Avant de commencer, je suis un gros n00b concernant tout ce qui concerne le cryptage et les telecoms, je comprends en gros comment fonctionne pgp, clé publique, privée, c’est tout.
Voilà, une question m’a pris tout d’un coup: quid du cryptage des coms voix sur mobiles? Est-ce même crypté? Que faire pour crypter ceci? (paranoïa tout a fait normale, tout le monde ressent ça dans l’univers, paraît-il)
Apparemment, un des systèmes de cryptage informatique les plus prisés est pgp. Ce système est-il applicable a un flux? Nos smartphones actuels seraient-ils capables de crypter et decrypter un (deux?) flux comme celui-là? Doit-on apprendre a se servir des systèmes de com papier soviétiques? Ce sont en gros les questions que je me pose.
Voilà, c’est plus pour moi un topic a caractère informatif, je recherche pas de solution de cryptage, j’aimerais savoir si c’est faisable.
Le GSM est chiffré avec l’algorithme A5/1 en Europe entre le combiné et la base. Cet algorithme est considéré comme faible. L’UMTS est chiffré avec l’A5/3.
Si tu souhaites rajouter un chiffrement de niveau 7 (sur la couche ISO) c’est tout à fait possible et cela existe déjà. Skype, par exemple, te permet d’appeller tes correspondants avec une chiffrement hybride basé sur RSA et AES.
Il est aussi possible d’avoir un programme qui chiffre les données avant des les envoyer sur le réseau téléphonique et les déchiffre à l’arrivée. Il faut donc que les deux correspondants utilisent le même programme et se soient mis d’accord sur une clef ou alors se soient échangés des certificats pour un échange par clef publique (HMVQ par exemple). Il est possible de faire un échange de clef sans certificat mais il est alors trivial pour l’opérateur de s’insérer dans la transaction (MITM), puisque je suppose que si tu souhaites surchiffrer tu ne fais pas confiance à ton opérateur.
Je suis certain qu’il existe des programmes sur le marché faisant l’opération sus-décrite et il est sinon assez simple d’en faire un sous un Smartphone™ Windows™ CE™ OMG™.
Je pensais plutôt a un système comme ça, utilisant le système clé publique/privée pour crypter. On pourrait utiliser une de ses clés privées PGP combinée a la clé publique du destinataire pour crypter/decrypter le flux, faut que je me renseigne plus en profondeur.
Je t’avoue que ce serait le but a long terme, dans le cadre de mes études d’informatique (bon, faudrait que je les commence déjà ^^)…
Une maniere de faire est decrite ici, c’est le protocole HMQV (et non pas HMVQ comme je l’ai ecrit avant, ca sent la fin de semaine…). Tu n’as pas besoin de PGP.
Comme dit Moloch, c’est crypté. Par forcément très fort pour nos standards actuels (le GMS a été standardisé dans les années 1980 après tout), mais ça l’est. Ensuite, il faut quand même pouvoir trouver les trames correspondantes à ce qui est réellement parlé et pas les différents trucs de signalisation. En UMTS, c’est peut-être un peu plus compliqué par le fait que tout le monde parle en même temps sur la même fréquence et que pour écouter une conversation précise, il faut trouver le bon code correspondant permettant de décoder l’affaire parmi le bruit ambiant et les autres communications. Bref à priori, ça ne se fait pas non plus comme ça au pied levé en installant trois paquets comme on le ferait sur n’importe quel réseau Wifi “sécurisé” avec du WEP.
[quote=« Thomas Monzie, post:3, topic: 45685 »]Je pensais plutôt a un système comme ça, utilisant le système clé publique/privée pour crypter. On pourrait utiliser une de ses clés privées PGP combinée a la clé publique du destinataire pour crypter/decrypter le flux, faut que je me renseigne plus en profondeur.
Je t’avoue que ce serait le but a long terme, dans le cadre de mes études d’informatique (bon, faudrait que je les commence déjà ^^)…[/quote]
Pour info, on utilise quasi jamais de paires publiques/privée pour chiffrer les messages complets, et encore moins les flux.
En général, on va utiliser un systeme de chiffrement assymétrique pour échanger des clés qui vont servir a chiffrer la communication avec des algos symétriques (plus éfficaces).
Le GSM s’est fait casser quelques mois après la divulgation de l’algo (les andouilles qui ont concu le truc ont toujours pas compris qu’un bon algo doit être public). Des chercheurs ont réussi a générér en quelques mois une base de donnée (800Mo env) qui permet a n’importe quelle machine d’aujourd’hui de déchiffrer la communication complete dès ses premieres millisecondes.
Donc en gros, un peu équipé tu écoutes les comunications de tes voisins B).
Rapidement pour les profanes qui voudraient comprendre tous ces sigles barbares en sécu,
MitM : Man in the Middle => en gros on se place au milieu et on écoute, technique d’interception vieille comme le monde. B)
HMQV : Hashed MQV, une variante d’un protocole de type Diffie-Hellman, ne cherchez pas, MQV, c’est pour le nom des bonhommes qui ont pondu le protocole. B)
[quote=“Tzim, post:7, topic: 45685”]Le GSM s’est fait casser quelques mois après la divulgation de l’algo (les andouilles qui ont concu le truc ont toujours pas compris qu’un bon algo doit être public). Des chercheurs ont réussi a générér en quelques mois une base de donnée (800Mo env) qui permet a n’importe quelle machine d’aujourd’hui de déchiffrer la communication complete dès ses premieres millisecondes.
Donc en gros, un peu équipé tu écoutes les comunications de tes voisins B) .[/quote]
“Un peu”… Un intercepteur GSM de base coûte dans les 150 000 € et il faut montrer patte blanche pour en avoir un. Quant à en faire un soi même, ça coûte pas 150 000 € parce que c’est facile à faire… Comme dit plus haut une fois l’algorithme cassé tu as des problèmes de telecom non triviaux à résoudre.
Pour ce qui est des algos publics/privé, c'est un faux débat. L'A5/1 est faible car fait par des rigolos, pas parce qu'il était pas public. RC4 était un algo proprio et quand il a été divulgué il n'a pas été cassé et bien qu'on ait découvert des faiblesses au début du XXIème siècle, ça n'est pas un algo pourri. Personellement je pense même que c'est un algo génial sur le plan mathématique d'ailleurs je vais aller m'isoler dans une pièce avec une description du RC4.
Quand Schneier a fait le Blowfish en 1993, il l’a fait tout seul, qu’il l’ait publié ou pas ça ne change rien à la force de l’algorithme (toujours non cassé).
C’est vrai que la plupart des algos “proprios” sont de la bouse parce qu’on s’improvise pas cryptomathématicien mais ce n’est pas parce qu’ils sont proprios mais parce qu’ils sont fait par des taches. D’ailleurs c’est une règle qui se limite pas aux algorithmes cryptographiques.