Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-19 Par sujet Alexandre der Garabedian 
Hello,

Excellent merci de ton retour !

Je garde ca en tete :)


On Wed 19 Jun 2019 at 10:11 AM, professor geek  wrote:

> Hello,
>
> J’ai vu nokia hier, et la solution est pas mal du tout.
> Pour le chiffrement il a lieu au L1 et pas au L2 (MAC/LLC) comme je le
> pensais au depart.
> Les boitiers sont validés AL3+ par l’ANSSI. et le chiffrement rajoute que
> 0.150ms de latence.
> Ca gère les lambdas (BW -> Longeur d’onde . Au niveau tarif le surcout
> n’est pas si énorme que ca par rapport à du non chiffré (~ 15/20%).
> Par contre la carte 100G n’est pas encore validé AL3+. Donc tout en 10G. Je
> vais devoir faire un design particulier pour mes 100G.
>
> Avoir en condition opérationnelle.
>
> Merci Laurent ;) !
>
> Pr
>
> On 18 June 2019 at 10:17:21, Alexandre der Garabedian (svcad...@gmail.com)
> wrote:
>
> Ah good to know pour le L2 via nokia :)
>
> On Tue, Jun 18, 2019 at 10:12 AM Alexandre der Garabedian <
> svcad...@gmail.com> wrote:
>
> > En fait ce n'est pas deconnant car pour le boitier, il faut qu'il soit
> > fonctionnel, attack-proof et qu'ils aient inspecte son contenu pour bien
> > verifier que le code et sa maintenance soient clean.
> >
> >
> > Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
> >> dommage que l'ANSSI ne fasse une publication. C'est bien plus
> >> intéressant pour nous d'avoir un avis sur un algo qu'une certification
> >> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
> >> évidemment).
> >
> >
> > Le lien ci-dessous ne repond-il pas a ca en partie: car si ils
> > preconnisent ces algos, c'est que les autres ne sont pas bons :)
> > https://www.ssi.gouv.fr/guide/cryptographie-les-regles-du-rgs/
> >
> > On Tue, Jun 18, 2019 at 10:07 AM Thierry Chich <
> > thierry.ch...@ac-clermont.fr> wrote:
> >
> >>
> >> Le 17/06/2019 à 23:48, Alexandre der Garabedian a écrit :
> >> > A mon avis les algorithmes et/ou le protocole lui meme ne sont pas
> >> trusté
> >> > par l’ANSSI, la premiere solution etant la plus probable ;)
> >>
> >> Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
> >> dommage que l'ANSSI ne fasse une publication. C'est bien plus
> >> intéressant pour nous d'avoir un avis sur un algo qu'une certification
> >> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
> >> évidemment).
> >>
> >> Thierry
> >>
> >> --
> >> 
> >>
> >>
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-19 Par sujet professor geek 
Hello,

J’ai vu nokia hier, et la solution est pas mal du tout.
Pour le chiffrement il a lieu au L1 et pas au L2 (MAC/LLC) comme je le
pensais au depart.
Les boitiers sont validés AL3+ par l’ANSSI. et le chiffrement rajoute que
0.150ms de latence.
Ca gère les lambdas (BW -> Longeur d’onde . Au niveau tarif le surcout
n’est pas si énorme que ca par rapport à du non chiffré (~ 15/20%).
Par contre la carte 100G n’est pas encore validé AL3+. Donc tout en 10G. Je
vais devoir faire un design particulier pour mes 100G.

Avoir en condition opérationnelle.

Merci Laurent ;) !

Pr

On 18 June 2019 at 10:17:21, Alexandre der Garabedian (svcad...@gmail.com)
wrote:

Ah good to know pour le L2 via nokia :)

On Tue, Jun 18, 2019 at 10:12 AM Alexandre der Garabedian <
svcad...@gmail.com> wrote:

> En fait ce n'est pas deconnant car pour le boitier, il faut qu'il soit
> fonctionnel, attack-proof et qu'ils aient inspecte son contenu pour bien
> verifier que le code et sa maintenance soient clean.
>
>
> Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
>> dommage que l'ANSSI ne fasse une publication. C'est bien plus
>> intéressant pour nous d'avoir un avis sur un algo qu'une certification
>> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
>> évidemment).
>
>
> Le lien ci-dessous ne repond-il pas a ca en partie: car si ils
> preconnisent ces algos, c'est que les autres ne sont pas bons :)
> https://www.ssi.gouv.fr/guide/cryptographie-les-regles-du-rgs/
>
> On Tue, Jun 18, 2019 at 10:07 AM Thierry Chich <
> thierry.ch...@ac-clermont.fr> wrote:
>
>>
>> Le 17/06/2019 à 23:48, Alexandre der Garabedian a écrit :
>> > A mon avis les algorithmes et/ou le protocole lui meme ne sont pas
>> trusté
>> > par l’ANSSI, la premiere solution etant la plus probable ;)
>>
>> Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
>> dommage que l'ANSSI ne fasse une publication. C'est bien plus
>> intéressant pour nous d'avoir un avis sur un algo qu'une certification
>> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
>> évidemment).
>>
>> Thierry
>>
>> --
>> 
>>
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-18 Par sujet Alexandre der Garabedian 
Ah good to know pour le L2 via nokia :)

On Tue, Jun 18, 2019 at 10:12 AM Alexandre der Garabedian <
svcad...@gmail.com> wrote:

