[RC4] [Outlook 2003] - Sécurité d'un développement perso
2 réponses
bigane
Bonjour à tous,
Voici la situation de départ :
Je suis dans une entreprise qui sécurise ses postes de travail. Ainsi,
je possède Outlook 2003 sur Windows Xp avec des droits limités. Je ne
peux donc pas ajouter de logiciel de chiffrement pour correspondre avec
mes collaborateurs voir avec ma propre messagerie privée à l'extérieure
de l'entreprise.
Je n'ai pas vraiment besoin de sécurité absolue et ce que j'échange
reste très banal. Cependant, je sais aussi que la totalité des échanges
sont gardés un an sur le serveur Exchange de l'entreprise, qu'il existe
aussi des règles de filtrage internes et des mots clés qui déclenchent
une lecture du mail par les administrateurs, et je parle même pas de
l'inconnue concernant les serveurs externes (free et autres wanadoo...).
Bref, je désire activer une petite sécurisation de mes échanges à volonté.
Voici la solution que j'ai adoptée :
J'ai accès aux macros sous Outlook, je peux donc récupérer facilement le
contenu d'un mail (texte + pièces jointes). Je peux aussi lire/écrire
dans la base de registre mais uniquement la partie réservée à un
utilisateur ordinaire (HKEY_CURRENT_USER).
Je connais bien la méthode RC4 et je pense qu'elle est rapide (pour un
code en Visual Basic interprété) et suffisante pour des échanges privés.
Initialisation :
Je conviens donc d'un fichier quelconque avec mon correspondant et d'un
mot de passe secret. Le fichier secret sert de mot de passe pour
chiffrer quatre chaînes constantes. Quatres checksums (méthode
personnelle inspirée du RC4) sont ensuites réalisés pour obtenir après
nouveau chiffrement quatres chaînes de 256 bits.
Cela me donne une graine K1 de 1024 bits qui sera écite définitivement
dans la base de registre personnelle.
L'initialisation doit être recommencée à chaque changement du mot de
passe, pas plus.
Le mot de passe :
Il subit lui aussi le même traitement que pour la graine K1. J'obtiens
donc une clé K2 de 1024 bits. La clé finale K3 de 1024 bits sera issue
du chiffrement de K2 par K1. Ainsi même si le mot de passe est faible,
sa connaissance ne suffit pas à déchiffer le message.
Solidité - faiblesses :
Ma méthode est moyenne, voir faible. Elle repose sur une chaîne de 1024
bits contenue dans la base de registre et d'un mot de passe sur quelques
bits. Cependant, il faut pouvoir avoir accès à la base des registres et
le mot de passe des correspondant pour déchiffrer leurs messages.
De plus, ces méthodes étant non publiques elles présentent l'avantage de
l'inconnu pour des interceptions externes.
Je reconnais volontier qu'en cryptographie on suppose que l'indiscret
possède les sources des programmes utilisé. Mais dans le cas d'échanges
privés sans intérêt financier, celui qui écoute n'aura pas ces sources.
Pour finir, j'ajouterai que les échanges peuvent rester sous leur forme
chiffrée dans la messagerie. Lorsque l'on déchiffre un message, Outlook
demande si l'on enregistre les modifications ou non. De plus, si l'on
initialiser la graine K1 avec le même mot de passe mais un fichier
différent (ou vide), il devriendra impossible de relire la totalité de
la correspondance privée. Un fichier aléatoire et jetable échangé
régulièrement permettra de vérouiller définitivement le système et
empèchera une relecture même avec la meilleure volonté du monde.
Avez-vous des remarques ?
Y-a-t-il plus simple pour Outlook sans des privilèges d'administrateur ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
bigane
PS: Voici un exemple d'un contenu de message chiffré tel qu'il peut être généré/lu par moi même ou mon correspondant. Et désolé pour les nombreuses coquilles de mon mail initial, je viens de me relire, c'est navrant.
