[Topic officiel] PS3
-
yoann[007]
- Golden Mario
- Messages : 11652
- Inscription : lun. 12 janv. 2009 - 01:26
http://fr.wikipedia.org/wiki/Viiouba a écrit :"who of you owns a VII" c'est un allemand qui parle ou quoi ?
L'allemand qui a casse le SHA-1 recement, a en fait juste demontrer comment utiliser le cloud Pour casser un mot de passe SHA-1, Il l'a fait avec le cloud d'amazon. Parceque pour casser ce genre d'algorythme de hash, il faut de super claculateur en generale, mais lui l'a fait pour environ 2$, et 49 minutes environ sur un mot de passe de 6 caracteres alphanumerique et sans seed en effet. Le but etant evidement de montrer que pour pas chere, et en peu de temps on casser, cet algo. Une nouvelle facon de faire quoi. Donc un peu plus chere et un peu plus de temps on casse des hash SHA-1 plus comlet.
C'est clair que le choix de sony, est surprenant, mais recement mozilla a laisse sur son espace publique une copie de la leur base de donnees avec les mot de passe utilisateurs hasher en .... md5 et ..... sans seed. Les md5 a ete casse en .... 1996 et mozilla a decide de ne plus utiliser le md5 en .... 2009. Comme quoi :/
C'est clair que le choix de sony, est surprenant, mais recement mozilla a laisse sur son espace publique une copie de la leur base de donnees avec les mot de passe utilisateurs hasher en .... md5 et ..... sans seed. Les md5 a ete casse en .... 1996 et mozilla a decide de ne plus utiliser le md5 en .... 2009. Comme quoi :/
-
Ulysse29
- Metal Mario
- Messages : 3071
- Inscription : dim. 30 nov. 2008 - 19:44
- Localisation : trap euqleuq ...
Et surtout des loader d'ISO et ca, ca va pas passer innapercut, ca pourrait faire mal a la PS3 ... au niveaux des ventes de jeux, pour les consoles, c'est autre chose ...sakuragi a écrit :j'ai vraiment hâte aussi , pouvoir avoir du multimédia , ému en tout genre sur la ps3 c'est tout bon
Je sais pas si c'est vraiment bon ce genre de choses, ok on peut jouer gratis, mais des centaines de mileirs de personnes qui font ca ...
Enfin, de toute facon j'ai pas compris grand chose de vos truc, wikipédia on peut pas matter un truc sans tomber dans des pavés incompréhensibles ...
Ben la cryptographie c'est pas simple.
Mais je vais tenter de vulgariser. Lorsqu'un utilisateur s'enregistre sur un site, par exemple un forum come celui ci, il faut enregistrer son mot de passe dans la base de donnees. Seulement si son mot de passe c'est "nintendo", on va pas mettre user=ouba, mot de passe=nintendo tel quel dans la bdd. Parceque si jamais la base de donnees se fait hacker, tous les mot de passe seront en clair et n'importe qui pourra les lire. Sachant que beaucoup d'utilisateurs ont un meme mot de passe pour plusieurs sites, voire leur email, c'est la cata si leur mot de passe arrivait a etre devoile.
Donc on utilise une fonction de hashage, qui est different d'une fonction de cryptage, car une fonction de hashage est theoriquement irreversible, alors que le cryptage est fait pour etre decrypter. Donc pour le mot de passe "nintendo" le hash md5 sera "7d9ad0211d6493e8d55a4a75de3f90a1" et pour nintendO le hash sera "37d210edc0221ec4a1908afe3ddd1b0d". C'est un calcul complexe, donc le resultat n'est pas "presque" similaire pour "presque" le meme mot.
Il existe plein d'algo de hashage, SHA1 / SHA0 / SHA256 / SHA512 / MD5 etc ... Le probleme, c'est que ca a ete prouve que le MD5 / SHA0 / SHA1 pouvaient etre retrouver a condition d'avoir de la puissance de calcul qui necessaire (super ordinateur, cloud). Car plus le mot de passe d'origine contient de caracteres, plus ca prendra du temps pour le retrouver. Donc pour compliquer la tache (et aussi pallier aux utilisateur utilisant de faible mot de pase genre 123456) il est conseiller d'ajouter une "seed" ou "grain de sel".
