Welcome to Bukkit France

Inscrivez-vous maintenant pour profiter d'un accès total à tout le contenu offert par la meilleur communauté Bukkit française ! Une fois inscrit et connecté, vous pourrez contribuez à la communauté en postant vos propres sujets et questions ou en répondant à ceux existants. Vous pourrez aussi customiser votre profil, recevoir des points de réputations, communiquer avec les autres membres via le chat, et plus encore! 

Muonium

Membres
  • Compteur de contenus

    493
  • Inscription

  • Dernière visite

Réputation sur la communauté

293 Aimé

3 abonnés

À propos de Muonium

  • Rang
    Kantum Technologies
  • Date de naissance 07/12/1998

Me contacter

  • Discord Voxyd#4740
  • Site Web https://muonium.ch/

Informations de profil

  • Sexe Homme
  1. Muonium : un cloud chiffré et opensource

    Pourquoi se compliquer la vie ? La CEK sera chiffrée, donc déjà ici, il n'y a aucun problème concernant le stockage de celle-ci.   Ensuite, le double-hashage fait qu'il est impossible d'utiliser la KEK, donc on peut la stockée tant qu'elle est doublement hashée. J'ai déjà implémenté le système de la vérification par élément chiffré, mais je ne trouve pas le système suffisamment flexible.   Ici tu proposes un système et dénigres le nôtre car il ne te plaît pas, cela n'empêche pas que ce dernier soit sûr. Le fait que notre équipe est composée de deux lycéens ne crée aucune incompatibilité avec ce projet. En tous les cas, quel que soit le domaine, il y aura toujours des spécialistes (donc tu es a priori de cette catégorie) ou des auto-proclamés experts pour mettre leur grain de sel dans quelque chose qui fonctionne bien. Il y aura toujours des personnes ici et là pour se contre-dire.   Pour le cookie, effectivement, ça réduit les risques. C'est vrai que tous les projets similaires au notre utilisent les cookies, et base64 encode les données stockées dans le cookie pour minimiser les risques. Il n'est pas question ici d'invulnérabilité, mais de minimiser les risques (nous concernant).   -Paul PS : rappelons que j'ai gardé la base de mon système, et que techniquement parlant il y a une clé dérivée par fichier.   EDIT : Par la même occasion, la question à se poser est : "On a ce système, peut-on déchiffrer les fichiers, obtenir la KEK et la CEK en clair ?" Si tu me dis oui, envoie-moi un email avec les démonstrations mathématiques, je suis curieux x)
  2. Muonium : un cloud chiffré et opensource

    Stockée dans le fichier chiffré.   -Paul.
  3. Muonium : un cloud chiffré et opensource

    Hey quelques nouvelles, Le chiffrement (via SJCL) est actuellement en cours d'implémentation et a été validée par un spécialiste si vous voulez plus de détails vous pouvez vous rendre ici : https://github.com/muonium/core/wiki/Crypto-details On est dans la dernière ligne droite pour la bêta privée et on croise les doigts pour la sortir courant décembre,on vous tient au jus . Et finalement on a trouvé un développeur front-end (venant d'Australie) qui nous permet d’accélérer la cadence du projet.
  4. Muonium : un cloud chiffré et opensource