Text clair :
Le Danube est le second plus long cours d'eau d'Europe et le plus long parcourant l'Union européenne. Il prend sa source dans la Forêt-Noire en Allemagne lorsque deux petits cours d'eau, le Brigach et le Breg, se rencontrent à Donaueschingen ; c'est à partir de ce point que le cours d'eau prend son nom de Danube. Il s'écoule alors en direction de l'est sur une distance d'environ 2 850 kilomètres (1 771 miles), en traversant plusieurs capitales de l'Europe centrale et orientale avant de se déverser dans la Mer Noire par le delta du Danube situé en Roumanie et en Ukraine et qui figure dans la liste du patrimoine mondial de l'UNESCO.
PS: Voici un exemple d'un contenu de message chiffré tel qu'il peut être
généré/lu par moi même ou mon correspondant. Et désolé pour les
nombreuses coquilles de mon mail initial, je viens de me relire, c'est
navrant.
Text clair :
Le Danube est le second plus long cours d'eau d'Europe et le plus
long parcourant l'Union
européenne. Il prend sa source dans la Forêt-Noire en Allemagne
lorsque deux petits cours
d'eau, le Brigach et le Breg, se rencontrent à Donaueschingen ; c'est à
partir de ce point que
le cours d'eau prend son nom de Danube. Il s'écoule alors en
direction de l'est sur une
distance d'environ 2 850 kilomètres (1 771 miles), en traversant
plusieurs capitales de
l'Europe centrale et orientale avant de se déverser dans la Mer Noire
par le delta du Danube
situé en Roumanie et en Ukraine et qui figure dans la liste du
patrimoine mondial de l'UNESCO.
PS: Voici un exemple d'un contenu de message chiffré tel qu'il peut être généré/lu par moi même ou mon correspondant. Et désolé pour les nombreuses coquilles de mon mail initial, je viens de me relire, c'est navrant.
Text clair :
Le Danube est le second plus long cours d'eau d'Europe et le plus long parcourant l'Union européenne. Il prend sa source dans la Forêt-Noire en Allemagne lorsque deux petits cours d'eau, le Brigach et le Breg, se rencontrent à Donaueschingen ; c'est à partir de ce point que le cours d'eau prend son nom de Danube. Il s'écoule alors en direction de l'est sur une distance d'environ 2 850 kilomètres (1 771 miles), en traversant plusieurs capitales de l'Europe centrale et orientale avant de se déverser dans la Mer Noire par le delta du Danube situé en Roumanie et en Ukraine et qui figure dans la liste du patrimoine mondial de l'UNESCO.
Voici la situation de départ : Je suis dans une entreprise qui sécurise ses postes de travail. Ainsi, je possède Outlook 2003 sur Windows Xp avec des droits limités. Je ne peux donc pas ajouter de logiciel de chiffrement pour correspondre avec mes collaborateurs voir avec ma propre messagerie privée à l'extérieure de l'entreprise.
Je n'ai pas vraiment besoin de sécurité absolue et ce que j'échange reste très banal. Cependant, je sais aussi que la totalité des échanges sont gardés un an sur le serveur Exchange de l'entreprise, qu'il existe aussi des règles de filtrage internes et des mots clés qui déclenchent une lecture du mail par les administrateurs, et je parle même pas de l'inconnue concernant les serveurs externes (free et autres wanadoo...). Bref, je désire activer une petite sécurisation de mes échanges à volonté.
Voici la solution que j'ai adoptée : J'ai accès aux macros sous Outlook, je peux donc récupérer facilement le contenu d'un mail (texte + pièces jointes). Je peux aussi lire/écrire dans la base de registre mais uniquement la partie réservée à un utilisateur ordinaire (HKEY_CURRENT_USER). Je connais bien la méthode RC4 et je pense qu'elle est rapide (pour un code en Visual Basic interprété) et suffisante pour des échanges privés.
Initialisation : Je conviens donc d'un fichier quelconque avec mon correspondant et d'un mot de passe secret. Le fichier secret sert de mot de passe pour chiffrer quatre chaînes constantes. Quatres checksums (méthode personnelle inspirée du RC4) sont ensuites réalisés pour obtenir après nouveau chiffrement quatres chaînes de 256 bits. Cela me donne une graine K1 de 1024 bits qui sera écite définitivement dans la base de registre personnelle. L'initialisation doit être recommencée à chaque changement du mot de passe, pas plus.
