XENATX - Version alpha 0.8
.
Chiffrement asym.
Signature incluse
Au préalable, indiquez les clés dans l'onglet Clés.
Une clé publique est normalement suffisante pour chiffrer un contenu textuel. Cependant une signature est automatiquement insérée au moment du chiffrement. Or une signature ne se fait qu'avec votre clé privée. C'est la raison pour laquelle vous devez également indiquer votre clé privée dans l'onglet "Clés".
Déchiffrement asym.
Vérification de signature incluse
Au préalable, indiquez les clés dans l'onglet Clés.
Une clé privée est normalement suffisante pour déchiffrer un contenu textuel. Cependant une signature a été automatiquement insérée au moment du chiffrement. Or une signature ne se vérifie qu'avec la clé publique du signataire, donc celle de la personne qui vous a envoyé ce contenu chiffré ou la vôtre si c'est un contenu auto-adressé. C'est la raison pour laquelle vous devez aussi indiquer une clé publique dans l'onglet "Clés" pour déchiffrer ce contenu.
Informations sur une clé publique
Indiquez une clé publique et découvrez les informations de cette clé.
Etablir, propager et vérifier la confiance entre membres d'une organisation ou entre organisations.
Signer
Indiquez ci-dessous votre mot de passe et clé privée avant de signer une clé publique, un contenu textuel, une empreinte de contenu, etc.
Seule votre clé privée peut signer.
Vérifier une signature
Vous devez indiquer ci-dessous la clé publique du signataire, le contenu textuel original ayant fait l'objet de la signature et la signature à vérifier.
Rappel : le contenu textuel original peut-être un contenu textuel en clair ou chiffré, une empreinte de contenu, une clé publique, une empreinte de clé publique, etc.
C'est toujours la clé publique du signataire qui sert à vérifier sa signature effectuée avec sa clé privée. En effet seule la clé publique peut déchiffrer donc vérifier la signature effectuée avec sa soeur "jumelle" la clé privée.
Chiffrement sûr nécessitant néanmoins un échange de clé ou un fonctionnement en combinaison avec le chiffrement asymétrique.
Explications
Le chiffrement symétrique suppose d'être en possession d'une clé symétrique servant à la fois à chiffrer et à déchiffrer.
Commencez par créer une clé sur l'onglet Créer une clé.
Conservez le mot de passe et le sel dans un Keepass (logiciel open source type coffre-fort) ou dans deux keepass différents, l'un pour les mots de passe, l'autre pour les sels. L'idéal est ne de ne pas conserver écrit l'entièreté du mot de passe, en en retenant une partie.
La conservation du mot de passe et du Sel est essentielle. Sans ces deux informations, vous ne pourrez pas recréer la clé symétrique.
Conserver directement la clé est bien sûr possible mais non recommandée. Son potentiel vol sera facilité et, pour des raisons techniques lié à la fonction PBKDF2, il est difficile de recréer la clé avec un seul élément comme le mot de passe ou le sel.
Le chiffrement symétrique utilisé est l'AES en mode CBC (Cipher Block Chaining) avec une clé de 256 bits et un vecteur d'initialisation de 128 bits unique pour chaque chiffrement. Vous pouvez générer des clés grâce à la fonction de dérivation de clé PBKDF2 avec un sel basé en partie sur des mouvements de souris. Dans tous les cas, la possibilité vous est laissée d'utiliser vos propres clés générées avec d'autres équipements.
Exemple de message à chiffrer : « Tout organisme vivant subit des attaques. L’Homme aura toujours sa stratégie de défense à cacher. »
Après chiffrement avec la clé 1E5A4797BCECAEB0926FEDDE2A10F28E6D6082BE1411E90D66AA79946908D1F7 vous obtiendrez la chaîne de caractères suivante :
2uZ4je6Nnfd0t6aCwhhk7w==:fj5+3D0mITDRWKgD2xVUSQRmsXFlXZ7VryYVbCQRx6fqzQtKHrt+Xtx18Su6lSdB0mAPB81C7VPWhTpsn6gYmVM/Lx9AANz8xQaJ1OpMzmYv+X0BlT9/atjTDhkqzdWujYoQgsmTXAiedbz5pyU2fQ==
Si vous chiffrez une nouvelle fois le même message avec la même clé, vous obtiendrez "un chiffré" différent, ce qui est normal et voulu :
qB2+XhwK6AKT8lMd1JtGzA==:vG/xNCUFfhd3mXNQ7OCUuq1hWEbb9UsQkT/oT5rF7J0hpAJmmASXW4Atu680c1yQ9XWFkFgYPIbKMFKsox3a1SnM0B34XLym5A6N9I3ZCWc/Ja8ApjVdQoBH3Yow53YZD7ciVZPntwdfXsTfwr7hew==
Analyse de ce "chiffré" : les premiers caractères jusqu'au signe de ponctuation "deux-points" [ : ] constituent le Vecteur d'Initialisation (IV - Initialization Vector) simplement encodé en base64, soit cette chaîne qB2+XhwK6AKT8lMd1JtGzA==
Après le signe "deux-points" faisant office de séparateur, vous trouvez le message réel chiffré et encodé également en base64, soit cette chaîne vG/xNCUFfhd3mXNQ7OCUuq1hWEbb9UsQkT/oT5rF7J0hpAJmmASXW4Atu680c1yQ9XWFkFgYPIbKMFKsox3a1SnM0B34XLym5A6N9I3ZCWc/Ja8ApjVdQoBH3Yow53YZD7ciVZPntwdfXsTfwr7hew==
L'IV est nécessaire pour décoder ce message chiffré situé après les "deux-points". Pour cette raison, il est "embarqué" en étant placé avant le vrai message chiffré. L'IV change aléatoirement à chaque chiffrement entrainant aussi le changement du message chiffré à chaque chiffrement. Cette technique limite les attaques par texte choisi.
Chiffrement, transfert de la clé et du contenu textuel chiffré
Chiffrez votre contenu textuel avec votre clé symétrique. Re-chiffrez ce contenu déjà chiffré avec la clé publique de votre correspondant (chiffrement sym. doublé d'un chiffrement asym.). Pensez à conserver votre contenu chiffré symétriquement en lieu sûr ou mieux supprimez-le de votre équipement si vous l'avez bien en tête. Conservez éventuellement une empreinte SHA-512 du message en clair.
