Fin de l’article ??? Naaaaan ! Attendez une minute, bande d’impatients ! Car quand on regarde sous le capot, on se rend compte que Google joue “un peu” avec les mots. Ils appellent ça “end-to-end encryption” (E2EE), mais les puristes de la sécurité sont en train d’hurler au scandale (et pas “d’hurler aux sandales”, c’est pas encore les vacances). En réalité, ce qu’a mis en place Google s’appelle du “client-side encryption” (CSE). La différence n’est pas juste sémantique, elle est fondamentale !

Dans un vrai système E2EE comme Signal ou WhatsApp, les clés de chiffrement sont générées et restent uniquement sur les appareils des utilisateurs finaux. Personne d’autre, pas même le fournisseur du service, ne peut déchiffrer les messages. C’est le Saint Graal de la sécurité des communications et c’est bien pour ça que les Etats veulent des backdoor dans tous ces services !

Mais avec le CSE de Google, les clés sont générées ET stockées dans un service cloud de gestion des clés. Les administrateurs peuvent donc y accéder, révoquer des accès, surveiller ce que les utilisateurs chiffrent. Donc c’est un genre de un coffre-fort ultra-sécurisé protégeant vos données les plus sensibles, mais où le mec qui l’a installé a gardé un double de la clé “au cas où”, et pourrait même regarder ce que vous y stockez s’il s’emmerde.

Using both encryption algorithm: one as usual and another quantum resistant.

(via https://sebsauvage.net/links/?1IxNPQ)

Un exemple de l'API Web Crypto implémentée dans les navigateurs

The key is transmitted via the hash of the URL. Smart ! The rest is encrypted on the client side.

An example is provided with the crypto API, especially subtle.

Cryptographers tend to specialize into one (or max two) of the three categories:

• Theory: understanding the limit of cryptography, what it is to be secure.
• Design: constructing efficient primitives and protocols.
• Engineering: implementing the primitives and protocols securely and efficiently.

These two abstractions above engineering in the design and theory of cryptography are indeed useful:

The process of designing a protocol (or primitive) [...] requires one to isolate and understand [...] to use, invent or combine, crypto building blocks to overcome these challenges.
To do this properly, [...] one cares about is what security properties the building blocks possess so that they can be used and combined to overcome a particular challenge.

#Backdoor
#Botnet
#Brute force
#Bug Bounty
#Chiffrement
#DDOS
#DarkWeb
FuiteDeDonnées (#DataLeak)
#Hacker
#Malware
#Pentest
#Phishing
#Rançongiciel
#Sextorsion
#SupplyChainAttack
#VPN
#Vulnérabilité

TL;DR Le SNI (Server Name Indication) est utilisé pour que le serveur envoie le bon certificat TLS. Le ESNI est la version chiffrée du SNI et se passe avant le handshake. La clé publique du serveur est stockée dans un enregistrement DNS, qui est envoyée en même temps que l'adresse IP.

A faire tourner pour démystifier le chiffrement :)

Donc on note : une application de chat censée être chiffrée de bout en bout, mais centralisée, a été mise sur écoute de manière massive par la gendarmerie.
Leçons à en tirer:
1) la centralisation c'est mal pour la vie privée.
2) faut pas croire les startups, surtout quand le code n'est pas ouvert. (Du coup je suppose que cette startup française va faire plouf)
3) même si c'est chiffré de bout en bout, la sécurité du terminal lui-même reste le maillon faible.
4) quand vous ne controllez pas l'OS et le logiciel de bande de base de votre smartphone, il est totalement à la merci des autorités.

(de sebsauvage)

Tested after set up on a [live USB] and it works ^^

the length of the key encryption is not so important as I thought. Well explained.

If it's true, it's huge.
The swiss society Crypto AG has sold encryption equipment to 120 countries for decade, including armies (Latin America, India, Pakistan, the Vatican, etc.).
Except that the CIA has controlled this company since 1970. So they can decipher communications.
And that lasted until 2018.
(shared by sebsauvage : https://sebsauvage.net/links/?vOvAeQ)

Le chiffrement, c'est un combat sans fin ><