> En fait ce n'est pas deconnant car pour le boitier, il faut qu'il soit
> fonctionnel, attack-proof et qu'ils aient inspecte son contenu pour bien
> verifier que le code et sa maintenance soient clean.
>
>
> Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
>> dommage que l'ANSSI ne fasse une publication. C'est bien plus
>> intéressant pour nous d'avoir un avis sur un algo qu'une certification
>> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
>> évidemment).
>
>
> Le lien ci-dessous ne repond-il pas a ca en partie: car si ils
> preconnisent ces algos, c'est que les autres ne sont pas bons :)
> https://www.ssi.gouv.fr/guide/cryptographie-les-regles-du-rgs/
>
> On Tue, Jun 18, 2019 at 10:07 AM Thierry Chich <
> thierry.ch...@ac-clermont.fr> wrote:
>
>>
>> Le 17/06/2019 à 23:48, Alexandre der Garabedian a écrit :
>> > A mon avis les algorithmes et/ou le protocole lui meme ne sont pas
>> trusté
>> > par l’ANSSI, la premiere solution etant la plus probable ;)
>>
>> Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
>> dommage que l'ANSSI ne fasse une publication. C'est bien plus
>> intéressant pour nous d'avoir un avis sur un algo qu'une certification
>> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
>> évidemment).
>>
>> Thierry
>>
>> --
>> 
>>
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-18 Par sujet Alexandre der Garabedian 
En fait ce n'est pas deconnant car pour le boitier, il faut qu'il soit
fonctionnel, attack-proof et qu'ils aient inspecte son contenu pour bien
verifier que le code et sa maintenance soient clean.


Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
> dommage que l'ANSSI ne fasse une publication. C'est bien plus
> intéressant pour nous d'avoir un avis sur un algo qu'une certification
> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
> évidemment).


Le lien ci-dessous ne repond-il pas a ca en partie: car si ils preconnisent
ces algos, c'est que les autres ne sont pas bons :)
https://www.ssi.gouv.fr/guide/cryptographie-les-regles-du-rgs/

On Tue, Jun 18, 2019 at 10:07 AM Thierry Chich 
wrote:

>
> Le 17/06/2019 à 23:48, Alexandre der Garabedian a écrit :
> > A mon avis les algorithmes et/ou le protocole lui meme ne sont pas trusté
> > par l’ANSSI, la premiere solution etant la plus probable ;)
>
> Si c'est le cas (une critique sur l'algorithme), je trouve vraiment
> dommage que l'ANSSI ne fasse une publication. C'est bien plus
> intéressant pour nous d'avoir un avis sur un algo qu'une certification
> sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof,
> évidemment).
>
> Thierry
>
> --
> 
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-18 Par sujet professor geek 
Hello,

Au tout debut du fil, on a parlé aussi de chiffrement sur chassis DWDM avec
les produits NOKIA .
C’est le seul produit certifié par l’ANSSI qui permet de le faire au niveau
de OSI niveau 2.
Je les rencontre cet apres-midi, pour en discuter et peut etre evaluer leur
produit.

Pr


On 18 June 2019 at 09:36:29, Fabien Delmotte (fdelmot...@mac.com) wrote:

Bonjour,

A mon avis les algorithmes et/ou le protocole lui meme ne sont pas trusté
par l’ANSSI, la premiere solution etant la plus probable ;)

[FD] Ne trouvant pas de communication de la part de l’ANSSI toutes les
suppositions sont possibles :)

Ma conclusion (ce n’est que mon modeste avis) est que pour l’instant les
utilisateurs doivent continuer de garder leur bon FW avec de l’IPSEC
(certifié ANSSI) ce qui a pour conséquences :
Peu de concurrence en termes de produit
Un débit restreint
Des problèmes de MTU
Uniquement de l’IP.

Cordialement,


Le 17 juin 2019 à 23:48, Alexandre der Garabedian  a
écrit :

Hello,

Je n’irai pas jusque la et non les raisons citees ne sont pas trop liees a
ca.

A mon avis les algorithmes et/ou le protocole lui meme ne sont pas trusté
par l’ANSSI, la premiere solution etant la plus probable ;)

Il n y a qu a voir les preconisations pour les tunnels vpns :)

On Mon 17 Jun 2019 at 11:01 AM, Fabien Delmotte  wrote:

> Bonjour,
>
> Je n’en ai pas la moindre idée, cela fait plusieurs années que nous
> poussons (l’autorité allemande a validé MACSEC), mais :
>
> - La validation par l’ANSSI coûte beaucoup beaucoup d’argent
> (c’est un monopole).
>
> Des hypothèses (qui n’impliquent que moi) :
> - Méconnaissance de la part de la hiérarchie ?
> - Problème d’avoir un monopole et de ne pas avoir de
> contre-pouvoir (pas de comité d’utilisateur pour conduire des tests).
> - Je laisse votre fertile imagination répondre :)
>
> Cordialement,
>
>
>
> > Le 17 juin 2019 à 10:52, Alexandre GRIVEAUX  a
> écrit :
> >
> > Bonjour,
> >
> > Je n'ai pas utiliser MACsec mais pourquoi n'est-il pas validée par
> l'ANSSI ?
> >
> > Merci.
> >
> > Le 2019-06-17 09:13, Alexandre der Garabedian a écrit :
> >> MACsec n'est pas valide par l'ANSSI, donc bye bye :/
> >
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-18 Par sujet Thierry Chich 



Le 17/06/2019 à 23:48, Alexandre der Garabedian a écrit :

A mon avis les algorithmes et/ou le protocole lui meme ne sont pas trusté
par l’ANSSI, la premiere solution etant la plus probable ;)


Si c'est le cas (une critique sur l'algorithme), je trouve vraiment 
dommage que l'ANSSI ne fasse une publication. C'est bien plus 
intéressant pour nous d'avoir un avis sur un algo qu'une certification 
sur un matériel (à part pour ceux qui doivent vraiment être ANSII-proof, 
évidemment).