Indiquez à votre correspondant les informations suivantes par au moins trois messageries chiffrées différentes telles que Signal, Briar, Wire, Session, Element, Olvid ou Telegram* :
- Le code de message pour récupération dans la DLB. Après avoir déposé le message dans la DLB (Dead Letter Box - Boite aux lettres morte) numérique du service en ligne XenaTrust (ou à mettre en place vous-même) voire dans une DLB physique.
- La moitié du mot de passe. L'autre moitié pourra être placée au-dessus du contenu textuel chiffré symétriquement avant re-chiffrement asymétrique.
- Le sel coupé en deux. Utilisez une messagerie différente pour chaque moitié du sel.
Votre correspondant reviendra ici reconstituer la clé symétrique à partir du sel et du mot de passe. Ensuite il récupèrera le contenu textuel à déchiffrer sur la DLB grâce au code de message. Il le déchiffrera d'abord une première fois asymétriquement avec sa clé privée puis une deuxième fois symétriquement avec la clé symétrique reconstituée.
Répertoire physique de clés symétriques
L'échange de la clé symétrique, en transmettant juste le sel et le mot de passe pour reconstituer ensuite la clé, peut être fait de façon relativement sécurisée en utilisant trois messageries, nous l'avons vu ci-dessus. Cependant cela comporte quand même beaucoup de risques d'interception, notamment en raison des failles zero day de votre équipement connecté, avant même transmission via les messageries.
Une autre solution, plus sûre, est de créer un répertoire de clés constitué de nombreuses clés créées à l'avance et d'échanger ce répertoire lors d'une rencontre physique, ou par un intermédiaire très fiable. Les clés sont placées sur microSD, clé USB voire imprimées sur feuilles avec QR Codes pour une récupération numérique facile.
Avec un répertoire de clés, seule la référence de la clé symétrique n°A2, A3, A4, etc. est à communiquer à votre correspondant qui a le double de ce répertoire. Un attaquant n'a donc aucune idée de la clé utilisée car seule sa référence transite sur le réseau, et encore pas toujours, car le plus souvent vous placerez cette référence au dessus du contenu textuel chiffré symétriquement. Le tout est ensuite re-chiffré asymétriquement.
Autre solution : utilisez les clés du répertoire dans l'ordre. Une clé ne servant qu'une fois (c'est du moins le plus sûr) ou pour une période limitée. Ainsi il n'y a rien de particulier à communiquer à votre destinataire.
Pour sécuriser encore plus ce répertoire et pour des clés créées via le générateur de clé du XENATX, vous pourriez n'indiquer que les mots de passe à la place des clés. Vous pourriez ensuite communiquer, toujours de façon sûre, donc en mains propres idéalement, un sel commmun (ou plusieurs) stocké sur un autre support, voire sur papier avec son éventuelle traduction en QR Code pour récupération facile.
Pour retrouver la clé de référence A3, par exemple, il suffira de la recréer via l'onglet "Reconstitution de clé" grâce au mot de passe n°A3 et le sel commun (ou si le sel n'est pas commun, avec le sel noté A3 également).
Pour des raisons de sécurité, la création de ces répertoires de clés doit se faire impérativement sur un équipement dit OFF, donc non connecté à Internet et jamais re-connecté.
Dépôt et Code de message
Dans le cas de l'utilisation du service en ligne XenaTrust, vous déposez simplement votre message chiffré dans la DLB numérique. Le message peut aussi être déposé dans une DLB physique. Ensuite vous appliquez le moyen discret et original, convenu à l'avance dans le répertoire pour cette clé précise, afin de signaler discrètement à votre correspondant qu'un message est à relever.
Un code de message, convenu à l'avance comme le mot commun "train", peut aussi être utilisé à la place par exemple de X4V2Z pour être glissé plus discrètement dans la conversation afin d'indiquer qu'un message avec ce code, ou un autre indiqué dans le répertoire, doit être relevé. Le moyen le plus discret est celui que vous inventerez...
Créer une clé symétrique
Merci de créer au préalable un sel sur l'onglet Entropie du sel. Vous pouvez également fournir votre propre sel voire utiliser votre propre clé. Dans tous les cas, le sel sera intégré avec votre mot de passe à la fonction de dérivation de clé PBKDF2 avec 100 000 itérations. Attention, sur un ordinateur faiblement puissant tel un Raspberry Pi 2 par exemple, la génération de la clé peut prendre plusieurs minutes...
Au moins 40 caractères dont des spéciaux. Attention ce mot de passe - phrase secrète ne permettra pas de retrouver la clé symétrique si vous n'avez pas mémorisé le sel également.
Attention, notez bien ce sel que vous avez généré. Il est autant indispensable que votre mot de passe - phrase secrète pour reconstituer votre clé en cas de perte.
Rappel : une clé AES de 256 bits correspond à 64 caractères hexadécimaux.
Entropie du sel
L'objectif de cette fonctionnalité est de créer un sel final plus aléatoire en mixant deux sels : un sel intermédiaire généré par les mouvements de votre souris et un autre sel, non affiché, généré par une fonction mathématique.
Bougez le plus aléatoirement possible votre souris dans le cadre jusqu'à ce que la barre de progression, placée sous le cadre, atteigne les 100%. Vous pouvez pour économiser des ressources quand vous ne souhaitez pas générer de sel.
Chiffrement sym.
Merci de lire les explications sur l'onglet "Explications", si vous n'êtes pas familier du chiffrement symétrique.
Longueur maximale de 64 caractères hexadécimaux.
Déchiffrement sym.
Reconstitution de clé
Pour reconstituer une clé symétrique, vous devez fournir le mot de passe ou phrase secrète et le sel que vous avez stockés en sécurité et peut-être en partie mémorisés. Sans ces deux éléments aucune reconstitution n'est possible.
Type de chiffrement très sûr. Souvent utilisé en chiffrement complémentaire pour les passages sensibles d'un message.
Explications
Le masque jetable ou OTP (One Time Pad) est assimilable à une clé symétrique mais où chaque caractère de la clé ne serait utilisé qu'une fois. La longueur de la clé doit donc être au moins égale à la longueur du message.
