How Excalidraw handle E2E encryption

CryptPad is a great tool and I can only be relieved that the United Nations start to use it.

The project runs mainly thanks to research grants. Only 20% comes from donations or suscriptions.

The main selling poitn is it's easy for users to share encryption keys for sharing documents.

The first method — for those without accounts — works like this: When you create a document, a key is generated in your browser and stored locally in your computer or your encrypted drive. When you share this document with a user without a CryptPad account, a URL with a long string after the “#” is sent, containing both the address of the document and the encryption key. What is important is that all content in the URL after the “#” is never transmitted to the server, which means the encryption key stays private.

If you and the person with whom you are sharing both have accounts with CryptPad, you have the additional option to share content using CryptPad’s internal sharing mechanism. This allows sending the document keys in a public-key encrypted box that only designated recipients can open. [...] Also, CryptPad is even more private, because an important feature is that anyone who hosts your data will never have access to the encryption keys.

Another thing to remember is CryptPad will only be as secure as your computer and browser.

Also be careful with browser extensions, because these can snoop in your URLs.

Auprès de Next, elle déclarait en revanche : « la promesse est toujours la même : si vous nous donnez accès à tout, nous pourrons résoudre tous les problèmes du monde. Sauf qu’il n’y a aucune preuve de cela, pas plus que de démonstration que le chiffrement soit le coupable. »

La création d'une porte dérobée aux forces de l'ordre est aussi une porte exploitable un jour ou l'autre par des pirates.

L'ONG Access Now décrit à Wired 3 types d'attaques: la demande par des gouvernements d'obtenir un accès légal aux données chiffrés; la deuxième consiste à analyser les données du côté client; ou alors suspendre l'accès aux services de messageries chiffrées.

Cela dit, des voix importantes s’élèvent aussi en faveur du chiffrement. Aux États-Unis, à la suite de la cyberattaque Salt Typhoon, plusieurs représentants du FBI et de la CISA (US Cybersecurity and Infrastructure Security Agency) ont encouragé la population à largement utiliser des applications de messagerie chiffrées.

(via https://sebsauvage.net/links/?kiLHhA)

Brussels is proposing some form of government-mandated backdoor for communication platforms protected by end-to-end encryption.

Fin de l’article ??? Naaaaan ! Attendez une minute, bande d’impatients ! Car quand on regarde sous le capot, on se rend compte que Google joue “un peu” avec les mots. Ils appellent ça “end-to-end encryption” (E2EE), mais les puristes de la sécurité sont en train d’hurler au scandale (et pas “d’hurler aux sandales”, c’est pas encore les vacances). En réalité, ce qu’a mis en place Google s’appelle du “client-side encryption” (CSE). La différence n’est pas juste sémantique, elle est fondamentale !

Dans un vrai système E2EE comme Signal ou WhatsApp, les clés de chiffrement sont générées et restent uniquement sur les appareils des utilisateurs finaux. Personne d’autre, pas même le fournisseur du service, ne peut déchiffrer les messages. C’est le Saint Graal de la sécurité des communications et c’est bien pour ça que les Etats veulent des backdoor dans tous ces services !

Mais avec le CSE de Google, les clés sont générées ET stockées dans un service cloud de gestion des clés. Les administrateurs peuvent donc y accéder, révoquer des accès, surveiller ce que les utilisateurs chiffrent. Donc c’est un genre de un coffre-fort ultra-sécurisé protégeant vos données les plus sensibles, mais où le mec qui l’a installé a gardé un double de la clé “au cas où”, et pourrait même regarder ce que vous y stockez s’il s’emmerde.

Using both encryption algorithm: one as usual and another quantum resistant.

(via https://sebsauvage.net/links/?1IxNPQ)

Un exemple de l'API Web Crypto implémentée dans les navigateurs

The key is transmitted via the hash of the URL. Smart ! The rest is encrypted on the client side.

An example is provided with the crypto API, especially subtle.

Cryptographers tend to specialize into one (or max two) of the three categories:

• Theory: understanding the limit of cryptography, what it is to be secure.
• Design: constructing efficient primitives and protocols.
• Engineering: implementing the primitives and protocols securely and efficiently.

These two abstractions above engineering in the design and theory of cryptography are indeed useful:

The process of designing a protocol (or primitive) [...] requires one to isolate and understand [...] to use, invent or combine, crypto building blocks to overcome these challenges.
To do this properly, [...] one cares about is what security properties the building blocks possess so that they can be used and combined to overcome a particular challenge.

#Backdoor
#Botnet
#Brute force
#Bug Bounty
#Chiffrement
#DDOS
#DarkWeb
FuiteDeDonnées (#DataLeak)
#Hacker
#Malware
#Pentest
#Phishing
#Rançongiciel
#Sextorsion
#SupplyChainAttack
#VPN
#Vulnérabilité

TL;DR Le SNI (Server Name Indication) est utilisé pour que le serveur envoie le bon certificat TLS. Le ESNI est la version chiffrée du SNI et se passe avant le handshake. La clé publique du serveur est stockée dans un enregistrement DNS, qui est envoyée en même temps que l'adresse IP.

A faire tourner pour démystifier le chiffrement :)