Thierry

--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-18 Par sujet Fabien Delmotte 
Bonjour,

> A mon avis les algorithmes et/ou le protocole lui meme ne sont pas trusté par 
> l’ANSSI, la premiere solution etant la plus probable ;)
[FD] Ne trouvant pas de communication de la part de l’ANSSI toutes les 
suppositions sont possibles :)

Ma conclusion (ce n’est que mon modeste avis) est que pour l’instant les 
utilisateurs doivent continuer de garder leur bon FW avec de l’IPSEC (certifié 
ANSSI) ce qui a pour conséquences :
Peu de concurrence en termes de produit
Un débit restreint
Des problèmes de MTU
Uniquement de l’IP.

Cordialement,


> Le 17 juin 2019 à 23:48, Alexandre der Garabedian  a 
> écrit :
> 
> Hello,
> 
> Je n’irai pas jusque la et non les raisons citees ne sont pas trop liees a ca.
> 
> A mon avis les algorithmes et/ou le protocole lui meme ne sont pas trusté par 
> l’ANSSI, la premiere solution etant la plus probable ;)
> 
> Il n y a qu a voir les preconisations pour les tunnels vpns :)
> 
> On Mon 17 Jun 2019 at 11:01 AM, Fabien Delmotte  > wrote:
> Bonjour,
> 
> Je n’en ai pas la moindre idée, cela fait plusieurs années que nous poussons 
> (l’autorité allemande a validé MACSEC), mais :
> 
> - La validation par l’ANSSI coûte beaucoup beaucoup d’argent (c’est 
> un monopole).
> 
> Des hypothèses (qui n’impliquent que moi) :
> - Méconnaissance de la part de la hiérarchie ?
> - Problème d’avoir un monopole et de ne pas avoir de contre-pouvoir 
> (pas de comité d’utilisateur pour conduire des tests).
> - Je laisse votre fertile imagination répondre :)
> 
> Cordialement,
> 
> 
> 
> > Le 17 juin 2019 à 10:52, Alexandre GRIVEAUX  > > a écrit :
> > 
> > Bonjour,
> > 
> > Je n'ai pas utiliser MACsec mais pourquoi n'est-il pas validée par l'ANSSI ?
> > 
> > Merci.
> > 
> > Le 2019-06-17 09:13, Alexandre der Garabedian a écrit :
> >> MACsec n'est pas valide par l'ANSSI, donc bye bye :/
> > 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-17 Par sujet Alexandre der Garabedian 
Hello,

Je n’irai pas jusque la et non les raisons citees ne sont pas trop liees a
ca.

A mon avis les algorithmes et/ou le protocole lui meme ne sont pas trusté
par l’ANSSI, la premiere solution etant la plus probable ;)

Il n y a qu a voir les preconisations pour les tunnels vpns :)

On Mon 17 Jun 2019 at 11:01 AM, Fabien Delmotte  wrote:

> Bonjour,
>
> Je n’en ai pas la moindre idée, cela fait plusieurs années que nous
> poussons (l’autorité allemande a validé MACSEC), mais :
>
> - La validation par l’ANSSI coûte beaucoup beaucoup d’argent
> (c’est un monopole).
>
> Des hypothèses (qui n’impliquent que moi) :
> - Méconnaissance de la part de la hiérarchie ?
> - Problème d’avoir un monopole et de ne pas avoir de
> contre-pouvoir (pas de comité d’utilisateur pour conduire des tests).
> - Je laisse votre fertile imagination répondre :)
>
> Cordialement,
>
>
>
> > Le 17 juin 2019 à 10:52, Alexandre GRIVEAUX  a
> écrit :
> >
> > Bonjour,
> >
> > Je n'ai pas utiliser MACsec mais pourquoi n'est-il pas validée par
> l'ANSSI ?
> >
> > Merci.
> >
> > Le 2019-06-17 09:13, Alexandre der Garabedian a écrit :
> >> MACsec n'est pas valide par l'ANSSI, donc bye bye :/
> >
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-17 Par sujet Fabien Delmotte 
Bonjour,

Je n’en ai pas la moindre idée, cela fait plusieurs années que nous poussons 
(l’autorité allemande a validé MACSEC), mais :

- La validation par l’ANSSI coûte beaucoup beaucoup d’argent (c’est un 
monopole).

Des hypothèses (qui n’impliquent que moi) :
- Méconnaissance de la part de la hiérarchie ?
- Problème d’avoir un monopole et de ne pas avoir de contre-pouvoir 
(pas de comité d’utilisateur pour conduire des tests).
- Je laisse votre fertile imagination répondre :)

Cordialement,



> Le 17 juin 2019 à 10:52, Alexandre GRIVEAUX  a écrit :
> 
> Bonjour,
> 
> Je n'ai pas utiliser MACsec mais pourquoi n'est-il pas validée par l'ANSSI ?
> 
> Merci.
> 
> Le 2019-06-17 09:13, Alexandre der Garabedian a écrit :
>> MACsec n'est pas valide par l'ANSSI, donc bye bye :/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-17 Par sujet Alexandre der Garabedian 
MACsec n'est pas valide par l'ANSSI, donc bye bye :/

On Thu, May 30, 2019 at 9:48 AM Fabien Delmotte  wrote:

