Module NSA encryption spek inclus =c3=a0 partir du Kernel 4=2e17 =3a C'est quoi =3f Il sert =c3=a0 quoi =3f
Le
Pierre www.zetrader.fr
Hello, au hasard de mes recherches, j'apprends l'existence d'un module
NSA qui serait intégré depuis le kernel 4.17, et je m'interroge sur son
rôle :
https://www.omgubuntu.co.uk/2018/08/linux-4-18-kernel-release-features
Un gars demande en com "Was NSA code removed from Linux kernel in this
new version?"
Et rajoute dans la conversation :
"I know Linux is open source, I've been using it as my main O.S. (the
only one installed in my computer) since 2006 and I know I can put the
NSA module in a blacklist and that's all, but what paid my attention
here is the way It was included in the kernel. My understanding is that
Google did some pressure to include it, even considering that Speck
algorithm was rejected by ISO, so my little worry here is more political
than technical."
En cherchant dans google, je vois que certains veulent le retirer :
https://askubuntu.com/questions/1067399/remove-nsa-encryption-speck
"The file speck.ko can be found in
/lib/modules/4.18.1-041801-generic/kernel/crypto and it was built by the
NSA (added since Linux Kernel 4.17). I really want to remove this thing
from my computer. "
Donc ma question : il me sert à quoi ce module NSA encryption spek ?
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
NSA qui serait intégré depuis le kernel 4.17, et je m'interroge sur son
rôle :
https://www.omgubuntu.co.uk/2018/08/linux-4-18-kernel-release-features
Un gars demande en com "Was NSA code removed from Linux kernel in this
new version?"
Et rajoute dans la conversation :
"I know Linux is open source, I've been using it as my main O.S. (the
only one installed in my computer) since 2006 and I know I can put the
NSA module in a blacklist and that's all, but what paid my attention
here is the way It was included in the kernel. My understanding is that
Google did some pressure to include it, even considering that Speck
algorithm was rejected by ISO, so my little worry here is more political
than technical."
En cherchant dans google, je vois que certains veulent le retirer :
https://askubuntu.com/questions/1067399/remove-nsa-encryption-speck
"The file speck.ko can be found in
/lib/modules/4.18.1-041801-generic/kernel/crypto and it was built by the
NSA (added since Linux Kernel 4.17). I really want to remove this thing
from my computer. "
Donc ma question : il me sert à quoi ce module NSA encryption spek ?
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Correction, ça se dit *speck*
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Moi je ne trouve pas de speck.ko sur mon PC et mes machines virtuelles.
--
Quand on voit c'qu'on voit, puis qu'on entend c'qu'on entend, on a
raison d'penser c'qu'on pense
(Coluche)
Quelle version de noyau ?
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
J'ai vérifié sur du 4.15,4.18 et 4.19.
Tu l'a trouvé chez toi le speck ?
--
Quand on voit c'qu'on voit, puis qu'on entend c'qu'on entend, on a
raison d'penser c'qu'on pense
(Coluche)
fr.comp.os.linux.configuration
(
Si l'option est "compilée en dur" (comprendre: intégrée directement au
moyau), il n'apparaitra pas dans la liste des modules.
Un moyen de vérifier si l'option est active est de chercher dans le
fichier de configuration du noyau.
Les *bonnes* distributions activent l'option "CONFIG_IKCONFIG" qui
permet de retrouver la configuration du noyau à partir de
/proc/config.gz
Ce n'est malheureusement pas le cas de Debian et il faudra dans ce cas
télécharger le paquet des sources du noyau et faire une recherche dans
le fichier /usr/src/linux/.config fourni par le paquet.
Mais avant ça il faudra à minima connaître le nom précis de l'option.
Sinon lancer la commande suivante directement depuis le répertoire
/usr/src/linux fera apparaître un des outils de configuration du noyau:
make menuconfig
À partir de là il faudra fouiller parmi le zillions d'options
disponibles et localiser la bonne option ou faire une recherche en
appyant sur / mais cela demande d'avoir au moins une petite idée de ce
qu'on cherche.
--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43
C'est une alternative au chiffrement AES, pour les systèmes embarqués
qui n'ont pas d'accélérateur matériel AES à disposition et pas non
plus la puissance CPU nécessaire.
A voir la page Wikipedia en anglais [1], pour le moment il n'y a pas
d'attaque de sécurité connue même s'il y a eu plusieurs tentatives.
Certains disent que la "marge de sécurité" est trop faible par
rapport à AES.
Il y a toutefois des cas où Speck est meilleur qu'AES (pas d'attaque
sur les accès cache comme un logiciel Javascript dans une autre
VM avait montré était possible pour voler la clé privée).
Dans le kernel Linux, apparemment il pouvait être utilisé par EXT4/fscrypt,
notamment par Google, qui a déclaré vouloir développer un autre chiffrement[2]
maintenant que Speck est supprimé du kernel.
La raison de la suppression est, probablement, la volonté de ne pas
donner trop de chances à cet algorithme, originellement développé par
la NSA, de devenir trop populaire.
[1] https://en.wikipedia.org/wiki/Speck_(cipher)
[2] https://www.phoronix.com/scan.php?page=news_item&px=Linux-Kernel-Die-Speck-Die
Ou un grep du dmesg du démarrage, où l'on trouve souvent un message ad-hoc
si compilé en dur.
Exemple:
:~# grep isolation /var/log/dmesg
[ 0.000000] Kernel/User page tables isolation: enabled
ou regarder dans /boot/config-$(uname -r) non ?
Exemple:
:~$ grep -i BLK_DEV_SR /boot/config-$(uname -r)
CONFIG_BLK_DEV_SR=m
CONFIG_BLK_DEV_SR_VENDOR=y
(ici pour voir que ce pilote spécifique est en m)odule et que l'option
VENDOR est active).
Ou l'on ne parle pas de la même chose ?
fr.comp.os.linux.configuration
(
Je ne suis pas certain que ce soit systématique.
Chaque option semble avoir un un comportement qui lui est propre.
Si probablement ! J'ai simplement oublié l'existence de ce fichier
Merci de le rappeler.
Ceci dit je ne comprends pas pourquoi CONFIG_IKCONFIG n'est pas activé
par Debian (et bien d'autres). Cela permet de vérifier la configuration
du noyau en cours d'utilisation quand un fichier dans /boot ne garanti
pas qu'il correspond au noyau en cours.
--
Oh, papa ! tes militants réclament leur dose.
T'as qu'a leur montrer tes biroutes.
T'es aussi coincé qu'un rollmops
Tombé dans une cuve à mazout.
-- H.F. Thiéfaine, L'homme politique, le rollmops et la cuve à mazout
Juste, (pour dmesg).
Une raison possible est expliquée ici:
https://lists.debian.org/debian-kernel/2004/10/msg00023.html
C'est du gaspillage, alors que si le système est géré par Debian,
/boot/{config,vmlinuz,initrd}-$(uname -r) contient l'information
nécessaire.
Un fichier dans /boot, c'est juste un fichier dans /boot. Un
pseudo-fichier dans /proc, c'est du code dans le noyau, en mémoire en
permanence.