"People only see what they are prepared to see." -- Ralph Waldo Emerson
Sur
les algorithmes et les logiciels
Evitez les algorithmes trop récents: ils n'ont pas encore pu faire leur
preuves face aux cryptanalystes. Dans ce domaine, le dernier cri est
toujours suspect. Ceux qui se vantent aujourd'hui d'avoir inventé hier
un algorithme incassable sont très probablement des menteurs.
Il faut du temps pour valider la solidité d'un algorithme. Celui-ci
doit être longuement étudié par des cryptographes
chevronnés.
Donc, fuyez comme la peste les logiciels qui utilisent un algorithme
propriétaire gardé secret. Un logiciel peut toujours être désassembler.
Il sera donc toujours possible d'obtenir le code source de l'algorithme...et
d'en trouver les failles !
Utilisez des logiciels basés sur des algorithmes qui ont fait leurs
preuves, et dont la source est librement disponible. Ceux-ci ont été
plus ou moins longuement étudiés. Si ils résistent toujours, c'est bon
signe. Si le code source complet du logiciel est disponible (comme PGP
ou Scramdisk, par exemple), c'est encore mieux. Use the Source, Luke
!
Si la pub vous garanti que le code est incassable, alors évitez le.
Si le programme est fait par des gens sérieux, ils vous mettront au
moins en garde contre le fait que rien n'est absolu, et que le risque
existe toujours. La doc de PGP, par exemple, comporte un chapitre à
ce sujet.
Ne pas confondre chiffrement à clef symétrique (la même clef
chiffre et déchiffre), et chiffrement à clef asymétrique (clef
publique+clef privée). Le nombre de bits n'est PAS comparable
directement.
Dans le chiffrement à clef symétrique ou clef secrète, c'est la même clef qui sert à la fois à chiffrer et à déchiffrer un message. C'est exactement le même principe qu'une clef de porte : c'est la même qui sert à ouvrir et à fermer une serrure.
Pour le chiffrement asymétrique, chaque personne possède une "clef privée" et une "clef publique". Votre clef secrète ne doit être communiqué à personne et gardée en lieu sûr (ne pas oublier de la sauvegarder), tandis que votre clef publique est transmise à tous vos interlocuteurs.Un message codé avec une clef privée ne peut être décodé que par la clef publique associée. De même, un message codé avec une clef publique ne peut être décodé que par la clef privée associée.
Le cryptage (l'option "mot de passe") des logiciels de bureautique est
insuffisant contre un adversaire compétent. Néanmoins il occupera votre
petite soeur un bon moment. De même, les 56 bits autorisés à l'export
par les USA sont insuffisants pour une utilisation sérieuse. D'ailleurs,
c'est fait pour...
Ne touchez à rien avant d'avoir lu la mise en garde de Bruce
Schneier sur les "trous
de sécurité (security pitfalls)" (version française
ou anglaise),
et la "Snake-oil FAQ" (version française
ou anglaise).
Lisez la FAQ concernant
la cryptographie et ensuite, pour plus d'informations, utilisez le forum
fr.misc.cryptologie.
La mention "military grade" ou "niveau de sécurité militaire" ne prouve
rien: ce n'est pas un label ! Juste un peu de marketing pour nigauds.
Eventuellement, avant d'opter pour tel ou tel logiciel, vérifiez
qu'il n'ait pas déjà été "cracké"...
Ce n'est pas parce que vous utilisez un algorithme capable de chiffrer
sur 128 bits que le résultat sera de ce niveau. Tout dépend
du mot (ou de la phrase) de passe que vous choisirez.
| Bon à savoir | Cryptographie | Effacement | (Contre) Espionnage | Docs & Liens |
 |