[RC4] [Outlook 2003] - Sécurité d'un développement perso

Le
bigane
Bonjour à tous,

Voici la situation de départ :
Je suis dans une entreprise qui sécurise ses postes de travail. Ainsi,
je possède Outlook 2003 sur Windows Xp avec des droits limités. Je ne
peux donc pas ajouter de logiciel de chiffrement pour correspondre avec
mes collaborateurs voir avec ma propre messagerie privée à l'extérieure
de l'entreprise.

Je n'ai pas vraiment besoin de sécurité absolue et ce que j'échange
reste très banal. Cependant, je sais aussi que la totalité des échanges
sont gardés un an sur le serveur Exchange de l'entreprise, qu'il existe
aussi des règles de filtrage internes et des mots clés qui déclenchent
une lecture du mail par les administrateurs, et je parle même pas de
l'inconnue concernant les serveurs externes (free et autres wanadoo).
Bref, je désire activer une petite sécurisation de mes échanges à volonté.

Voici la solution que j'ai adoptée :
J'ai accès aux macros sous Outlook, je peux donc récupérer facilement le
contenu d'un mail (texte + pièces jointes). Je peux aussi lire/écrire
dans la base de registre mais uniquement la partie réservée à un
utilisateur ordinaire (HKEY_CURRENT_USER).
Je connais bien la méthode RC4 et je pense qu'elle est rapide (pour un
code en Visual Basic interprété) et suffisante pour des échanges privés.

Initialisation :
Je conviens donc d'un fichier quelconque avec mon correspondant et d'un
mot de passe secret. Le fichier secret sert de mot de passe pour
chiffrer quatre chaînes constantes. Quatres checksums (méthode
personnelle inspirée du RC4) sont ensuites réalisés pour obtenir après
nouveau chiffrement quatres chaînes de 256 bits.
Cela me donne une graine K1 de 1024 bits qui sera écite définitivement
dans la base de registre personnelle.
L'initialisation doit être recommencée à chaque changement du mot de
passe, pas plus.

Le mot de passe :
Il subit lui aussi le même traitement que pour la graine K1. J'obtiens
donc une clé K2 de 1024 bits. La clé finale K3 de 1024 bits sera issue
du chiffrement de K2 par K1. Ainsi même si le mot de passe est faible,
sa connaissance ne suffit pas à déchiffer le message.

Solidité - faiblesses :
Ma méthode est moyenne, voir faible. Elle repose sur une chaîne de 1024
bits contenue dans la base de registre et d'un mot de passe sur quelques
bits. Cependant, il faut pouvoir avoir accès à la base des registres et
le mot de passe des correspondant pour déchiffrer leurs messages.
De plus, ces méthodes étant non publiques elles présentent l'avantage de
l'inconnu pour des interceptions externes.
Je reconnais volontier qu'en cryptographie on suppose que l'indiscret
possède les sources des programmes utilisé. Mais dans le cas d'échanges
privés sans intérêt financier, celui qui écoute n'aura pas ces sources.

Pour finir, j'ajouterai que les échanges peuvent rester sous leur forme
chiffrée dans la messagerie. Lorsque l'on déchiffre un message, Outlook
demande si l'on enregistre les modifications ou non. De plus, si l'on
initialiser la graine K1 avec le même mot de passe mais un fichier
différent (ou vide), il devriendra impossible de relire la totalité de
la correspondance privée. Un fichier aléatoire et jetable échangé
régulièrement permettra de vérouiller définitivement le système et
empèchera une relecture même avec la meilleure volonté du monde.

Avez-vous des remarques ?

Y-a-t-il plus simple pour Outlook sans des privilèges d'administrateur ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
bigane
Le #590403
PS: Voici un exemple d'un contenu de message chiffré tel qu'il peut être
généré/lu par moi même ou mon correspondant. Et désolé pour les
nombreuses coquilles de mon mail initial, je viens de me relire, c'est
navrant.

