Ellendhel's Blog

LinuxVérification d'un enregistrement DNSSEC

Les enregistrements DNSSEC étant liés à des clés cryptographiques et ces clés ayant une durée de vie limitée, il peut être nécessaire de vérifier les dates de début et de fin de vie lorsqu'une erreur de validation se produit. Ce mécanisme a été décrit plus en détails dans un article précédent.

Il est bien sûr plus commode d'effectuer cette opération via un script, ce qui avait été proposé ici même. Toutefois, ce script comportait un bug : dans le cas où un domaine n'était pas signé par DNSSEC, le résultat retourné était basé sur l'enregistrement du domaine parent. Ce point a été corrigé, et quelques améliorations mineures on également été apportées.

La nouvelle version du script dnssec-checkdate est disponible, sous les même conditions (domaine public, sans garantie).

publié le 17 février 2015

lien direct

CryptographieIntroduction to Online Security at HacDC

Last Saturday, the Washington DC hackerspace, HacDC, organized a event to explain the basics of Online Security. It was pretty well attended and people have been asking a lot of questions.

As a guest speaker, I have presented an overview of DNS and another overview on security certificates. The files used for each are available in OpenDocument and PDF formats:

- DNS: Domain Name System - an overview - OpenDocument - PDF

- Security Certificates - an overview - OpenDocument - PDF

Thanks to HacDC for the organization, especially to Enrique, this was a very good opportunity.

Coincidentally, the NSA program "More Cowbell" has been revealed by some Europeans newspapers the day before (based on Snowden's files). A related document explains how the NSA tries to pry on the DNS traffic, both actively and passively. The paper explains the DNS system as well and the different projects to improve its security and privacy, or to replace it.

Also, for people who want to learn more about cryptography in the DC metro area, here are some extra resources:

- The International Spy Museum as a large exibit on cryptography, from the antiquity to the current era. You can also find few books on the subject at the gift shop.

- The National Cryptographic Museum is probably one of the best museum to learn about cryptography and cryptography history. It is not a surprise, since it is part of the National Security Agency. Admission is free; I recommend a guided tour.

- You can't probably see the famous Kryptos sculpture since it is installed on the CIA grounds, but the similar Antipodes sculpture from the same artist, Jim Sanborn, can be found near the entrance of the Hirshhorn Museum and Sculpture Garden on the National Mall.

- And there is currently a temporary exibit at the Folger Shakespeare Library named "Decoding the Renaissance: 500 Years of Codes and Ciphers" through February 26.

publié le 27 janvier 2015

lien direct

CryptographieGérer de multiples clés avec ssh-agent

Ayant accès à des serveurs divers via SSH, il est à la fois plus commode et plus sûr d'utiliser des clés SSH en remplacement de différents mot de passe (comme déjà présenté ici même).

L'un des inconvénients de mon précédent script est que ssh-agent ne prenait en compte qu'une seule clé ; un peu de travail à été nécessaire pour gérér des clés supplémentaires.

Cette nouvelle version chargera toutes les clés présentes dans le répertoire .ssh de l'utilisateur ; si cela ne convient pas il faudra lister les clés voulues en ligne 55 et la décommenter et commenter la ligne 57.

Un petit ajout cosmétique : le nom du fichier de clé est affiché en gras, cela n'est pas officiellement documenté sur la page de KDE Dialogs, mais fonctionne sans problème.

publié le 19 août 2014

lien direct