien le 10 novembre 2013 à 10:25:30

Pour LaFibre.info, le processeur gère bien AES :

flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid

Mais https://lafibre.info/ propose RC4_128.

Bensay · « **Réponse #33 le:** 10 novembre 2013 à 13:50:57 »

Merci à tous pour ces infos

,
Topic fort intéressant ma fois.

Cdt

Bensay

corrector · « **Réponse #34 le:** 09 juin 2014 à 02:14:50 »

Citation de: corrector le 10 novembre 2013 à 11:13:17

Mais https://lafibre.info/ propose RC4_128.

Maintenant c'est du AES-128 en GCM (galois counter mode).

OpenSSL utilise bien les instructions AES et PCLMULQDQ?

Auteur Sujet: Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA (Lu 10074 fois)

corrector

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

Thibault

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

corrector

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

BadMax

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

vivien

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

Thibault

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

kgersen

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

corrector

Performance du chiffrement

corrector

Performance du chiffrement

Bensay

Chiffrement 802.1AE sur les liens intercontinentaux pour contrer la NSA

corrector

AES-128 en GCM sur lafibre.info