    J'ai beau chercher, mise à part avec un algo' asymétrique (et encore... J'y vois un blocage aussi avec RSA...), je ne vois aucune solution pour le moment. Si tu en as une, n'hésites pas.   Yea, justement, je le dis haut et fort, on sait comment implémenter niveau code une librairie, mais pour ce qui est de la crypto' elle-même, ça nous demande beaucoup de réflexion et d'apprentissage. Le projet est libre, donc une personne telle que toi, voyant un problème d'implémentation pourra très bien contribuer. Bien-évidemment, les connaissances ne stagnent pas si on apprend continuellement, donc au fil du temps je répondrai beaucoup moins gauchement à ce genre de questions. Bien que j'ai aussi du mal à m'exprimer correctement, c'est pour cette raison que je réponds qu'aux questions très techniques (et d'ailleurs, je suis le sysadmin du projet, je suis ni codeur, ni cryptanaliste/cryptologue...), donc en ce qui est des questions orientées programmation, je répondrai aussi gauchement. Avant d'avoir tes questions sur notre système d'implémentation d'AES-256-GCM, c'était Giovanni qui répondait aux questions, donc ça pouvait très probablement paraître plus clair.   -Paul   EDIT : C'est bon, concernant le changement de passphrase, je sais comment l'implémenter. Un grand merci pour m'avoir fait penser à ce système qui en fait est tout bête quand on y repense xD EDIT2 : mettons les fautes d'orthographe sur le dos de la fatigue... xD
  5. Muonium : un cloud chiffré et opensource

    Euuuh, nan, j'ai "parlé" trop vite : le nom en frontend et la taille + heure d'upload en backend, au temps pour moi... Oui, tout est chiffré et bien conservé. EDIT : on prend les informations du fichier en son état, pas en ses méta-données.   Le site n'informe pas assez les utilisateurs, on en est conscient. On veut le refaire, mais on a pas le temps. Personnellement je voudrais mettre plus de schémas, sans trop entrer dans la technique comme on vient de le faire non plus... Enfin, le site est à refaire, on le sait car on s'en aperçoit, et beaucoup de gens nous ont aussi fait a remarque.   -Paul
  6. Muonium : un cloud chiffré et opensource

    Le changement de mot de passe est aussi un gros sujet, j'y travaille activement pour trouver une solution. Bien que j'ai déjà une petite idée...     Bien-entendu, nous ne sommes pas experts en cryptographie. C'est pour cette raison que je suis en contact avec différents cryptologues et cryptanalistes.   L'implémentation d'AES n'est pas nous qui la faisons, ce sont des cryptologues de Stanford (ref. se renseigner sur SJCL).   Merci pour ton intérêt.   -Paul   EDIT : J'ai dit trois éléments mais il y a aussi les IVs et les données d'intégrités, donc en soi on peut dire qu'il y a 5 éléments dont 3 random. EDIT2 : Le projet est opensource, et nous ne sommes pas experts, donc les personnes étant expertes en la matière seront les bienvenues pour sécuriser d'avantage l'implémentation du crypto-système. Si tu penses être le messie de la crypto', fais-toi plaisir ! xD  
  7. Muonium : un cloud chiffré et opensource

    Hey, - On utilise effectivement pbkdf2 pour la dérivation de clé. - AES-256-GCM est utilisé pour le chiffrement, l'authentification des données ainsi que leur intégrité.   En ce qui est du crypto-système d'implémentation d'AES, nous utilisons le deuxième mot de passe (passphrase) pour générer une clé pour chaque fichier. Pour en savoir plus sur le fonctionnement de SJCL et la génération aléatoire des IVs, je te recommande de te renseigner sur SJCL, je ne saurais pas te répondre correctement sur ce point, mais bien-entendu, les IVs sont générés aléatoirement.   Les mots de passes et phrase secrètes sont hashés SHA384 côté client puis hashés bCrypt() côté serveur, seul les nom d'utilisateurs ainsi que les adresses emails sont en clairs. Lorsqu'un utilisateur s'enregistre, il nous donne son mdp, passphrase, email et username, on envoie ensuite un code de validation à l'utilisateur pour vérifier son adresse email ainsi que son identité.   "Comment se passe l'authentification de l'utilisateur à partir des informations (challenge) ?" Hmm, autrement dit ?   Les fichiers sont splités par tranche de 100Ko environ, chiffrés, ensuite, on joint tous les "morceaux" pour reconstruire le fichier. Puis, ils sont envoyé à coup d'Ajax sur les serveurs.   "Et le parcours des l'arborescence des fichiers ? " Bien, en PHP ça récup' le contenu du dossier souhaité, de façon non récursive pour ne pas consommer trop de ressources.   "Quelle sont les fonctionnalités de partage de fichiers prévues ?" Ne parles pas de ce qui fâche stp xD   "L'utilisateur peut-il changer son mot de passe sans perdre tous ses fichiers ? " Ahah, c'est ce que me pose les auto-proclamés experts pour nous rabaisser xD Bien-sûr que oui, c'est le but, si tu perds ta clé, tu perds tous tes fichiers... On a pas de backdoors ni de PC quantiques... Et même le quantique ne parvient pas encore à cracker AES-256-GCM...   Merci pour ces questions, je suppose que ça pourra éclairer ceux qui n'ont pas osé ou ne comprenaient pas trop le système.   -Paul
  8. Muonium : un cloud chiffré et opensource