Du coup le mot de passe devient "nintendo" + "mon-grain-de-sel-tout-long-et-trop-bien" avant de passer en MD5, ce qui donne "c1579d64f091a1c7323035734bafc61e" une fois passe en MD5.
Ainsi si quelqu'un essaie une attaque par brute force avec dictionnaire (une base de donnees qui contient beaucoup de mot commun et qui peut aller jusqu'a 60 Go, appele aussi hash table ou raimbow table), il ne trouvera pas le mot de passe car il ne connais pas ton grain de sel. Et si il essaie de dechiffrer par le calcul, comme ya beaucoup de carateres, ben ca prendra beaucoup de temps.
Et justement Sony a utilise du SHA1 sans "grain de sel". Ce qui est quand meme une erreur de debutant.
Apres concernant la fonction random qui devait generer une cle aleatoire pour la signature :
En informatique classique, il est impossible de generer un nombre purement aleatoire. Contrairement a l'informatique quantique. Donc une des methodes est d'utiliser une suite de nombre bien defini a l'avance avec des calcul de ouf (division, multiplication etc ...).
Donc on va prendre un exemple simple, on va dire que on part sur (X * 2) / 8
Si X = 4
On aura 4, on multiplie par 2 puis on divise par 8 on aura 4, 8, 1 et ainsi de suite. (En vrai c'est beaucoup plus complique bien sure).
Et la encore vu que c'est pseudo aleatoire, a partir d'un nombre meme donne, la suite sera la meme a chaque fois. Si X = 4, alors la suite sera toujours 4, 8, 1. Donc il faut la aussi utiliser une "seed/grain de sel". Par exemple si la seed est 8, la suite sera 8, 16, 2 etc ...
Et pour etre sure que personne ne capte, il faut utiliser une seed pseudo random. Par exemple l'heure. Les milliseconde defile telelement vite, qu' on sait jamais a quel millliseconde la fonction va etre appele, donc si elle est appele alors que la millisecond est 9, la seed sera 9, et l'operation la suite aleatoire sera changer. dans ca cas on aura : 9, 18, 2, 4, 8, 0 etc ... (en prenant les entier)
Et la encore Sony n 'a pas utilise de Seed. Donc ils ont remarquer que la suite etait toujours la meme. Et la il fallait resoudre l'equation qui permet d'avoir la suite. C'est un exo de math basique en suite numerique "trouver l'equation qui permet de generer la suite numerique suivante". C'est l'equation dont parle Eldroth plus haut. Ils doivent a voir des matheux de ouf dans leur team. Alors que chez sony je me pose des questions. Tout bon programmeur qui se respect sait qu'il faut utiliser une seed pour avoir un nombre pseudo aleatoire correcte.
D'ailleurs Marcan dit a ce propos "It's Sony not knowing WTF they're doing when making signatures, and thus mathematically leaking their keys."
Donc voila, desole si c'etait long. J'espere que ta compris, j'aime pas la crypto en generale, mais pour le coup ca me passionne vraiment cette aventure
Mais je vais tenter de vulgariser. Lorsqu'un utilisateur s'enregistre sur un site, par exemple un forum come celui ci, il faut enregistrer son mot de passe dans la base de donnees. Seulement si son mot de passe c'est "nintendo", on va pas mettre user=ouba, mot de passe=nintendo tel quel dans la bdd. Parceque si jamais la base de donnees se fait hacker, tous les mot de passe seront en clair et n'importe qui pourra les lire. Sachant que beaucoup d'utilisateurs ont un meme mot de passe pour plusieurs sites, voire leur email, c'est la cata si leur mot de passe arrivait a etre devoile.
Donc on utilise une fonction de hashage, qui est different d'une fonction de cryptage, car une fonction de hashage est theoriquement irreversible, alors que le cryptage est fait pour etre decrypter. Donc pour le mot de passe "nintendo" le hash md5 sera "7d9ad0211d6493e8d55a4a75de3f90a1" et pour nintendO le hash sera "37d210edc0221ec4a1908afe3ddd1b0d". C'est un calcul complexe, donc le resultat n'est pas "presque" similaire pour "presque" le meme mot.