L'argument théorique est le suivant : si on ne connaît que le texte chiffré et que toutes les clés sont équiprobables, alors tous les textes clairs de cette longueur sont possibles et avec la même probabilité. Connaissant le texte chiffré, il n'y a donc aucun moyen de distinguer parmi ceux-ci le texte clair original. Une analyse statistique, comme l'analyse de fréquence, est vaine.
L'OTP est le seul chiffrement théoriquement 100% sûr, quelle que soit la puissance informatique en face, même quantique. Par contre, à la différence du chiffrement asymétrique il faut s'échanger à l'avance des OTP. Chaque OTP ne s'utilise impérativement qu'une fois. La sécurité de ces échanges physiques d'OTP et leur stockage en attente d'utilisation est primordiale et pas toujours simple à assurer. Cela requiert une organisation rigoureuse.
Un autre avantage du chiffrement par OTP est qu'il se base sur la fonction "OU exclusif" (XOR). De par sa grande simplicité, cette fonction est difficile à affaiblir par un malware ou autre manipulation matérielle, sans que cela soit visible. Donc, même sur un équipement infesté, bien sûr non connecté pour éviter toute fuite de données comme l'OTP lui-même, le chiffrement se fait correctement.
Plus d'info. : https://fr.wikipedia.org/wiki/Masque_jetable
L'OTP peut être créé en utilisant l'onglet Créer une clé. En mettant plusieurs clés symétriques bout à bout, vous pouvez obtenir un OTP assez long pour écrire un message utile.
Ces OTP ne sont pas parfaitement aléatoires mais offrent déjà une bonne protection en combinaison avec les autres chiffrements asymétrique et symétrique.
L'OTP peut dans ce cas être un chiffrement supplémentaire pour certaines parties courtes mais sensibles d'un message comme un lieu de rendez-vous, des noms, des horaires, etc.
Entropie de l'OTP
Plus vous trouverez une source capable de générer un OTP ayant une très forte entropie, donc très aléatoire, mieux sera votre OTP. Vous pouvez donc le générer ailleurs que sur le XenaTx et revenir l'utiliser ici.
Trouver, voire fabriquer, un TRNG (True Random Number Generator) ou même un très bon CSPRNG (Cryptographically Secure Pseudorandom Number Generator) pour générer un OTP le plus entropique possible, n'est jamais chose aisée.
En tout cas, n'utilisez jamais un OTP généré à distance même si les échanges sur le réseau sont protégés par TLS/SSL.
Tout site web, proposant des nombres soi-disant sûrs car basés sur des phénomènes quantiques aléatoires, est donc à proscrire.
En terme de simplicité et d'efficacité, au prix de la lenteur, le lancer de dés de qualité reste une option.
Vous trouverez plus d'informations à partir des idées et des mots clés des sites ci-dessous (nous ne touchons aucune commission...) :
- https://dicekeys.com/ ou https://www.schneier.com/blog/archives/2020/08/dicekeys.html
- https://crypto.stackexchange.com/questions/6175/how-to-best-obtain-bit-sequences-from-throwing-normal-dice
Avant chiffrement, convertissez au préalable en hexadécimal votre message en clair dans l'onglet Convertisseur HEX
Un OTP doit lui-même être en hexadécimal et d'une longueur au moins équivalente à celle du message en clair à chiffrer. L'OTP sera déjà, de facto, en hexadécimal s'il a été créé par le biais du générateur de clé symétrique dans la section "Chiffrement symétrique".
Idéalement, l'OTP doit être plus long que le message réel afin qu'un attaquant, assisté d'IA, ne puisse déduire la longueur exacte du message en clair, ce qui l'aiderait à évaluer les possibilités de messages grâce entre autres à des "dictionnaires", le contexte du message, les habitudes, la langue, l'entropie possible de l'OTP, etc.
Il faut donc ajouter au message réel des mots qui ne seront pas pris en compte par le destinataire. Cet ajout est appelé "Padding". Ce padding doit être constitué idéalement de lettres aléatoires et de mots courants.
Dans le répertoire d'OTP (voir exemple plus bas), vous devrez ainsi ajouter en-dessous de chaque OTP quel "identifiant" indiquera le démarrage du "padding". Cela peut être un mot ou un groupe aléatoire de lettres. Le destinataire saura ainsi qu'à partir de cet "identifiant" inclus, il ne doit plus tenir compte du message déchiffré.
Cet "identifiant" de fin du message réel, donc de début du padding, doit être différent pour chaque OTP afin de ne pas donner d'indice de récurrence à l'attaquant qui se serait emparé d'un de vos répertoires d'OTP sans que vous le sachiez. Vous pouvez utiliser des générateurs de mots et générateurs de mot de passe aléatoires comme celui intégré dans Keepass pour gagner du temps dans la création de vos OTP et padding.
Comme pour les autres techniques de chiffrement, un OTP doit bien sûr n'être créé et utilisé que sur un XENATOFF, ou équivalent, pour réellement apporter de la sécurité.
Répertoire d'OTP
Stocké sur carte microSD par exemple
Rappel : un OTP ne doit JAMAIS être utilisé deux fois. A n'utiliser qu'une fois, vraiment une seule fois, d'où son nom de jetable.
Le répertoire sera idéalement lui-même chiffré. Il sera échangé lors de rencontres physiques. Il sera copié sur une deuxième microSD en sauvegarde. Sauvegarde à stocker dans une "cache" différente. Attention de ne pas perdre la clé de protection du répertoire et ne pas oublier les lieux de stockage de tous ces éléments...
Pour des questions de simplification et d'économie de place, les OTP présentés ci-dessous sont particulièrement courts. Ils seraient peu utilisables dans la vraie vie et devraient au moins faire 5 fois ces longueurs.