Le mot de passe : Il subit lui aussi le même traitement que pour la graine K1. J'obtiens donc une clé K2 de 1024 bits. La clé finale K3 de 1024 bits sera issue du chiffrement de K2 par K1. Ainsi même si le mot de passe est faible, sa connaissance ne suffit pas à déchiffer le message.
Solidité - faiblesses : Ma méthode est moyenne, voir faible. Elle repose sur une chaîne de 1024 bits contenue dans la base de registre et d'un mot de passe sur quelques bits. Cependant, il faut pouvoir avoir accès à la base des registres et le mot de passe des correspondant pour déchiffrer leurs messages. De plus, ces méthodes étant non publiques elles présentent l'avantage de l'inconnu pour des interceptions externes. Je reconnais volontier qu'en cryptographie on suppose que l'indiscret possède les sources des programmes utilisé. Mais dans le cas d'échanges privés sans intérêt financier, celui qui écoute n'aura pas ces sources.
Pour finir, j'ajouterai que les échanges peuvent rester sous leur forme chiffrée dans la messagerie. Lorsque l'on déchiffre un message, Outlook demande si l'on enregistre les modifications ou non. De plus, si l'on initialiser la graine K1 avec le même mot de passe mais un fichier différent (ou vide), il devriendra impossible de relire la totalité de la correspondance privée. Un fichier aléatoire et jetable échangé régulièrement permettra de vérouiller définitivement le système et empèchera une relecture même avec la meilleure volonté du monde.
Avez-vous des remarques ?
Y-a-t-il plus simple pour Outlook sans des privilèges d'administrateur ?
zzzz
-- t'rtr
bigane a présenté l'énoncé suivant :
Bonjour à tous,
Voici la situation de départ :
Je suis dans une entreprise qui sécurise ses postes de travail. Ainsi, je
possède Outlook 2003 sur Windows Xp avec des droits limités. Je ne peux donc
pas ajouter de logiciel de chiffrement pour correspondre avec mes
collaborateurs voir avec ma propre messagerie privée à l'extérieure de
l'entreprise.
Je n'ai pas vraiment besoin de sécurité absolue et ce que j'échange reste
très banal. Cependant, je sais aussi que la totalité des échanges sont gardés
un an sur le serveur Exchange de l'entreprise, qu'il existe aussi des règles
de filtrage internes et des mots clés qui déclenchent une lecture du mail par
les administrateurs, et je parle même pas de l'inconnue concernant les
serveurs externes (free et autres wanadoo...).
Bref, je désire activer une petite sécurisation de mes échanges à volonté.
Voici la solution que j'ai adoptée :
J'ai accès aux macros sous Outlook, je peux donc récupérer facilement le
contenu d'un mail (texte + pièces jointes). Je peux aussi lire/écrire dans la
base de registre mais uniquement la partie réservée à un utilisateur
ordinaire (HKEY_CURRENT_USER).
Je connais bien la méthode RC4 et je pense qu'elle est rapide (pour un code
en Visual Basic interprété) et suffisante pour des échanges privés.
Initialisation :
Je conviens donc d'un fichier quelconque avec mon correspondant et d'un mot
de passe secret. Le fichier secret sert de mot de passe pour chiffrer quatre
chaînes constantes. Quatres checksums (méthode personnelle inspirée du RC4)
sont ensuites réalisés pour obtenir après nouveau chiffrement quatres chaînes
de 256 bits.
Cela me donne une graine K1 de 1024 bits qui sera écite définitivement dans
la base de registre personnelle.
L'initialisation doit être recommencée à chaque changement du mot de passe,
pas plus.
Le mot de passe :
Il subit lui aussi le même traitement que pour la graine K1. J'obtiens donc
une clé K2 de 1024 bits. La clé finale K3 de 1024 bits sera issue du
chiffrement de K2 par K1. Ainsi même si le mot de passe est faible, sa
connaissance ne suffit pas à déchiffer le message.
Solidité - faiblesses :
Ma méthode est moyenne, voir faible. Elle repose sur une chaîne de 1024 bits
contenue dans la base de registre et d'un mot de passe sur quelques bits.
Cependant, il faut pouvoir avoir accès à la base des registres et le mot de
passe des correspondant pour déchiffrer leurs messages.
