Publié dans Logiciel

7

Signal annonce le premier pas de son protocole dans la « résistance post-quantique »

Signal annonce le premier pas de son protocole dans la « résistance post-quantique »

Dans un billet de blog, l’équipe de la messagerie chiffrée Signal annonce la mise à jour de son protocole d’échange de clés X3DH (Extended Triple Diffie-Hellman) pour lui permettre de résister aux ordinateurs quantiques, qui auront des capacités de calculs beaucoup plus importantes. 

Ces ordinateurs pourront décrypter beaucoup plus rapidement les messages chiffrés avec les méthodes en place actuellement. C’est du moins vrai sur les systèmes de chiffrement asymétrique (comme RSA), tandis que sur les protocoles symétriques (AES par exemple) il suffit de doubler la taille de la clé pour se protéger.  

Cette mise à jour, appelée PQXDH (Post-Quantum Extended Diffie-Hellman), est basé sur le mécanisme d’encapsulation de clés CRYSTALS-Kyber. Le choix de cet algorithme n’est pas un hasard : c’est le seul retenu l’année dernière par le NIST « pour le chiffrement à clé publique et les algorithmes d’établissement de clé », rappelle le CNRS. Pour la petite histoire, CRYSTAL signifie Cryptographic Suite for Algebraic Lattices. 

« L'essence de la mise à niveau de notre protocole de X3DH à PQXDH est de calculer un secret partagé, des données connues uniquement des parties impliquées dans une session de communication privée, en utilisant à la fois le protocole d'accord de clés à courbes elliptiques X25519 et le mécanisme d'encapsulation de clés post-quantiques CRYSTALS-Kyber.

Nous combinons ensuite ces deux secrets partagés de manière que tout attaquant doive casser à la fois X25519 et CRYSTALS-Kyber pour calculer le même secret partagé », détaille-t-elle. Cette combinaison est également utilisée par l’IETF dans son brouillon de RFC post-quantique pour TLS 1.3.

Signal explique que son nouveau protocole est déjà en place dans les dernières versions des clients de son application et est utilisé dans les discussions initiées après la mise à jour faite par les différents utilisateurs. L’équipe planifie de passer dans les prochains mois les discussions existantes sur ce nouveau protocole et de désactiver X3DH en parallèle.

Il est temps que Signal passe au post-quantique puisque d’autres ont déjà sauté le pas depuis des années

7

Tiens, en parlant de ça :

Poing Dev

Le poing Dev – Round 7

Meuh sept super !

22:32 Next 13
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

« Money time »

18:06 WebSécu 3

Trois consoles portables en quelques semaines

Et une nouvelle façon de concevoir le jeu se confirme

10:45 Hard 36

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 13
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 3

Trois consoles portables en quelques semaines

Hard 36
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

43
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 20
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

GTA VI

Rockstar met en ligne le trailer de GTA VI

Soft 7

Russian drone shot by the State Border Guard Service of Ukraine

La guerre électronique serait la plus grande faiblesse de l’Ukraine, et la principale force de la Russie

HardSécu 1

Debout, une femme en pull bleu montre à une autre, assise, quelque chose à son écran d'ordinateur.

Futur de l’IA : les femmes manquent dangereusement à l’appel

IASociété 1

Logo Spotify avec notes de musique

Spotify licencie 1 500 personnes de plus

ÉcoSociété 1

Wikipedia sombre

Wikipedia aura son thème sombre

Web 5

7

Commentaires (7)


monpci
Il y a 2 mois

C’est cool que signal fasse évoluer son protocole
Dommage qu’ils n’essaient pas de virer le point de centralisation que certains critiques (le fait que l’id soit le numero de téléphone)



sinon les paranos qui me lisent il y a ce projet qui semble intéressant https://simplex.chat/fr/


Gamble
Il y a 2 mois

Sauf que l’article en lien ne concerne pas l’utilisation opérationnelle, juste des expérimentations


marba
Il y a 2 mois

monpci a dit:


Dommage qu’ils n’essaient pas de virer le point de centralisation que certains critiques (le fait que l’id soit le numero de téléphone)




C’est en cours de développement pour le retrait des numéros de téléphones pour les contacts, en revanche je ne pense pas qu’ils retireront l’identification par numéro. Il y aura toujours de la centralisation sur Signal, car c’est l’architecture qui veut ça, et ça apporte plus de garanties de confidentialités.



https://signal.org/blog/the-ecosystem-is-moving/




sinon les paranos qui me lisent il y a ce projet qui semble intéressant https://simplex.chat/fr/




Merci intéressant.


Trooppper
Il y a 2 mois

Il est temps que Signal passe au post-quantique puisque d’autres ont déjà sauté le pas depuis des années.




Alors, d’autres oui mais :




  • seulement en expérimentation si on suit le lien

  • pas d’autres messageries (les concurrents de Signal). A ce que j’en sais Signal est précurseur dans son domaine avec ca.


Gorom Abonné
Il y a 2 mois

Petite info supplémentaire, si on s’en tient aux informations concernant la dernière version bêta (6.34.x), l’édition des messages est pour très bientôt.




monpci a dit:


sinon les paranos qui me lisent il y a ce projet qui semble intéressant https://simplex.chat/fr/




Purée ça monte encore d’un cran dans la quête de confidentialité des échanges, excellent merci pour l’info.


Kazer2.0 Abonné
Il y a 2 mois

Ça va même plus loin avec Cwtch.im



C’est décentralisé et passe par Tor v3. La problématique entre deux personnes c’est qu’il faut que les deux soient connectée pour pouvoir discuter (vu que c’est en direct) donc pas de hors ligne.



Tu peux cependant héberger des “groupes” sur un serveur (par exemple un RaspberryPi, toujours à travers Tor), ça permet d’avoir un semblant de “hors ligne” pour envoyer les messages.



Évidemment tu as aussi similaire comme Berty.tech (cocorico) et équivalent.


Gorom Abonné
Il y a 2 mois

(quote:2154641:Kazer2.0)
C’est décentralisé et passe par Tor v3. La problématique entre deux personnes c’est qu’il faut que les deux soient connectée pour pouvoir discuter (vu que c’est en direct) donc pas de hors ligne.




De façon générale, je remarque que le compromis en terme de confort d’utilisation augmente avec le niveau d’exigence en terme de confidentialité, tout dépend de comment on souhaite positionner ces curseurs.



Pour certaines personnes la marche est déjà trop haute pour aller sur Signal notamment pour toute la partie sauvegarde et transfert des conversations qui il faut le reconnaître est plutôt rigide.
Rigidité qui découle de la volonté d’éviter au maximum la compromission des données lors de ce type d’opération versus les sauvegardes Whatsapp sur Google Drive non chiffrées par défaut.



En tous les cas je te remercie pour ces outils de communication que je ne connaissais pas.