OTP n°A1
422CD6339CDA310FD33CADEAF56BBA12853A6889A39B5C07B0DFEB1BF84291382D1518113EA4956F3BCCFC5F2C81FE8B36DE0E4E6BBFDDE8A1DE61B08850AFD8A936CE8222E20DDB8DF832691E3E22AE074658EEF57333EC57F75EFE7BF22A6185455052C655C9672C6B914EA14250C6A545B4EAFEC53C049C913C6F3D9288E5
Identifiant de padding : mRB2M?an
Utilisation (OUI - Non) : Non
OTP n°A2
A86B9C437D9A96B5AC64672146EEBD9965B8F86D9D468CA80C4139CBE42DB6208220323A54813336D4C411DC6B564925BC505CE520F784AD30C9DFF43C37D838
Identifiant de padding : paragon7
Utilisation (OUI - Non) : Non
OTP n°A3
28D8C440C4857A6E9B66FA3EDAE5501F47A6FCB45CE181F4411070084DC5DCCE23FBEF71E3A5C613395C7CE828A6E7743D09E1026E85D1C93976D4DA6B77455E
Identifiant de padding : LkRE
Utilisation (OUI - Non) : Non
Il est possible de coller à la suite plusieurs OTP pour chiffrer de plus longs messages. Il sera alors indiqué au correspondant que les OTP n°A1, A2, [ … ] ont été utilisés. Si rien n’est indiqué alors il faut prendre les OTP non encore utilisés à la suite. De sorte que la longueur des OTP mis bout à bout soit suffisante pour correspondre au moins à la longueur du message chiffré reçu.
Le padding commencera alors par l'identifiant de padding du dernier OTP utilisé. Donc si les OTP n°A1, A2 et A3 ont été utilisés pour un long message alors l'identifiant de padding du message déchiffré sera celui de l'OTP n°A3. Il commencera donc par LkRE.
Exemple de chiffrement avec un OTP
Chiffrement du message simple « Hello World ! »
Utilisation de l’OTP n°A3
28D8C440C4857A6E9B66FA3EDAE5501F47A6FCB45CE181F4411070084DC5DCCE23FBEF71E3A5C613395C7CE828A6E7743D09E1026E85D1C93976D4DA6B77455E
Ajout d’un padding qui ne sera pas pris en compte après le vrai message « Hello World ! » et identifié comme commençant par LKRE
Hello World ! LKrE Paris KKsASKJfYROJDMlJSI the car lIDD
Cette chaine de caractères « message + padding » devient en hexadécimal après conversion dans « Convertisseur HEX » :
48656C6C6F20576F726C642021204C4B7245205061726973204B4B7341534B4A6659524F4A444D6C4A53492074686520636172206C494444
Réduction de l’OTP n°A3 à 112 caractères pour être aussi long que le message à chiffrer en hexadécimal ci-dessus (le comptage automatique des caractères vous y aidera) :
28D8C440C4857A6E9B66FA3EDAE5501F47A6FCB45CE181F4411070084DC5DCCE23FBEF71E3A5C613395C7CE828A6E7743D09E102
Message final chiffré :
60BDA82CABA52D01E90A9E1EFBC51C5435E3DCE43D93E887615B3B7B0C96978445A2BD3EA9E18B7F730F35C85CCE82545E68932202CC958D
Ce message final chiffré sera prêt à être intégré à un texte clair qui sera lui-même chiffré "classiquement" en chiffr. sym. ou asym., ou les deux.
Il peut aussi être directement exfiltré de votre XenatOFF par une voie sécurisée (son ou QR Code) ou envoyé tel quel par CiBi/PMR en "jouant" le morse correspondant grâce au TAM.
Cette microSD pourrait être "rechargée" en OTP depuis "l'extérieur" exclusivement via votre XenatOFF en utilisant les voies sécurisées offertes par le XenaTx.
Néanmoins, l'idéal est qu'aucun nouvel OTP ne transite par votre XenatOFF avant utilisation effective. En effet, des traces des OTP ayant transité par votre XenatOFF au rechargement de votre microSD pourrait persister sur le disque dur voire dans la mémoire. Une récupération par un attaquant équipé serait alors possible en inspectant/copiant les mémoires de votre XenatOFF, ce dernier étant plus difficile à cacher qu'une microSD.
Stockez votre XenatOFF dans un lieu sûr avec des astuces permettant de savoir si votre "cache" n'aurait pas été "visitée" sans autorisation...
Convertisseur Hex
Ce convertisseur convertit un contenu au format texte vers le format hexadécimal (HEX) et inversement. Cette conversion préalable en hexadécimal d'un message en clair est indispensable avant le chiffrement par OTP.
Conversion d'un format texte vers un format hexadécimal
Conversion d'un format hexadécimal vers un format texte
Chiffrement
Merci de lire les explications sur l'onglet "Explications", si vous n'êtes pas familier de l'OTP.
Convertissez au préalable en hexadécimal votre message en clair à chiffrer dans l'onglet Convertisseur HEX
Déchiffrement
Transmettre un contenu sans contact par QR Code ou Morse - Convertir - Calculer une empreinte - Comprendre la sécurité du code.
QR Code
Transmettez optiquement sans contact, via un ou plusieurs QR Codes, un message chiffré, une empreinte, une clé publique, une signature, etc.
Le transfert peut parfois nécessiter l'utilisation de l'onglet Convertisseur HEX pour convertir au préalable le contenu au format hexadécimal. Ce format permet une meilleure préservation des caractères spéciaux et un meilleur découpage automatique en de multiples QR Codes. L'inconvénient étant que l'hexadécimal augmente le nombre de caractères donc le nombre de QR Codes à scanner ensuite.
Faites vos propres essais.
La capacité de transport d'un seul QR Code est définie ci-dessous pour s'adapter aux sensibilités de détection des différents matériels. Diminuez la capacité si la détection du QR Code ne s'effectue pas correctement par votre équipement (smartphone, webcam, scanner, etc.)
Le contenu textuel peut être d'une taille allant jusqu'à 100 fois la capacité de transport d'un seul QR Code. Le contenu sera réparti automatiquement sur de multiples QR Codes. Ils seront générés et numérotés automatiquement les uns en-dessous des autres. Attention le temps de génération peut être long suivant les performances de votre équipement.
Emetteur TAM - Transmetteur Acoustique en Morse
Merci de lire les consignes essentielles et les explications détaillées.