Il existe plein d'algo de hashage, SHA1 / SHA0 / SHA256 / SHA512 / MD5 etc ... Le probleme, c'est que ca a ete prouve que le MD5 / SHA0 / SHA1 pouvaient etre retrouver a condition d'avoir de la puissance de calcul qui necessaire (super ordinateur, cloud). Car plus le mot de passe d'origine contient de caracteres, plus ca prendra du temps pour le retrouver. Donc pour compliquer la tache (et aussi pallier aux utilisateur utilisant de faible mot de pase genre 123456) il est conseiller d'ajouter une "seed" ou "grain de sel".
Du coup le mot de passe devient "nintendo" + "mon-grain-de-sel-tout-long-et-trop-bien" avant de passer en MD5, ce qui donne "c1579d64f091a1c7323035734bafc61e" une fois passe en MD5.
Ainsi si quelqu'un essaie une attaque par brute force avec dictionnaire (une base de donnees qui contient beaucoup de mot commun et qui peut aller jusqu'a 60 Go, appele aussi hash table ou raimbow table), il ne trouvera pas le mot de passe car il ne connais pas ton grain de sel. Et si il essaie de dechiffrer par le calcul, comme ya beaucoup de carateres, ben ca prendra beaucoup de temps.
Et justement Sony a utilise du SHA1 sans "grain de sel". Ce qui est quand meme une erreur de debutant.
Apres concernant la fonction random qui devait generer une cle aleatoire pour la signature :
En informatique classique, il est impossible de generer un nombre purement aleatoire. Contrairement a l'informatique quantique. Donc une des methodes est d'utiliser une suite de nombre bien defini a l'avance avec des calcul de ouf (division, multiplication etc ...).
Donc on va prendre un exemple simple, on va dire que on part sur (X * 2) / 8
Si X = 4
On aura 4, on multiplie par 2 puis on divise par 8 on aura 4, 8, 1 et ainsi de suite. (En vrai c'est beaucoup plus complique bien sure).
Et la encore vu que c'est pseudo aleatoire, a partir d'un nombre meme donne, la suite sera la meme a chaque fois. Si X = 4, alors la suite sera toujours 4, 8, 1. Donc il faut la aussi utiliser une "seed/grain de sel". Par exemple si la seed est 8, la suite sera 8, 16, 2 etc ...
Et pour etre sure que personne ne capte, il faut utiliser une seed pseudo random. Par exemple l'heure. Les milliseconde defile telelement vite, qu' on sait jamais a quel millliseconde la fonction va etre appele, donc si elle est appele alors que la millisecond est 9, la seed sera 9, et l'operation la suite aleatoire sera changer. dans ca cas on aura : 9, 18, 2, 4, 8, 0 etc ... (en prenant les entier)
Et la encore Sony n 'a pas utilise de Seed. Donc ils ont remarquer que la suite etait toujours la meme. Et la il fallait resoudre l'equation qui permet d'avoir la suite. C'est un exo de math basique en suite numerique "trouver l'equation qui permet de generer la suite numerique suivante". C'est l'equation dont parle Eldroth plus haut. Ils doivent a voir des matheux de ouf dans leur team. Alors que chez sony je me pose des questions. Tout bon programmeur qui se respect sait qu'il faut utiliser une seed pour avoir un nombre pseudo aleatoire correcte.
D'ailleurs Marcan dit a ce propos "It's Sony not knowing WTF they're doing when making signatures, and thus mathematically leaking their keys."
Donc voila, desole si c'etait long. J'espere que ta compris, j'aime pas la crypto en generale, mais pour le coup ca me passionne vraiment cette aventure
Oui, dans ce cas c'est ce qu'on appelle le checksum qui est fourni avec un fichier pour savoir si le fichier est integre. Donc on hash le nom du fichier + nombre d'octet etc ... en MD5, comme ca celui qui le telecharge sait directe si son fichier est integre ou non.Ulysse29 a écrit :Super bien expliqué ! Merci
MD5 c'est pas aussi un truc de vérification de l'intégritée d'un fichier téléchargé ? C'est pas ca que tu parles de tout facon ?