> Bonjour,
>
> > J’ai pu faire du MACsec dans ce contexte, mais pour une durée réduite. le
> > RSSI de la boite avait accepté que l’on utilise ca pour du déménagement
> de
> > DC (MACsec + OTV).
> [FD] Tu as eu de la chance, car moi j’ai eu une fin de non-recevoir de la
> part du RSSI. Même si la solution Macsec est beaucoup plus économique que
> la solution FW. Je ne me prononcerais pas sur  le niveau de sécurité :)
>
> > Faire du biz avec l’armée, c’est un tas de contrainte.
> > Encore si le référencement ANSSI suivait le rythme du marché ca irait,
> mais
> > la c’est plus des escargots l’lymphatique…
> [FD] Tu utilises du Stormshield et les boîtiers d’encryption de Thales et
> effectivement tu as un escargot sous tranquillisant .
>
> Cordialement,
>
>
> > Le 30 mai 2019 à 09:08, professor geek  a écrit :
> >
> > J’ai pu faire du MACsec dans ce contexte, mais pour une durée réduite. le
> > RSSI de la boite avait accepté que l’on utilise ca pour du déménagement
> de
> > DC (MACsec + OTV).
> >
> > Faire du biz avec l’armée, c’est un tas de contrainte.
> > Encore si le référencement ANSSI suivait le rythme du marché ca irait,
> mais
> > la c’est plus des escargots l’lymphatique...
> >
> > On 30 May 2019 at 09:02:57, Fabien Delmotte (fdelmot...@mac.com) wrote:
> >
> > Certaines sociétés ou administrations sont obligées d’utiliser des
> > équipements certifiés ANSSI pour des raisons de sécurité.
> > Des sociétés sont obligées par exemple d’utiliser du stomshield pour des
> > communications intersite… A l’époque du 100G voir du 400G l’ANSSI a une
> > guerre de retard….
> >
> > Cela fait plusieurs années que MacSEC existe et je crois que l’ANSSI sur
> ce
> > sujet est au point mort, dommage, car l’encryption au plus bas niveau
> > pourrait être plus sur (c’est une supposition et non pas une
> affirmation).
> >
> > Si quelqu’un peut éclairer ?
> >
> > Cordialement,
> >
> >> Le 30 mai 2019 à 08:07, Michel Py 
> a
> > écrit :
> >>
> >>> professor geek a écrit :
> >>> Je tiens à preciser que je suis dans un contexte ANSSI.
> >>
> >> Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
> >> Que le chiffrement soit déchiffrable par les barbouzes sans se casser la
> > tête ?
> >>
> >> Michel.
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-06 Par sujet Alexandre der Garabedian 
Hello,

a ma connaissance en chiffrement P2P les equipements qualifies sont pas
nombreux. Les deux que je connaisse sont a vomir :)

Parmis ces deux la un seul peut eventuellement chiffrer tiens au max (dans
les DataSheets) 4Gb. Ca va faire beaucoup, surtout si tu veux faire des VTI
ou des trucs exotiques :)

Du coup pour la reponse, compliqué :(

Pas moyen de chiffrer en amont ?

Je sais que chez nous on parlait d'un projet de boitier VPN chiffre
qualifie, mais pour le moment rien; sachant que notre produit actuel
possede un chiffrement ipsec valideé et qualifié :)

Eventuellement, je ne vois qu'un seul truc: un boitier qui utilise les
algos valides par l'ANSSI et qui ne fait que ca et DROP tout le reste, tout
en etant securise. Mais generalement il faut du GRSEC etc... mais de toutes
facons ca ne sera pas un produit qualifie :(

Sinon rapproche toi d'eux :)



On Wed, Jun 5, 2019 at 12:43 PM Stéphane Rivière  wrote:

> > Sauf qu’un des principes de la sécurité, celui de la sécurité en
> profondeur, c’est que plus tu ajoutes de couches de sécurité pertinente,
> plus c’est compliqué de t’avoir. L’obfsucation est une de ces couches.
>
> +1
>
> > Il ne s’agit bien sûr que de simples suppositions.
>
> :)
>
> --
> Stéphane Rivière
> Ile d'Oléron - France
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-05 Par sujet Stéphane Rivière 

Sauf qu’un des principes de la sécurité, celui de la sécurité en profondeur, 
c’est que plus tu ajoutes de couches de sécurité pertinente, plus c’est 
compliqué de t’avoir. L’obfsucation est une de ces couches.


+1


Il ne s’agit bien sûr que de simples suppositions.


:)

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-05 Par sujet Thierry Chich 



> Le 3 juin 2019 à 18:45, Stéphane Rivière  a écrit :
> 
>> un systeme secure devrait le rester meme en cas de rétro-ingénierie.
>> dans l'absolu, il devrait rester secure meme si tu es en possession de
>> la totalité des docs...
> 
> C'est une tarte à la crème de la cryptographie. Tout internet dit que la 
> protection par l'obscurcissement est une mauvaise démarche. Ca semble logique 
> : la revue par les pairs est une démarche scientifique.
> 
> Sauf que…
> 


Sauf qu’un des principes de la sécurité, celui de la sécurité en profondeur, 
c’est que plus tu ajoutes de couches de sécurité pertinente, plus c’est 
compliqué de t’avoir. L’obfsucation est une de ces couches.

Mais dans le cas présent, il peut y avoir une autre raison. Il est possible 
d’imaginer que les militaires souhaitent que les liaisons qu’ils chiffrent 
soient très dures à déchiffrer pour les autres, mais qu’il soit aussi possible 
de le déchiffrer si besoin. Sait-on jamais, il est toujours possible d’imaginer 
qu’au plus haut niveau, on souhaite pouvoir savoir ce que pourrait se dire les 
hauts gradés. Ce n’est pas comme si, dans l’histoire, il n’y avait jamais eu de 
généraux félons…
Auquel cas, l’obfuscation viserait plus à masquer les backdoors que le 
protocole en lui-même...

Il ne s’agit bien sûr que de simples suppositions.

Thierry

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-03 Par sujet Stéphane Rivière 

un systeme secure devrait le rester meme en cas de rétro-ingénierie.
dans l'absolu, il devrait rester secure meme si tu es en possession de
la totalité des docs...


C'est une tarte à la crème de la cryptographie. Tout internet dit que la 
protection par l'obscurcissement est une mauvaise démarche. Ca semble 
logique : la revue par les pairs est une démarche scientifique.


Sauf que...