Consignes essentielles
Pour transmettre un contenu textuel chiffré, convertissez-le d'abord en hexadécimal avec le bouton "Convertir avant transmission". Cela allonge le temps de transmission mais préserve les caractères spéciaux.
Pour un message en clair, donc non chiffré, vous pouvez le transmettre tel quel sans conversion. Cependant écrivez en anglais car l'apostrophe ['] comme dans la phrase [ NOUS T'EMM... AFFECTUEUSEMENT ] n'est pas convertible en morse. Les accents non plus. Seuls les caractères alphanumériques en MAJUSCULES sont autorisés ainsi que le seul signe point [.]
Pour éviter l'anglais, convertissez en hexadécimal, avec le bouton "Convertir avant transmission" votre message français en clair comprenant des accents et autres caractères spéciaux, comme pour un contenu textuel chiffré.
A la fin de la transmission, transmettez l'empreinte du message pour que le destinataire puisse vérifier qu'il a reçu l'intégralité des données, sans perte ni erreur suite au décodage. Il procédera à la vérification à la section "Vérification des empreintes" dans l'onget "TAM - Récept. morse".
Explications détaillées
Dans le même esprit que le transfert par QR Codes, le TAM permet la transmission sécurisée de données entre un équipement OFF - Voir rubrique « Sécurité du code » pour les détails OFF/ON - et un équipement ON connecté à Internet qui, comme tous les équipements connectés, est vulnérable à une attaque en raison des failles logicielles et matérielles.
Le TAM permet donc de transmettre tout type de message, chiffré de préférence. La vérification de l’intégrité de la transmission se fait à la fois à l'oreille et visuellement par le spectrogramme. Le tout en temps réel.
Nous attirons votre attention sur le fait que la transmission chiffrée par radio est interdite pour les particuliers radio-amateurs dans certains pays comme la France, bien que le chiffrement et la transmission de données soient autorisés par Internet.
Le TAM est utilisable sur quasiment tous les équipements car les cartes son se trouvent pré-installées presque partout, même sur des équipements réduits comme le Raspberry Pi (modèle n°2, ou n°4 en version modulaire, sans carte wifi, ni bluetooth pour plus de sécurité).
Procédure en 6 étapes
Description précise de la procédure pour transférer un message chiffré de l’équipement sécurisé OFF1 d’un expéditeur vers l’équipement sécurisé OFF2 du destinataire, en passant par les équipements ON1 et ON2 de l'expéditeur et du destinataire, très difficilement sécurisables car connectés.
Rappel : un équipement est dit OFF car il n’est jamais connecté au monde extérieur (ni wifi, ni bluetooth, ni USB, ni ethernet, etc.). Il n'utilise que les voies sécurisées par le XENATX pour communiquer. L’environnement sûr qu’il procure est lié, quasi exclusivement, à cette inaccessibilité par des voies standards.
Précisions : 4 XenaTx seront installés. Un sur chaque équipement en jeu pour cette transmission. Dans le cas de la transmission radio qui ne mobilise que deux équipements informatiques, OFF de grande préférence, seuls deux XenaTx seront donc nécessaires.1 Chiffrement et émission depuis le OFF1 vers le ON1 de l'expéditeur
L'expéditeur chiffre d'abord le message grâce au XenaTx installé sur son équipement OFF1. Il utilise du chiffrement asymétrique, symétrique, masque jetable ou les trois.
Ce message chiffré est alors transformé en hexadécimal pour une transmission aisée des caractères spéciaux et une vérification visuelle et sonore simplifiée (bouton « Convertir avant transmission »)
Le message encodé est transmis vers le ON1, en morse, par la carte son avec sortie sur haut-parleurs (bouton « Transmettre »)
A la fin de la transmission du message, une empreinte SHA-256 du message chiffré peut également être transmise (bouton « Transmettre l’empreinte »). L'empreinte sert à vérifier sur le ON1 que la transmission s’est faite sans erreur.
S'il y a des erreurs, il arrive souvent que ce soit le son émis par le haut-parleur qui ne soit pas assez fort. Augmentez simplement le volume, le microphone du smartphone ou de l'ordinateur enregistrera mieux le signal et le décodage morse se fera mieux.
Faites des tests de volume sur un court message. Un filtre passe-bas peut malgré tout être nécessaire avant décodage sur le ON1 (voir l'explication sur l'onglet "TAM - Récept. morse" puis "Paramètres de décodage" et enfin paragraphe "Filtre passe-bas")
A cette étape, une alternative est possible, à savoir la transmission directe du message du OFF1 de l'expéditeur au OFF2 du destinataire par radio (CiBi ou émetteur portatif type PMR) - Le passage est alors direct vers l'étape n°6 - Voir paragraphe RÉSILIENCE plus bas
2 Réception sur le ON1
L’équipement ON1 enregistre cette « partition » en morse via le microphone par une application type enregistreur vocal sur smartphone ou par exemple via le logiciel libre et gratuit Audacity sur ordinateur (https://www.audacityteam.org - Pensez, comme pour le XenaTx, à en vérifier l'empreinte après installation.
Le fichier audio de cet enregistrement du code morse est téléchargé et décodé dans le XenaTx du ON1 sur l’onglet « TAM - Récepteur morse » bouton "Télécharger un fichier audio". Nous retrouvons alors le contenu hexadécimal, le même qu’avant la transmission.
L’équipement ON1 enregistre maintenant la nouvelle « partition » en morse correspondante à l’empreinte SHA-256. Comme l'empreinte est déjà au format hexadécimal, inutile de l'encoder avant transmission.
Une empreinte SHA-256 du message au format hexadécimal reçu sur le ON1 est calculée dans l’onglet « # Empreinte - Hash » et comparée à l’empreinte transmise. La transmission s’est bien déroulée si les deux empreintes sont concordantes. Le processus peut donc se poursuivre.
Ce contenu hexadécimal est décodé au format texte : format initial suite au chiffrement sur le OFF1.
Pour gagner 2 à 3 petites sous-étapes, il est possible de ne pas décoder l'hexadécimal et de transférer le message dans ce format avec les moyens qui vont être expliqués à l'étape suivante n°3, voire de transmettre tel quel par messagerie ou email le fichier son de l'enregistrement.