Text clair :

Le Danube est le second plus long cours d'eau d'Europe et le plus
long parcourant l'Union
européenne. Il prend sa source dans la Forêt-Noire en Allemagne
lorsque deux petits cours
d'eau, le Brigach et le Breg, se rencontrent à Donaueschingen ; c'est à
partir de ce point que
le cours d'eau prend son nom de Danube. Il s'écoule alors en
direction de l'est sur une
distance d'environ 2 850 kilomètres (1 771 miles), en traversant
plusieurs capitales de
l'Europe centrale et orientale avant de se déverser dans la Mer Noire
par le delta du Danube
situé en Roumanie et en Ukraine et qui figure dans la liste du
patrimoine mondial de l'UNESCO.


Texte chiffré :

-----BEGIN PRIVATE MESSAGE-----
Version: 1.0.6
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 ==QR
-----END PRIVATE MESSAGE-----
x
Le #590402
bigane a présenté l'énoncé suivant :
Bonjour à tous,

Voici la situation de départ :
Je suis dans une entreprise qui sécurise ses postes de travail. Ainsi, je
possède Outlook 2003 sur Windows Xp avec des droits limités. Je ne peux donc
pas ajouter de logiciel de chiffrement pour correspondre avec mes
collaborateurs voir avec ma propre messagerie privée à l'extérieure de
l'entreprise.

Je n'ai pas vraiment besoin de sécurité absolue et ce que j'échange reste
très banal. Cependant, je sais aussi que la totalité des échanges sont gardés
un an sur le serveur Exchange de l'entreprise, qu'il existe aussi des règles
de filtrage internes et des mots clés qui déclenchent une lecture du mail par
les administrateurs, et je parle même pas de l'inconnue concernant les
serveurs externes (free et autres wanadoo...).
Bref, je désire activer une petite sécurisation de mes échanges à volonté.

Voici la solution que j'ai adoptée :
J'ai accès aux macros sous Outlook, je peux donc récupérer facilement le
contenu d'un mail (texte + pièces jointes). Je peux aussi lire/écrire dans la
base de registre mais uniquement la partie réservée à un utilisateur
ordinaire (HKEY_CURRENT_USER).
Je connais bien la méthode RC4 et je pense qu'elle est rapide (pour un code
en Visual Basic interprété) et suffisante pour des échanges privés.

Initialisation :
Je conviens donc d'un fichier quelconque avec mon correspondant et d'un mot
de passe secret. Le fichier secret sert de mot de passe pour chiffrer quatre
chaînes constantes. Quatres checksums (méthode personnelle inspirée du RC4)
sont ensuites réalisés pour obtenir après nouveau chiffrement quatres chaînes
de 256 bits.
Cela me donne une graine K1 de 1024 bits qui sera écite définitivement dans
la base de registre personnelle.
L'initialisation doit être recommencée à chaque changement du mot de passe,
pas plus.

Le mot de passe :
Il subit lui aussi le même traitement que pour la graine K1. J'obtiens donc
une clé K2 de 1024 bits. La clé finale K3 de 1024 bits sera issue du
chiffrement de K2 par K1. Ainsi même si le mot de passe est faible, sa
connaissance ne suffit pas à déchiffer le message.

Solidité - faiblesses :
Ma méthode est moyenne, voir faible. Elle repose sur une chaîne de 1024 bits
contenue dans la base de registre et d'un mot de passe sur quelques bits.
Cependant, il faut pouvoir avoir accès à la base des registres et le mot de
passe des correspondant pour déchiffrer leurs messages.
De plus, ces méthodes étant non publiques elles présentent l'avantage de
l'inconnu pour des interceptions externes.
Je reconnais volontier qu'en cryptographie on suppose que l'indiscret possède
les sources des programmes utilisé. Mais dans le cas d'échanges privés sans
intérêt financier, celui qui écoute n'aura pas ces sources.

Pour finir, j'ajouterai que les échanges peuvent rester sous leur forme
chiffrée dans la messagerie. Lorsque l'on déchiffre un message, Outlook
demande si l'on enregistre les modifications ou non. De plus, si l'on
initialiser la graine K1 avec le même mot de passe mais un fichier différent
(ou vide), il devriendra impossible de relire la totalité de la
correspondance privée. Un fichier aléatoire et jetable échangé régulièrement
permettra de vérouiller définitivement le système et empèchera une relecture
même avec la meilleure volonté du monde.

Avez-vous des remarques ?

Y-a-t-il plus simple pour Outlook sans des privilèges d'administrateur ?


zzzz

--
t'rtr

Publicité
Poster une réponse
Anonyme