Aucun chiffre gouvernemental n'est documenté. Pour d'excellentes 
raisons. D'autre part, une bonne partie du coût d'un système de 
transmission de niveau mili, même tactique, passe dans son durcissement 
à la rétro ingénierie.


La crypto, c'est un problème de confiance.
Et question usage, c'est de l'armement.

C'est pour ça que les chiffres publiquement disponibles sont par 
définition suspects. Il y aura toujours un doute sur la cryptanalyse du 
bidule, que le loup soit dans les vecteurs d'init, du générateur d'aléa 
ou de l'algo (ou un peu partout).


Parce que, en moyenne, les US ont 20 ans d'avance sur tout. Que les 
Russes sont pas des niais, sans parler des Chinois ou des Israéliens.


Pour du commercial, on s'en fiche. Pour du stratégique, c'est différent.

Parfois, il faut se méfier des infos abondamment diffusées.

C'est un domaine sans fond. Comme le traitement du signal. Et avec des 
croisements de domaines.


--
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-03 Par sujet Raphael Jacquot 



On 5/30/19 9:30 AM, Stéphane Rivière wrote:

> Pour le prix, chiffrer sûrement à 100 Gbps exprime un besoin spécifique
> et y répondre sûrement impose des solutions spécifiques. Y compris des
> aspects (très coûteux à la conception) pour limiter la rétro ingénierie,

justement
un systeme secure devrait le rester meme en cas de rétro-ingénierie.
dans l'absolu, il devrait rester secure meme si tu es en possession de
la totalité des docs...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Chiffrement sur liaison

2019-06-01 Par sujet professor geek 
C’est un peu comme quand je voulais aller en boite etant jeune en basket…
bah tu rentres pas  (ou p’tet en aout s’il neige…) !

Dans leur modele c’est a toi de de conformer si tu veux faire du business
avec eux. Ils ne deposent pas de matos dans ton DC.
L’ANSSI te colle une EB (voir le lien sur le SIIV plus bas) et apres à toi
de faire homologuer ton système. La majorité des boites ne veulent pas
suivre dans un modele “best of breed” et prefere piocher dans la liste du
matos validé ANSSI. Voilou.

La ou ca vas un peu loin, c’est que tout le SI connecté à ce point
d'echange doit etre conforme et homologué… donc à moins de séparer
physiquement les deux activités.

J’aurais bien aimé qu’un operateur de la liste s’exprime aussi sur le
SIIV/OIIV, pas pour avoir le detail mais voir comment ils ont aprehender le
pb. Jaguar, sfr, et orange a ce que je me souvient avait fait la demarche
il me semble pour l’hebergement de données de santé.

Dans mon projet d’interco de DC, au lieu de bosser avec MRV pour les DWDM,
je vais voir avec nokia (Alcatel lucent).
Au final, ce cout sera repercuté sur la facture donc sur l’ensemble des
contribuables.

Dis toi que si AMZ, et les autres vendeurs de CPU dans des frigos n’y vont
pas c’est que le ticket d’entré est trop élevé pour le peu de business a
faire. Donc toutes ces boites la restent on Premise.


 Un poil de lecture sur le SIIV :
https://www.advens.fr/fr/ressources/blog/parution-larrete-lpm-pour-siiv-sante


Pr

On 1 June 2019 at 06:00:15, Michel Py (mic...@arneill-py.sacramento.ca.us)
wrote:

> Michel Py a écrit :
> Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
> Que le chiffrement soit déchiffrable par les barbouzes sans se casser la
tête ?

Merci à tous pour vos réponses. Maintenant, j'ai une question encore plus
con :

Quelle que soit la bande passante nécessaire, pourquoi s'emmerder avec des
standards ?

Moi aussi, j'ai des liaisons "sensibles". Je ne cherche pas à comprendre
comment çà marche. Le partenaire (qu'il soit vendeur ou client) me fournis
le boitier, de préférence 1U mais on prend les 2U aussi, suivant le niveau
de confiance soit ils me l'envoie soit ils arrivent avec et je leur montre
leur RU, mais c'est pas mon problème de savoir comment ils font leur
chiffrement. On a plusieurs clients qui ont une salle privée. Pourquoi je
devrais m'emmerder avec une guerre de standards ?

Le client obtient ce qu'il veut. Une IP dans mon bloc, les RU qu'ils
veulent, un VLAN privé, la fibre noire s'ils sont prêts à raquer, s'ils
veulent des gardes armés, c'est absolument pas mon problème de savoir les
détails de leur chiffrement. Ils font du chiffrement au niveau 1,2,3, c'est
pas mon problème.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-31 Par sujet Michel Py 
> Michel Py a écrit :
> Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
> Que le chiffrement soit déchiffrable par les barbouzes sans se casser la tête 
> ?

Merci à tous pour vos réponses. Maintenant, j'ai une question encore plus con :

Quelle que soit la bande passante nécessaire, pourquoi s'emmerder avec des 
standards ?

Moi aussi, j'ai des liaisons "sensibles". Je ne cherche pas à comprendre 
comment çà marche. Le partenaire (qu'il soit vendeur ou client) me fournis le 
boitier, de préférence 1U mais on prend les 2U aussi, suivant le niveau de 
confiance soit ils me l'envoie soit ils arrivent avec et je leur montre leur 
RU, mais c'est pas mon problème de savoir comment ils font leur chiffrement. On 
a plusieurs clients qui ont une salle privée. Pourquoi je devrais m'emmerder 
avec une guerre de standards ?

