Delta Chat utilisant le mail comme vecteur pour les messages, même si le contenu est chiffré il reste les méta-données accessibles en clair à tout le monde, non ?
De ce que j'en ai compris, autocrypt utilise OpenPGP comme algorithme crypto. Il n'y a certes pas de confidentialité persistente (forward secrecy), mais tant que les clés privées ne sont pas compromises, les messages échangés ne le sont pas non plus. Par contre ils peuvent être stockés dans l'attente de la récupération (ou du crackage) de la clé privée, ce qui permettra alors de déchiffrer tout l'historique.
Après il faut aussi être vigilant à bien faire l'échange de clés publiques avant d'échanger des infos confidentielles, car certains messages peuvent partir non chiffrés sinon.
Et il reste la question des méta-données, qui peut être "mitigée" en partie en utilisant des adresses pseudonymisées si le sous-graphe social concerné est petit.
Moyennant tout cela, cela peut quand même être une solution intéressante pour certains cas d'usage.
Posté par Papey .
Évalué à 3.
Dernière modification le 30 janvier 2022 à 18:14.
Ceci dit le site d'autocrypt reconnaît directement les limites du modèle :
Autocrypt is significantly weaker than traditional models of mail encryption. In particular, it provides no resistance to an active attacker (an attacker who can modify and/or inject mail as it passes through the SMTP network). The no-UI feature makes it so that most users will never properly verify each other’s encryption keys.
Soit en résumé : il est simple pour un attaquant "actif" de contourner autocrypt.
# métadonnées
Posté par Papey . Évalué à 10.
Delta Chat utilisant le mail comme vecteur pour les messages, même si le contenu est chiffré il reste les méta-données accessibles en clair à tout le monde, non ?
[^] # Re: métadonnées
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Autocrypt n'est pas très solide, il sert juste à compliquer la vie d'attaquants passifs.
L'idée est d'augmenter un peu la sécurité de l'existant en attendant mieux.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: métadonnées
Posté par Papey . Évalué à 3.
De ce que j'en ai compris, autocrypt utilise OpenPGP comme algorithme crypto. Il n'y a certes pas de confidentialité persistente (forward secrecy), mais tant que les clés privées ne sont pas compromises, les messages échangés ne le sont pas non plus. Par contre ils peuvent être stockés dans l'attente de la récupération (ou du crackage) de la clé privée, ce qui permettra alors de déchiffrer tout l'historique.
Après il faut aussi être vigilant à bien faire l'échange de clés publiques avant d'échanger des infos confidentielles, car certains messages peuvent partir non chiffrés sinon.
Et il reste la question des méta-données, qui peut être "mitigée" en partie en utilisant des adresses pseudonymisées si le sous-graphe social concerné est petit.
Moyennant tout cela, cela peut quand même être une solution intéressante pour certains cas d'usage.
[^] # Re: métadonnées
Posté par Papey . Évalué à 3. Dernière modification le 30 janvier 2022 à 18:14.
Ceci dit le site d'autocrypt reconnaît directement les limites du modèle :
Soit en résumé : il est simple pour un attaquant "actif" de contourner autocrypt.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.