-
yoann[007]
- Golden Mario
- Messages : 11652
- Inscription : lun. 12 janv. 2009 - 01:26
Au niveau de la justice, il y a un truc qu'ils peuvent faire, c'est rembourser tous les acheteurs de PS3 qui ont bénéficié de la fonction OtherOS qui leur a été retirée sans préavis.Ketamine a écrit :Il n'y a donc rien que Sony puisse faire, même au niveau de la Justice?
Sony n'est pas bien placé pour se battre sur ce terrain...
En outre, les fonctionnalités de débridage logiciel de machines sont désormais perçues assez positivement sur le terrain juridique : je pense notamment au "jailbreak" de l'iPhone qui, grâce à son statut très médiatique, a été légalisé aux US.
-
yagal
- Super Mario Bros
- Messages : 1274
- Inscription : mer. 21 sept. 2005 - 15:39
- Localisation : Italie
Moi je veux un navigateur qui marche, c'est pas possible de surfer avec l'actuel sans planter la machine. Et un Other OS qui exploite toute la puissance de la PS3, mais si j'ai bien lu tout ceci devrait arriver d'ici peu.sakuragi a écrit :j'ai vraiment hâte aussi , pouvoir avoir du multimédia , ému en tout genre sur la ps3 c'est tout bon
Et je me demandais si l'on pourrait avoir un emulateur WII ca serait genial Oboro en 1080p, Mario dans l'espace avec le move
PSN: oninou
-
yoann[007]
- Golden Mario
- Messages : 11652
- Inscription : lun. 12 janv. 2009 - 01:26
En théorie, oui. Mais en pratique, ce serait stupide de charger tout un OS en mémoire juste pour charger un émulateur, alors que si la console est ouverte, tu peux lancer ce même émulateur directement au format PS3 depuis le menu de la console.Ulysse29 a écrit :Oui je me disais aussi, avec un otherOS, on pourrait émuler (ou faire tourner normalement) des jeux PC Wii ou 360 ?
Tu rêves effectivement ; la PS3 ne dispose pas d'une famille de processeurs utilisée sur PC. Ca signifie que tout doit continuer à être conçu spécifiquement pour elle, de la distrib' (vous vous souvenez de Yellow Dog Linux pas vrai ?) aux programmes qu'elle utilise.Ca serait énorme de pouvoir faire ca, en débloquant les périphériques et un soft bien foutu, on pourrait faire de la PS3 un vrai PC non ?
Mais je rève surement
L'intérêt d'OtherOS restera inexistant dans cette perspective (à part pour les personnes ayant réellement un besoin spécifique de Linux) ; ça permet juste de disposer de Linux dans des versions spécifiquement compilées pour la PS3 et avec des programmes compilés pour la PS3. Parce qu'après tout, si la PS3 disposait d'un processeur x86 ou x64 capable de faire tourner les applications usuelles des PC, on pourrait y installer Windows...
-
yoann[007]
- Golden Mario
- Messages : 11652
- Inscription : lun. 12 janv. 2009 - 01:26
Ah, et voilà un double post for great justice : à l'heure où je vous parle, ma PS3 dispose tout fraîchement d'un joli custom firmware !
Alors pas d'affolement, pour le moment c'est un proof of concept : il ne fait STRICTEMENT RIEN, à part ajouter deux nouveaux items. Voilà deux images dégueu prises à l'arrache, avant et après l'install :
L'intérêt, c'est bien entendu le "Install Package Files", qui permet d'installer des fichiers .pkg. Pour le moment, les homebrews actuels ne fonctionnent pas, il faut attendre que les développeurs les mettent à jour afin que ceux-ci soient "signés" (ce qui devrait arriver très vite). Avec ce CF, il sera alors possible de les lancer directement sans dongle ni autre machin cher !