Le client obtient ce qu'il veut. Une IP dans mon bloc, les RU qu'ils veulent, 
un VLAN privé, la fibre noire s'ils sont prêts à raquer, s'ils veulent des 
gardes armés, c'est absolument pas mon problème de savoir les détails de leur 
chiffrement. Ils font du chiffrement au niveau 1,2,3, c'est pas mon problème.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-30 Par sujet Fabien Delmotte 
Bonjour,

> J’ai pu faire du MACsec dans ce contexte, mais pour une durée réduite. le
> RSSI de la boite avait accepté que l’on utilise ca pour du déménagement de
> DC (MACsec + OTV).
[FD] Tu as eu de la chance, car moi j’ai eu une fin de non-recevoir de la part 
du RSSI. Même si la solution Macsec est beaucoup plus économique que la 
solution FW. Je ne me prononcerais pas sur  le niveau de sécurité :)

> Faire du biz avec l’armée, c’est un tas de contrainte.
> Encore si le référencement ANSSI suivait le rythme du marché ca irait, mais
> la c’est plus des escargots l’lymphatique…
[FD] Tu utilises du Stormshield et les boîtiers d’encryption de Thales et 
effectivement tu as un escargot sous tranquillisant .

Cordialement,


> Le 30 mai 2019 à 09:08, professor geek  a écrit :
> 
> J’ai pu faire du MACsec dans ce contexte, mais pour une durée réduite. le
> RSSI de la boite avait accepté que l’on utilise ca pour du déménagement de
> DC (MACsec + OTV).
> 
> Faire du biz avec l’armée, c’est un tas de contrainte.
> Encore si le référencement ANSSI suivait le rythme du marché ca irait, mais
> la c’est plus des escargots l’lymphatique...
> 
> On 30 May 2019 at 09:02:57, Fabien Delmotte (fdelmot...@mac.com) wrote:
> 
> Certaines sociétés ou administrations sont obligées d’utiliser des
> équipements certifiés ANSSI pour des raisons de sécurité.
> Des sociétés sont obligées par exemple d’utiliser du stomshield pour des
> communications intersite… A l’époque du 100G voir du 400G l’ANSSI a une
> guerre de retard….
> 
> Cela fait plusieurs années que MacSEC existe et je crois que l’ANSSI sur ce
> sujet est au point mort, dommage, car l’encryption au plus bas niveau
> pourrait être plus sur (c’est une supposition et non pas une affirmation).
> 
> Si quelqu’un peut éclairer ?
> 
> Cordialement,
> 
>> Le 30 mai 2019 à 08:07, Michel Py  a
> écrit :
>> 
>>> professor geek a écrit :
>>> Je tiens à preciser que je suis dans un contexte ANSSI.
>> 
>> Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
>> Que le chiffrement soit déchiffrable par les barbouzes sans se casser la
> tête ?
>> 
>> Michel.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-30 Par sujet Stéphane Rivière 

Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?


Éviter de se faire piquer par les amerloques des marchés de surveillance 
aérienne en amérique du sud ? (exemple au hasard parmi mille autres) :>



Que le chiffrement soit déchiffrable par les barbouzes sans se casser la tête ?


Non, ça c'est déjà fait.

Si tu veux te croire tranquille, tu fais comme les iraniens depuis 
qu'ils se sont fait avoir par les suisses de crypto AG (vendus aux US) : 
tu chiffres en série avec du matos américain, russe et chinois. Comme ça 
personne peut te lire. Enfin a priori. Peut-être. Possible, ou pas :)


C'est jamais les bonnes technos qui sont lâchées dans la nature. Le 
chiffre est de l'armement. On ne vend jamais d'armes qui peuvent se 
retourner contre soit. Un missile français n'atteindra jamais une cible 
française. Une radio chiffrée US vendue à l'export sera toujours 
écoutable par les US.


Rien que de très logique en soit.

--
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-30 Par sujet Stéphane Rivière 

ca picotte un peu ;-)


Quand on lit la certif de l'ANSSI : plein d'éléments essentiels pour la 
certification de la solution ne sont pas évalués...


Comment certifier à un niveau 'n' un tel logiciel quand ne sont pas 
évalués (liste non limitative) : le générateur d'aléas, le centre de 
génération et de distribution des clés et... (accessoirement, sic) tout 
bêtement le matériel...


Ca doit faire l'objet d'autres évals je suppose...

Pour le prix, chiffrer sûrement à 100 Gbps exprime un besoin spécifique 
et y répondre sûrement impose des solutions spécifiques. Y compris des 
aspects (très coûteux à la conception) pour limiter la rétro ingénierie,


--
Be Seeing You
Number Six


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-30 Par sujet professor geek 
J’ai pu faire du MACsec dans ce contexte, mais pour une durée réduite. le
RSSI de la boite avait accepté que l’on utilise ca pour du déménagement de
DC (MACsec + OTV).

Faire du biz avec l’armée, c’est un tas de contrainte.
Encore si le référencement ANSSI suivait le rythme du marché ca irait, mais
la c’est plus des escargots l’lymphatique...

On 30 May 2019 at 09:02:57, Fabien Delmotte (fdelmot...@mac.com) wrote:

Certaines sociétés ou administrations sont obligées d’utiliser des
équipements certifiés ANSSI pour des raisons de sécurité.
Des sociétés sont obligées par exemple d’utiliser du stomshield pour des
communications intersite… A l’époque du 100G voir du 400G l’ANSSI a une
guerre de retard….

Cela fait plusieurs années que MacSEC existe et je crois que l’ANSSI sur ce
sujet est au point mort, dommage, car l’encryption au plus bas niveau
pourrait être plus sur (c’est une supposition et non pas une affirmation).

Si quelqu’un peut éclairer ?