3 Transfert par internet du ON1 au ON2
Transmission du ON1 de l'expéditeur au ON2 du destinataire par dépôt du message chiffré dans une boite aux lettres morte numérique (service en ligne de XENATON) ou transmission par messagerie, email, etc. voire remise de main à la main ou dépôt dans une boîte aux lettre morte physique via une clé USB, microSD, papier, etc.
4 Réception sur le ON2
Si ce message a été intercepté par un attaquant sur cet équipement ON2 (voire sur le ON1 ou même lors de la transmission morse précédente) cela n’a pas plus d’importance que d’habitude car il est chiffré.
Le message peut maintenant être déchiffré MAIS comme il est toujours sur une machine ON, qui peut être compromise, ce n’est pas judicieux. Nous allons donc ré-émettre en morse le message vers le OFF2, suivi éventuellement de son empreinte SHA-256.
5 Ré-émission depuis le ON2 vers le OFF2
Le destinataire ré-émet vers son équipement sécurisé OFF2 pour déchiffrement et enfin lecture.
La suite des opérations est similaire aux indications précédentes. Rappel : le message chiffré est de nouveau encodé en hexadécimal (sauf s’il a voyagé encodé entre ON1 et ON2 voire toujours sous forme de fichier son .wav par exemple) puis « rejoué » acoustiquement en morse depuis ON2 vers OFF2, etc.
6 Réception sur le OFF2 depuis le ON2
Enregistrement via le microphone du OFF2 dans le logiciel Audacity puis Décodage morse - Vérification de l’empreinte - Déchiffrement.
Lecture dans cet environnement sécurisé assuré par ce OFF2.
Rédaction de la réponse.
Chiffrement et encodage hexadécimal.
Et c’est reparti pour une transmission acoustique en morse dans l’autre sens !
Le transfert par QR Codes est bien sûr plus rapide pour ces transferts de OFF1 à ON1 et de ON2 à OFF2 mais ce n’est pas toujours possible ni compatible avec la transmission radio.
RÉSILIENCE
La résilience pour nos clients en situation dégradée - faible couverture Internet, zone blanche, coupure internet et/ou téléphonie mobile, zone de conflit, surveillance des mobiles, etc. - est donc réelle grâce à la transmission par radio du message chiffré.
La transmission se fait encore plus facilement car directement d’un équipement OFF1 à un autre équipement OFF2.
Il suffit de « jouer » le code morse du message chiffré depuis le haut-parleur de son OFF1 à travers sa CiBi/PMR (Emetteur portatif). Côté réception, il suffit de la même manière de coller le récepteur radio au microphone du OFF2 qui enregistrera directement les DIT-DIT-DAH du morse.
Dans certains cas extrêmes, deux personnes distantes de quelques centaines ou milliers de mètres peuvent même communiquer un message court, toujours chiffré et toujours en morse, grâce à des signaux lumineux la nuit et par déviation de rayons du soleil par miroir le jour. Ou autres astuces encore tel le code sémaphore.
CONCLUSION
L'ensemble des fonctionnalités du XenaTx, dont ce TAM, était attendu par nos clients les plus exposés à travers le Monde. Ils souhaitaient une solution portative, donc adaptée à tout terrain d’opération, peu coûteuse avec un XenatOFF ou équivalent, logiciellement simple d’utilisation, avec du code vérifiable et gratuit !
Chez XENATON, nous sommes heureux d’offrir cette solution globale à ce besoin essentiel de communication sécurisée.
La vérité diffusée libère. Bonne utilisation éclairée !
Spectrogramme
Temps d'émission restant : - sec.
Récepteur TAM - Transmetteur Acoustique en Morse
Si des erreurs de décodage surviennent alors un filtre passe-bas est probablement nécessaire. C'est toujours le cas pour une transmission radio (CiBi, etc.) - Voir l'explication sur l'onglet "TAM - Récept. morse" puis "Paramètres de décodage" ci-dessous et enfin paragraphe "Filtre passe-bas".
Téléchargement de fichier audio
Par rapport à l'usage direct du microphone, rendu possible à la section ci-dessous, le meilleur décodage du morse est assuré par ce téléchargement de fichier audio au format WAV uniquement.
Ce procédé est donc impératif pour le décodage d'un message chiffré car la moindre erreur de décodage rendrait impossible ensuite le déchiffrement cryptographique.
Fichier : aucun
Paramètres de décodage
A la section "Télécharger un fichier audio", utilisez uniquement un fichier au format WAV. Il faut donc que l'enregistrement du morse "joué" soit effectué avec le format WAV sélectionné.
Le logiciel libre et gratuit Audacity (Mac, Windows, Linux) permet l'enregistrement sur ordinateur et l'export au format WAV.
Attention le dictaphone par défaut d'un iPhone ne permet pas le format WAV. Il n'autorise a priori que le format M4A.
Utilisez une application gratuite comme l'enregistreur vocal AVR qui permet l'enregistrement au format WAV.
Problème de transmission par radio (CiBi/PMR)
Le « souffle » des radios et autres altérations du signal perturbent le décodage du morse.
Passez l’enregistrement audio du morse dans le filtre passe-bas dans le logiciel Audacity avant décodage dans le XENATX sur l'onglet "TAM - Récepteur morse". L'explication de l'application du filtre est indiquée au paragraphe ci-dessous.
Filtre passe-bas
Pour appliquer un filtre passe-bas au fichier WAV de l'enregistrement du morse émis, suivez cette procédure dans le logiciel open source Audacity : double cliquez sur la piste pour sélectionner tout l'enregistrement puis menu Effets / Filtre passe-bas. Sélectionnez la fréquence à 563 Hz et le Roll-off à 6 db.
Enfin exportez la piste vers un nouveau fichier en allant dans le menu Fichier / Exporter / Exporter en WAV.
Dans une prochaine version du XENATX nous essaierons d'intégrer directement ce filtre passe-bas pour qu'aucune manipulation dans Audacity ne soit nécessaire.
Microphone
L'utilisation directe du microphone fonctionne pour décoder en direct le morse. Cependant le décodage est moins performant que lors du téléchargement d'un fichier audio.