    Je viens vous donner quelques news, normalement un développeur front-end nous rejoint cette semaine histoire d'avoir un design correct pour la bêta privée qui se déroulera dans quelques semaines. C'est ici que l'on demande votre aide car on a besoin de testeurs pour trouver les bugs, vous pouvez donc nous passer vos mails si vous souhaitez devenir testeur par MP ou par mail à l'adresse [email protected] Vous recevrez un mail contenant les informations nécessaires avant le lancement de la bêta privée. Il faut aussi spécifier que c'est uniquement à but de test et que les fichiers peuvent-être supprimés à tout moment.  
  9. Muonium : un cloud chiffré et opensource

    Pour répondre à @Technowix merci de ton commentaire qui représente assez bien notre état d'esprit. Ensuite on préfère partir de notre propre code et travailler à notre façon que de suivre des directives d'autres projets. Enfin, dans le futur on aura surement une alternative décentralisée pour Muonium .   PS :  Le "Y" était bien pour yahoo
  10. Muonium : un cloud chiffré et opensource

    Nous avions en effet prévu d'utiliser Electron pour l'app desktop. De plus on est entrain de rentrer en contact avec divers incubateurs notamment en Lituanie. Le projet avance bien, on croise les doigts pour tenir les délais de la bêta privé .
  11. Muonium : un cloud chiffré et opensource

    Je dois avouer que c'est pas à l'ordre du jour on se focalise vraiment sur les features, après étant donné que le projet est opensource si des contributeurs veulent le faire ils peuvent.
  12. Muonium : un cloud chiffré et opensource

    On a quelques petites nouvelles pour vous, le chiffrement sera normalement implanté en décembre (avant le kickstarter) afin de vraiment montrer le potentiel de notre cloud. Mais en faisant cela nous avons mis un gros retard sur le design de l'interface ce qui veut dire que nous avons besoin de contributeurs qui pourraient nous aider sur le front-end. Si quelqu'un peut se porter volontaire il doit avoir des connaissances assez poussées en Javascript,CSS et HTML afin d'avoir une interface ergonomique et agréable. Enfin nous vous rappelons que le code est disponible sur notre GitHub et que toute contribution même minime nous serait d'une grande aide. Vous pouvez nous contacter par mail à l’adresse [email protected]  
  13. Muonium : un cloud chiffré et opensource

    C'est prévu de le faire, mais bien plus tard car le site permet de faciliter l'accès au cloud, et de rendre facilement crossplatform le projet, etc.
  14. Muonium : un cloud chiffré et opensource

    Le problème de la Suisse (qui était le pays où l'on devait s'implanter à la base) c'est que la loi renseignement y a été votée c'est à dire qu'on serait dans l'obligation de fournir des informations sur nos utilisateurs, ce que nous  ne voulons en aucun cas faire.
  15. Muonium : un cloud chiffré et opensource

    C'est pour ça que Muonium sera déployé en dehors de la France. On est aussi à la recherche de juriste pouvant nous aider à propos des lois pour savoir ce que l'on peut faire ou non.