Protection sûre et transparente des données privées sur une clé USB sans porte dérobée

Ne sous-estimez pas la sécurité de vos données. Des vols des données et même des ordinateurs ont lieu quotidiennement et sont devenus une affaire banale. Des individus et des entreprises perdent leurs données financières “top secret”, et pour certains leur réputation est en jeu. A la lumière de dernières nouvelles sur le FBI voulant exiger à tous les systèmes chiffrés de communication d’avoir une porte dérobée, ce fait montre que cela porte vraiment atteinte sur le droit de la vie privée. Aujourd’hui on parle beaucoup des problèmes de confidentialité et de sécurité et on les prend souvent en considération.

Aucune porte dérobée

Dernièrement on nous a posé la question si nos logiciels de cryptage Rohos Mini Drive( logiciel gratuit) et Rohos Disk Encryption( logiciel à contribution volontaire) ont des portes dérobées. Notre réponse est non. L’équipe Rohos insiste sur ce que ses programmes de cryptage n’aient pas de portes dérobées. Donc, vous pouvez dormir sain et sauf en sachant que personne ne pourra accéder à vos données privées cryptées sauf si vous-même ne leur avez pas fait savoir votre mot de passe.

De même on nous a posé la question comment nous pouvons le prouver. Une seule possibilité de le faire serait d’ouvrir le code source, ce qu’on fera mais plus tard et seulement avec notre utilitaire Rohos Mini Drive Portable.

Rohos Mini Drive est absolument gratuit pour l’utilisateur à domicile, et c’est le meilleur outil du cryptage de sécurité gratuit qui utilise le standard du cryptage approuvé NIST. Autrement dit il répond à tous les besoins d’un utilisateur à domicile pour obtenir un haut niveau de confidentialité des données de l’ordinateur.
Télécharger Rohos Mini Drive.

Chiffrement du disque open source vs. closed source

Bon, certaines personnes peuvent dire que le fait d’avoir un logiciel de cryptage open source permet de savoir ce que vous utilisez et à quel point les protocoles de sécurité et de cryptage sont rigoureux. Pourtant nous avons des doutes sur ça.
Observant le logiciel de cryptage open source Truecrypt qui est le plus utilisé, des questions apparaîssent: pourquoi ses développeurs sont anonymes, pourquoi après avoir fait tant de travail( et croyez-moi, le cryptage n’est pas un domaine de développement le plus facile) on vous l’offre gratuitement, etc. Il paraît que ce n’est pas que moi qui a de sérieuses inquiétudes quand il s’agit de portes dérobées dans Truecrypt. Un auteur d’un blog a carrément découvert la voile de tout ça dans son article: “Analysis: Is there a backdoor in Truecrypt? Is Truecrypt a CIA honeypot?”( “L’analyse: Y-a-t-il une porte dérobée dans Truecrypt? Est le Truecrypt le pot de miel de la CIA?”) Cet article nous offre vraiment une bonne lecture.

D’autre part, on doit admettre qu’un autre logiciel de cryptage open source OTFE est très ouvert à une large communauté et dont le nom du développeur est connu dans le public, et il ne traîne en aucune manière derrière toute une diversité d’algorithmes de cryptage (AES, Twofish et Serpent) ou d’autres fonctionnalités qui sont très populaires par rapport  à Truecrypt.

Solutions du cryptage certifié

Beaucoup de lecteurs flash USB avec des fonctionnalités de cryptage du matériel ont un certificat FIPS 140-2 Niveau 2 émi par le NIST( US National Institute of Standards and Technology). La certification FIPS signifie la validation du module de cryptage par une des labs approuvés par NIST:

  • Le lab prend le Module de cryptage( cela peut être juste une partie de la solution de sécurité entière) et exécute une série de tests avec lui. Ils cryptent des blocs de données prédéfinis, utilisent les clés de cryptage prédéfinies, inspectent la sortie de chiffrement.
  • Le lab peut aussi inspecter le code source du Module de cryptage.

Pour simplifier le processus de certifications, les fournisseurs souvent récupèrent le code de tout le cryptage du code source entier dans un seul module et certifient seulement ce module. Ultérieurement, quand une nouvelle version du produit sera publiée, il n’y aura pas besoin de la certifier de nouveau.
Ainsi, les Produits/Solutions du cryptage certifié signifient: “Quelque part dans le passé nous n’avons certifié que le code de chiffrement dans nos produits. Mais le produit/solution entier/ère peut contenir des bogues/trous dans les protocoles de sécurité.

  • Regardez la liste des certifications/list of certifications – ici il y a seulement des modules cryptographique et non des Produits.
  • Lisez sur les trous de sécurité/security holes sur un lecteur flash USB avec cryptage certifié.

Un autre exemple de porte dérobée possible peut être le standard de cryptage Russe GOST 28147-89. Bien qu’il ait été développé par KGB, certains prétendent qu’il est transparent pour le département de la Sécurité Nationale. Ce standard du cryptage a été sévèrement critiqué en raison du fait que la puissance de chiffrement peut dépendre de la qualité des S-Boxes. Ainsi, le fournisseur des produits de cryprage certifié devra utiliser les S-boxes fournis par KGB. La page de Wiki russe décrit mieux ce problème: GOST critics. Nous avons trouvé cet excellent article sur ce standard et beaucoup plus, et nous voudrions le partager avec vous. Il s’appelle “Weakness of Cryptosystems”.

Il faut dire qu’aucun des algorithmes cryptographiques existants n’assurent une sécurité des données à 100 %. Cela juste allonge le temps qui est nécessaire pour la tierce partie de lire cette information. Normalement ça prend pas mal de temps, ainsi à ce moment l’information perd de sa valeur. Mais si on le regarde d’un autre point de vue, le fait que la plupart des protocoles de cryptage et des algorithmes cryptographiques sont développés aux Etats Unis doit nous mettre en guarde.

Donc c’est à vous de choisir ce que vous voulez utiliser. Mais ce n’est que le temps qui peut prouver comment un logiciel peut être sécurisé et fiable.

Comments (1)

dwayneJuly 27th, 2014 at 6:46 am

cogently@packet.insubstantial” rel=”nofollow”>.…

thank you!!…