Nous préconisons donc cette étape supplémentaire d'enregistrement du morse via un enregistreur vocal sur smartphone ou via le microphone d'un ordinateur en utilisant par exemple le logiciel Audacity. Le fichier audio WAV résultant de cette captation sera ensuite téléchargé et décodé à la section ci-dessus "Téléchargement de fichier audio".
Vérification d'empreintes
Calculez dans un premier temps l'empreinte SHA-256 des données décodées du morse en vous rendant sur l'onglet Empreinte - Hash de la présente section "Outils". Vous obtiendrez par exemple : 9F86D081884C7D659A2FEAA0C55AD015A3BF4F1B2B0B822CD15D6C15B0F00A08
Indiquez et comparez ensuite ci-dessous les deux empreintes, celle calculée et celle transmise en morse.
Données décodées
Spectrogramme
Convertisseur HEX
Ce convertisseur convertit un contenu chiffré, ou non, du format texte vers le format hexadécimal (HEX). Et inversement.
Cette fonctionnalité est utile pour un transfert plus sûr, par QR Code, des différents caractères notamment spéciaux.
Conversion du format texte
Conversion du format hexadécimal
Empreinte - Hash
Empreinte d'un fichier
Vous pouvez procéder ci-dessous au calcul rapide de l'empreinte SHA-512 d'un fichier.
Veuillez patienter plusieurs secondes pour un fichier volumineux.
Empreintes d'une chaîne de caractères
Calculez les résultats des principales fonctions mathématiques d'empreintes, appelées aussi "hash", pour une chaîne de caractères donnée. Nous préconisons et utilisons principalement la fonction SHA-512 (SHA = Secure Hashing Algorithm).
Vérification rapide
Vous pouvez procéder ci-dessous au calcul rapide de l'empreinte SHA-512 du dossier zippé xenatx-*.zip que vous avez téléchargé. Comparez le résultat avec l'empreinte fournie sur le site https://gitlab.com/xenaton/xenatx/-/wikis/version et sur notre canal Telegram https://t.me/xenaton_official
Sur Mac et Linux, vous pouvez simplement taper dans un terminal la ligne de commande suivante : shasum -a 512 ~/Desktop/xenatx-*.zip en présumant que vous avez placé le dossier zippé sur votre "Bureau" après téléchargement. Pensez à remplacer l'étoile (*) par la bonne version du XenaTx.
Il existe aussi de nombreux outils en ligne vous permettant de faire facilement ce calcul d'empreinte tel que https://www.tools4noobs.com/online_tools/hash/ à titre d'exemple.
XENATON
Origine et objectif
XENATON est la contraction de Xenophon et de Platon en hommage à ces deux sages, disciples directs de Socrate.
Sous cette bannière, nous accompagnons les organisations responsables (entreprise, association, collectif, etc.) dans leurs besoins en Cyber Sécurité Personnelle pour leurs collaborateurs ou membres.
Vous utilisez actuellement le XenaTx, notre application autonome gratuite pour tous. Cette application se couple idéalement avec la suite de services en ligne développée par XENATON en 2021/2022.
Présentation succincte de nos services
XenaTrust
Application web en mode SAAS offrant un dépôt de messages chiffrés dans une boite aux lettres morte numérique et un service décentralisé et anonyme d’établissement et de propagation de la confiance grâce aux signatures cryptographiques auto-gérées. Le fonctionnement se situe à mi-chemin entre l'Autorité de Certification (PKI) et le réseau de confiance décentralisé. XenaTrust est couplé au XenaTx bien sûr et souvent couplé à XenaTraining et XenaTeam.
XenaTraining
Application web en mode SAAS favorisant l’apprentissage et la mise à jour des connaissances et savoir-faire essentiels en matière de PCS (Personal Cyber Security). XenaTraining est souvent couplé à XenaTeam, XenaTrust et au XenaTx bien sûr.
XenaTeam
Application web en mode SAAS pour la coordination sécurisée d’une équipe : espace sécurisé, gestion de comptes anonymes, dépôts de messages chiffrés dans une boite aux lettres morte numérique, messages en multi-diffusion, etc. XenaTeam est couplé à XenaTrust, XenaTraining et au XenaTx bien sûr.
XenatOFF
Equipement informatique portatif de taille réduite dit OFF. Le principe d’un équipement OFF est qu’il est non connecté et jamais re-connecté. Il est sans carte wifi, sans carte bluetooth et avec ses ports USB et ethernet « obstrués ». Une sorte de boite noire.
Le XenatOFF est pré-équipé d'une distribution linux complétée d'outils essentiels et d'un programme de formation à la Cyber Sécurité Personnelle de type XenaTraining. Il délivre le plein potentiel de la suite d'outils XenaTx - XenaTrust - XenaTraining - XenaTeam.
Cet équipement informatique peut s'utiliser en toute autonomie juste avec un XenaTx, ou avec un autre logiciel de chiffrement, sans lien nécessaire avec nos services en ligne XenaTrust, XenaTraining et XenaTeam.
Le XenatOFF est en cours de développement. Le calendrier des livraisons n'est pas défini. Des idées d'équivalent existent, telle une simple tour informatique dont les cartes wifi et bluetooth ont été physiquement retirées, pour s'équiper et créer dès maintenant sa chaîne matérielle et logicielle sécurisée sans attendre que le XenatOFF soit disponible.
A suivre sur xenaton.com et sur Telegram (t.me/xenaton_official)
XenaTx
Application gratuite autonome sous forme de simple site web en JavaScript et HTML utilisable sur tous systèmes d'exploitation tels MacOS, Windows, Linux et même Android et iOS avec quelques limitations pour ces deux derniers.
Une version plus adaptée aux smartphones est envisagée afin de pouvoir y activer l'ensemble des fonctionnalités (versions avec Ionic, Electron, etc.)
Le XenaTx couvre de nombreuses fonctionnalités essentielles :
- Chiffrement asymétrique (OpenPGP.js utilisé également par Proton Mail).
- Chiffrement symétrique AES-256 en mode CBC avec IV aléatoire.
- Chiffrement par masque jetable - One-Time-Pad.
- Signature cryptographique.
- Transmission sécurisée par QR Code.
- Transmission sécurisée par Transmetteur Acoustique en Morse pour des données chiffrées transmissibles notamment par CiBi/PMR (émetteur radio portatif).