Cordialement,

> Le 30 mai 2019 à 08:07, Michel Py  a
écrit :
>
>> professor geek a écrit :
>> Je tiens à preciser que je suis dans un contexte ANSSI.
>
> Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
> Que le chiffrement soit déchiffrable par les barbouzes sans se casser la
tête ?
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-30 Par sujet Richard Klein 
> >Question con de yankee : c'est quoi (en bref) >le contexte ANSSI ?
> >Que le chiffrement soit déchiffrable par les >barbouzes sans se casser la
> tête ?

il faudrait demander à Huawei si ils sont proof oncle Sam ou Petit livre
rouge ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-30 Par sujet professor geek 
Hello,

Pour pouvoir faire des activités avec certain ministère, ils preconisent
fortement (exigent) d’être compliant avec la charte ANSSI sur le SI et
d’utiliser des materiels référencés par eux (surtout dans le cas des
sociétés d’importance vitale pour la nation). L’emmerdant avec ca, c’est
que la liste des hards est courte, que ca ce cantonne a des materiels +/-
taillé pour de la moyenne entreprise, qu’ils ont entre 2/3 ans de retard
par rapport au marché et que pour avoir de l’info c’est la croix et la
bannière.

C’est plus pour securiser l’information vis a vis de tiers que pour pouvoir
la dechiffrer, ils y ont déjà accès...

En gros, si je veux pas faire 2 SI, j’utilise le matos referencé par
l’ANSSI...
Je me demande comment font les opérateurs avec ca … surtout ceux qui
utilisent du huawai ;)


C’est un peu l’equivalent du FIPS outre atlantique.

On 30 May 2019 at 08:07:11, Michel Py (mic...@arneill-py.sacramento.ca.us)
wrote:

> professor geek a écrit :
> Je tiens à preciser que je suis dans un contexte ANSSI.

Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
Que le chiffrement soit déchiffrable par les barbouzes sans se casser la
tête ?

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-30 Par sujet Fabien Delmotte 
Certaines sociétés ou administrations sont obligées d’utiliser des équipements 
certifiés ANSSI pour des raisons de sécurité.
Des sociétés sont obligées par exemple d’utiliser du stomshield pour des 
communications intersite… A l’époque du 100G voir du 400G l’ANSSI a une guerre 
de retard….

Cela fait plusieurs années que MacSEC existe et je crois que l’ANSSI sur ce 
sujet est au point mort, dommage, car l’encryption au plus bas niveau pourrait 
être plus sur (c’est une supposition et non pas une affirmation).

Si quelqu’un peut éclairer ?

Cordialement,

> Le 30 mai 2019 à 08:07, Michel Py  a 
> écrit :
> 
>> professor geek a écrit :
>> Je tiens à preciser que je suis dans un contexte ANSSI.
> 
> Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
> Que le chiffrement soit déchiffrable par les barbouzes sans se casser la tête 
> ?
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-29 Par sujet Michel Py 
> professor geek a écrit :
> Je tiens à preciser que je suis dans un contexte ANSSI.

Question con de yankee : c'est quoi (en bref) le contexte ANSSI ?
Que le chiffrement soit déchiffrable par les barbouzes sans se casser la tête ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-29 Par sujet professor geek 
On a deja des Arista et j’avais regardé le MACsec chez eux. On a du cisco
aussi qui peut le faire.
Par contre c’est le contexte ANSSI qui mène la danse.
La derniere fois, le MACsec etait toléré mais avec une roadmap de sortit.

La solution direct DWDM me convient bien, vu que sa m’ouvre aussi la partie
FC et IB.



On 29 May 2019 at 11:39:45, Romain Degez (romain.de...@gmail.com) wrote:

Hello,

Regarde peut-être du coté des 7280SRAM-48C6 d'Arista qui font du MACSEC
(GCM-AES-XPN 256bits) à wirespeed sur les 6 ports d'uplink 100G ?

++

-- 
RD

On Wed, May 29, 2019 at 8:28 AM professor geek  wrote:

> Hello la liste,
>
> Je vais avoir un besoin de chiffrement de liaison P2P en Fibre noire pour
> interconnecter 2 DC (inférieure a 1KM).
> La bande passante prevue est de l’ordre des 80Gb mais pourrait augmenter
> rapidement.
> Vous utilisez quoi vous comme hard dans ce type de modele ? et surtout si
> vous avez un retour d’expérience sur l'impact sur la latence ce serait
> super !
> Je tiens à preciser que je suis dans un contexte ANSSI.
>
> Merci,
>
> Pr
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-29 Par sujet Romain Degez 
Hello,

Regarde peut-être du coté des 7280SRAM-48C6 d'Arista qui font du MACSEC
(GCM-AES-XPN 256bits) à wirespeed sur les 6 ports d'uplink 100G ?

++

-- 
RD

On Wed, May 29, 2019 at 8:28 AM professor geek  wrote:

> Hello la liste,
>
> Je vais avoir un besoin de chiffrement de liaison P2P en Fibre noire pour
> interconnecter 2 DC (inférieure a 1KM).
> La bande passante prevue est de l’ordre des 80Gb mais pourrait augmenter
> rapidement.
> Vous utilisez quoi vous comme hard dans ce type de modele ? et surtout si
> vous avez un retour d’expérience sur l'impact sur la latence ce serait
> super !
> Je tiens à preciser que je suis dans un contexte ANSSI.
>
> Merci,
>
> Pr
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-29 Par sujet Raphael Jacquot 



On 5/29/19 8:46 AM, laurent guiraud wrote:
> Nokia
> carte S13X100E (muxponder 100G, AES256)
> Certifiée ANSSI pour le MoD.
> Distribuée par la réciproque de pythagore.
> 
> La certification ici :
> https://www.ssi.gouv.fr/uploads/2017/10/anssi-cc-2017_58fr.pdf
> 

et un tarif indicatif ici...

http://www.zones.com/site/product/index.html?id=105309894

ca picotte un peu ;-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-29 Par sujet Joe Yabuki 
Avec les gros débits que tu demandes,peut-être se diriger vers un
chiffrement Niveau 2 : Voir côté MACsec (si les équipements sont
compatibles). Il devrait supporter beaucoup plus la montée en charge
jusqu'à 100Gb et une meilleure latence qu'IPSEC),