Comment en profiter ? Il y a une manip' à réaliser soi-même pour compiler le custom firmware à partir du fw officiel de Sony. Plusieurs sites proposent déjà ce fichier compilé, mais étant tous US, ce sont des versions NTSC dédiées à la console US. J'ai donc compilé une version pour les consoles PAL et je me suis dit que ça intéresserait peut-être ceux d'entre vous qui n'ont pas envie de se faire chier avec de la ligne de commande pour Linux.
Le fichier PS3UPDAT.PUP est à mettre sur une clé USB quelconque dans un dossier /PS3/UPDATE/ comme pour les mises à jour "normales". Ensuite, insérer la clé USB dans la PS3 puis Paramètres > Mise à jour système > Mise à jour par support de stockage et go !
Pour info, ce CF utilise le dernier firmware officiel en date, le 3.55. Vous pouvez donc l'installer à partir d'une console à jour (3.55) ou pas (elle sera alors mise à jour dans la foulée). Il vous sera impossible de downgrader (revenir à une version antérieure) mais, si cela vous effraie, revenir au firmware 3.55 officiel (ou mettre à jour vers une version officielle ultérieure) est toujours parfaitement possible.
- Télécharger le custom firmware KaKaRoTo 3.55 PAL
Disclaimer basique : même si c'est testé de mon côté et totalement safe (100% fonctionnel sur ma PS3 Slim, vous pouvez y aller...), je ne suis pas responsable dans le cas où ce CF ferait foirer votre PS3 à tout jamais, la briquerait, ferait imploser son CELL ou vous vaudrait un permaban du PSN.
Disclaimer modos : ce custom firmware ne permet pas de lancer des jeux piratés, des ISOs ou autres bêtises, il active uniquement la possibilité d'installer des homebrews sur la console. Pas taper ;_;
Alors pas d'affolement, pour le moment c'est un proof of concept : il ne fait STRICTEMENT RIEN, à part ajouter deux nouveaux items. Voilà deux images dégueu prises à l'arrache, avant et après l'install :
L'intérêt, c'est bien entendu le "Install Package Files", qui permet d'installer des fichiers .pkg. Pour le moment, les homebrews actuels ne fonctionnent pas, il faut attendre que les développeurs les mettent à jour afin que ceux-ci soient "signés" (ce qui devrait arriver très vite). Avec ce CF, il sera alors possible de les lancer directement sans dongle ni autre machin cher !
Comment en profiter ? Il y a une manip' à réaliser soi-même pour compiler le custom firmware à partir du fw officiel de Sony. Plusieurs sites proposent déjà ce fichier compilé, mais étant tous US, ce sont des versions NTSC dédiées à la console US. J'ai donc compilé une version pour les consoles PAL et je me suis dit que ça intéresserait peut-être ceux d'entre vous qui n'ont pas envie de se faire chier avec de la ligne de commande pour Linux.
Le fichier PS3UPDAT.PUP est à mettre sur une clé USB quelconque dans un dossier /PS3/UPDATE/ comme pour les mises à jour "normales". Ensuite, insérer la clé USB dans la PS3 puis Paramètres > Mise à jour système > Mise à jour par support de stockage et go !
Pour info, ce CF utilise le dernier firmware officiel en date, le 3.55. Vous pouvez donc l'installer à partir d'une console à jour (3.55) ou pas (elle sera alors mise à jour dans la foulée). Il vous sera impossible de downgrader (revenir à une version antérieure) mais, si cela vous effraie, revenir au firmware 3.55 officiel (ou mettre à jour vers une version officielle ultérieure) est toujours parfaitement possible.
- Télécharger le custom firmware KaKaRoTo 3.55 PAL
Disclaimer basique : même si c'est testé de mon côté et totalement safe (100% fonctionnel sur ma PS3 Slim, vous pouvez y aller...), je ne suis pas responsable dans le cas où ce CF ferait foirer votre PS3 à tout jamais, la briquerait, ferait imploser son CELL ou vous vaudrait un permaban du PSN.
Disclaimer modos : ce custom firmware ne permet pas de lancer des jeux piratés, des ISOs ou autres bêtises, il active uniquement la possibilité d'installer des homebrews sur la console. Pas taper ;_;