L’approche sans contact (QR Code et Son) du XenaTx est essentielle. Elle évite la contamination ou la fuite de données par les moyens courant de transfert de données (wifi, bluetooth, ethernet, USB, etc.) vers, ou depuis, un XenatOFF ou équipement équivalent.
L’équipement OFF est la seule technique offrant une sécurité optimale en prémunissant contre les failles matérielles et autres portes dérobées logicielles présentes sur quasiment tous les équipements (failles « zero day » notamment).
La fuite de données, ou l'insertion malicieuse de données, par Internet ou par connectique devient physiquement impossible (hors cas extrême de captation à distance du champ magnétique de l'équipement).
Seules les « voies » autorisées et vérifiables (QR code et Son) permettent l’import ou l’export sécurisés de précieuses données tels des messages chiffrés, des clés publiques, des signatures et même des images, etc.
Le XenaTx s’utilise seul mais se couple de façon optimale avec nos trois services en ligne XenaTeam, XenaTrust, XenaTraining et bien sûr notre futur XenatOFF.
Cette approche originale et transparente nous place loin des promesses marketing oblitérant volontairement les failles précitées.
Ce sujet des failles "zero day" ou autres vous parait peut-être pointu. Si vous souhaitez approfondir ces sujets pour mieux appréhender notre propos, cherchez du côté de l’IME (Intel Management Engine) ou AMD st où la faille/porte dérobée (back door) pourrait être directement dans le processeur…
Vous doutez encore ? Cherchez alors du côté de l’entreprise suisse Crypto AG (Hagelin) https://youtu.be/SWFlA248spU
Leurs très chers produits de qualité suisse étaient destinés, entre autres, aux ambassades du monde entier. Or ces produits étaient « backdoorés » depuis des dizaines d’années par un grand service à 3 lettres... La faillite complète de Crypto AG n'est intervenue que récemment en 2020 suite à ces révélations.
Autre faille plus « grand public » intéressante car répandue : la faille BadUSB qui touche les périphériques USB (clé, souris, clavier, etc.)
Avec ce très rapide tour d’horizon, vous devriez être convaincu que le chiffrement (ayant déjà ses potentielles faiblesses) n'a qu'un intérêt limité sans sécurisation, par mise hors ligne complète et permanente, de l'équipement sur lequel il s'effectue.
Ressources humaines
Nous recherchons régulièrement des collaborateurs de grande sagesse, à l’ego maitrisé, conscients de l’équilibre subtil et ancestral entre les trois groupes suivants : les « Producteurs », les « Sophistes-Nettoyeurs » et les « Philosophes-Gardiens ». Nuances et imbrications naturelles mises à part. Selon les savoirs issus des écrits de la grèce antique... et notre propre analyse...
Cette compréhension nous assure que nos collaborateurs auront l'analyse optimale des composantes et problématiques d’un environnement. En somme, ils adopteront une approche humaniste mais réaliste.
Etre conscient des raisons de la prédominance des Sophistes sur le marché actuel nous parait essentiel. Le marché étant déséquilibré, il favorise l'existence et le développement des sophistes. Leur rôle de testeurs de sagacité, de « nettoyeurs » sans empathie, s’en trouve mieux compris, sans en justifier les excès.
Les termes de "producteurs d’images et d'apparences ou de producteurs de prodiges dans les discours", utilisés par Platon dans la conclusion de son ouvrage Le Sophiste, trouvent aujourd’hui, plus que jamais, leur parfaite illustration.
A nous tous d'assainir notre environnement par des services centrés sur l'équilibre, l'équité, la lucidité et la souveraineté.
Réseau de formateurs
Nous développons notre réseau de formateurs indépendants pour l'accompagnement de nos clients. Nous les formons gratuitement à nos solutions informatiques tout en affinant leur vision stratégique des équilibres dans les systèmes d'organisation.
Toute forme de déni, comme sans exclusive l’angélisme, ne peut et ne doit pas trouver d'écho chez nos collaborateurs. L'approche auprès de nos clients est humaniste mais pragmatique.
Montesquieu, et ses pairs avant lui, nous a rappelé que "Tout Homme, ou groupe, entreprise, organisation, etc., qui a du pouvoir est porté à en abuser. Il faut donc que par la disposition des choses le pouvoir arrête le pouvoir." ...
De fait, XENATON se tient loin de l'angélisme béat. La Cyropédie de Xenophon, le Sophiste de Platon, l’Art de la guerre de Sun Tzu et les "Discours sur la première décade de Tite-Live" de Machiavel figurent parmi les ouvrages que nous recommandons à nos collaborateurs afin que l'équilibre réaliste soit leur quête, sans refuge dans un monde fantasmé. L’ancrage dans le réel est primordial.
Comme toute entreprise tournée vers l’enseignement, cher aux philosophes, et non vers la prédation, chère aux sophistes, nous concentrons nos efforts sur la formation, le développement de la sagacité et de la responsabilité dans un esprit vertueux.
Nous encourageons nos formateurs et nos clients à diffuser nos savoirs et techniques pour qu’ils soient les acteurs de l’assainissement de leur environnement professionnel, voire personnel.
Dans cet esprit, le XenaTx est gratuit pour tous, sans restriction.
Partenariats
Tous nos services en ligne sont accessibles gracieusement pour bon nombre de collectifs, de droit ou de fait, oeuvrant à la défense des libertés individuelles et collectives, après cooptation, étude et mise en place d'un partenariat.
Le respect de l’Homme et de sa souveraineté personnelle - incluant sa vie privée et le secret de ses communications - est à la source de XENATON.
L'hyper grille centralisée de surveillance et de contrôle, supprimant toute autonomie, donc toute vie, est une impasse. Toute concentration excessive, en tout domaine, crée un dangereux point unique de fragilité.
Un non sens en terme de résilience et un sophisme niant le vivant, ses écosystèmes et sa nécessaire biodiversité.
Si vous vous reconnaissez dans ces valeurs d’entreprise, nous serions honorés d’évoluer à vos côtés dans la poursuite de ces objectifs communs. N'hésitez pas à nous contacter sur xenaton.com
XENATON © 2022 - Développé en France