Si c'est de la fibre noir de bout en bout, et que vous avez un DWDM, sur
certains équipements il est possible d'ajouter une carte ou fonctionnalité
de chiffrement toujours au niveau 2,

Joe

On Wed, May 29, 2019 at 9:27 AM professor geek  wrote:

> Merci Laurent, pile ce que cherchait ;)
>
> Stormshield nous avons deja… 4x10Gb  mais fond de pannier a 10Gb.
>
> Faut que je vois le cout de ca maintenant
>
> Pr
>
> On 29 May 2019 at 08:46:37, laurent guiraud (lguir...@gmail.com) wrote:
>
> Nokia
> carte S13X100E (muxponder 100G, AES256)
> Certifiée ANSSI pour le MoD.
> Distribuée par la réciproque de pythagore.
>
> La certification ici :
> https://www.ssi.gouv.fr/uploads/2017/10/anssi-cc-2017_58fr.pdf
>
>
> Le mer. 29 mai 2019 à 08:30, professor geek  a écrit :
>
> > Hello la liste,
> >
> > Je vais avoir un besoin de chiffrement de liaison P2P en Fibre noire pour
> > interconnecter 2 DC (inférieure a 1KM).
> > La bande passante prevue est de l’ordre des 80Gb mais pourrait augmenter
> > rapidement.
> > Vous utilisez quoi vous comme hard dans ce type de modele ? et surtout si
> > vous avez un retour d’expérience sur l'impact sur la latence ce serait
> > super !
> > Je tiens à preciser que je suis dans un contexte ANSSI.
> >
> > Merci,
> >
> > Pr
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-29 Par sujet professor geek 
Merci Laurent, pile ce que cherchait ;)

Stormshield nous avons deja… 4x10Gb  mais fond de pannier a 10Gb.

Faut que je vois le cout de ca maintenant

Pr

On 29 May 2019 at 08:46:37, laurent guiraud (lguir...@gmail.com) wrote:

Nokia
carte S13X100E (muxponder 100G, AES256)
Certifiée ANSSI pour le MoD.
Distribuée par la réciproque de pythagore.

La certification ici :
https://www.ssi.gouv.fr/uploads/2017/10/anssi-cc-2017_58fr.pdf


Le mer. 29 mai 2019 à 08:30, professor geek  a écrit :

> Hello la liste,
>
> Je vais avoir un besoin de chiffrement de liaison P2P en Fibre noire pour
> interconnecter 2 DC (inférieure a 1KM).
> La bande passante prevue est de l’ordre des 80Gb mais pourrait augmenter
> rapidement.
> Vous utilisez quoi vous comme hard dans ce type de modele ? et surtout si
> vous avez un retour d’expérience sur l'impact sur la latence ce serait
> super !
> Je tiens à preciser que je suis dans un contexte ANSSI.
>
> Merci,
>
> Pr
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-28 Par sujet laurent guiraud 
Nokia
carte S13X100E (muxponder 100G, AES256)
Certifiée ANSSI pour le MoD.
Distribuée par la réciproque de pythagore.

La certification ici :
https://www.ssi.gouv.fr/uploads/2017/10/anssi-cc-2017_58fr.pdf


Le mer. 29 mai 2019 à 08:30, professor geek  a écrit :

> Hello la liste,
>
> Je vais avoir un besoin de chiffrement de liaison P2P en Fibre noire pour
> interconnecter 2 DC (inférieure a 1KM).
> La bande passante prevue est de l’ordre des 80Gb mais pourrait augmenter
> rapidement.
> Vous utilisez quoi vous comme hard dans ce type de modele ? et surtout si
> vous avez un retour d’expérience sur l'impact sur la latence ce serait
> super !
> Je tiens à preciser que je suis dans un contexte ANSSI.
>
> Merci,
>
> Pr
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chiffrement sur liaison

2019-05-28 Par sujet Laurent Fabre 
Hello,

Stormshield ! C’est français monsieur !
Tu as tout les tampons officiels dessus
Débit IPSec de 500mbs au fond d’une ferme VMWare mutu : Check 

Plus gros débit, les boiboites ont un asic 
Déjà le plus petit netasq d’il y a dix ans tenais le GBps en débit. (Sans trop 
de nat filtre etc...)
Jamais fais de test de latence. 
Mais hier je bossais sur un lien 4G IPSec a 20/30 ms

Envoyé depuis mon mobile
Laurent-Charles FABRE

> Le 29 mai 2019 à 08:27, professor geek  a écrit :
> 
> Hello la liste,
> 
> Je vais avoir un besoin de chiffrement de liaison P2P en Fibre noire pour
> interconnecter 2 DC (inférieure a 1KM).
> La bande passante prevue est de l’ordre des 80Gb mais pourrait augmenter
> rapidement.
> Vous utilisez quoi vous comme hard dans ce type de modele ? et surtout si
> vous avez un retour d’expérience sur l'impact sur la latence ce serait
> super !
> Je tiens à preciser que je suis dans un contexte ANSSI.
> 
> Merci,
> 
> Pr
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Chiffrement sur liaison

2019-05-28 Par sujet professor geek 
Hello la liste,

Je vais avoir un besoin de chiffrement de liaison P2P en Fibre noire pour
interconnecter 2 DC (inférieure a 1KM).
La bande passante prevue est de l’ordre des 80Gb mais pourrait augmenter
rapidement.
Vous utilisez quoi vous comme hard dans ce type de modele ? et surtout si
vous avez un retour d’expérience sur l'impact sur la latence ce serait
super !
Je tiens à preciser que je suis dans un contexte ANSSI.

Merci,

Pr

---
Liste de diffusion du FRnOG
http://www.frnog.org/