De plus, ces méthodes étant non publiques elles présentent l'avantage de
l'inconnu pour des interceptions externes.
Je reconnais volontier qu'en cryptographie on suppose que l'indiscret possède
les sources des programmes utilisé. Mais dans le cas d'échanges privés sans
intérêt financier, celui qui écoute n'aura pas ces sources.
Pour finir, j'ajouterai que les échanges peuvent rester sous leur forme
chiffrée dans la messagerie. Lorsque l'on déchiffre un message, Outlook
demande si l'on enregistre les modifications ou non. De plus, si l'on
initialiser la graine K1 avec le même mot de passe mais un fichier différent
(ou vide), il devriendra impossible de relire la totalité de la
correspondance privée. Un fichier aléatoire et jetable échangé régulièrement
permettra de vérouiller définitivement le système et empèchera une relecture
même avec la meilleure volonté du monde.
Avez-vous des remarques ?
Y-a-t-il plus simple pour Outlook sans des privilèges d'administrateur ?
Voici la situation de départ : Je suis dans une entreprise qui sécurise ses postes de travail. Ainsi, je possède Outlook 2003 sur Windows Xp avec des droits limités. Je ne peux donc pas ajouter de logiciel de chiffrement pour correspondre avec mes collaborateurs voir avec ma propre messagerie privée à l'extérieure de l'entreprise.
Je n'ai pas vraiment besoin de sécurité absolue et ce que j'échange reste très banal. Cependant, je sais aussi que la totalité des échanges sont gardés un an sur le serveur Exchange de l'entreprise, qu'il existe aussi des règles de filtrage internes et des mots clés qui déclenchent une lecture du mail par les administrateurs, et je parle même pas de l'inconnue concernant les serveurs externes (free et autres wanadoo...). Bref, je désire activer une petite sécurisation de mes échanges à volonté.
Voici la solution que j'ai adoptée : J'ai accès aux macros sous Outlook, je peux donc récupérer facilement le contenu d'un mail (texte + pièces jointes). Je peux aussi lire/écrire dans la base de registre mais uniquement la partie réservée à un utilisateur ordinaire (HKEY_CURRENT_USER). Je connais bien la méthode RC4 et je pense qu'elle est rapide (pour un code en Visual Basic interprété) et suffisante pour des échanges privés.
Initialisation : Je conviens donc d'un fichier quelconque avec mon correspondant et d'un mot de passe secret. Le fichier secret sert de mot de passe pour chiffrer quatre chaînes constantes. Quatres checksums (méthode personnelle inspirée du RC4) sont ensuites réalisés pour obtenir après nouveau chiffrement quatres chaînes de 256 bits. Cela me donne une graine K1 de 1024 bits qui sera écite définitivement dans la base de registre personnelle. L'initialisation doit être recommencée à chaque changement du mot de passe, pas plus.
Le mot de passe : Il subit lui aussi le même traitement que pour la graine K1. J'obtiens donc une clé K2 de 1024 bits. La clé finale K3 de 1024 bits sera issue du chiffrement de K2 par K1. Ainsi même si le mot de passe est faible, sa connaissance ne suffit pas à déchiffer le message.
Solidité - faiblesses : Ma méthode est moyenne, voir faible. Elle repose sur une chaîne de 1024 bits contenue dans la base de registre et d'un mot de passe sur quelques bits. Cependant, il faut pouvoir avoir accès à la base des registres et le mot de passe des correspondant pour déchiffrer leurs messages. De plus, ces méthodes étant non publiques elles présentent l'avantage de l'inconnu pour des interceptions externes. Je reconnais volontier qu'en cryptographie on suppose que l'indiscret possède les sources des programmes utilisé. Mais dans le cas d'échanges privés sans intérêt financier, celui qui écoute n'aura pas ces sources.
Pour finir, j'ajouterai que les échanges peuvent rester sous leur forme chiffrée dans la messagerie. Lorsque l'on déchiffre un message, Outlook demande si l'on enregistre les modifications ou non. De plus, si l'on initialiser la graine K1 avec le même mot de passe mais un fichier différent (ou vide), il devriendra impossible de relire la totalité de la correspondance privée. Un fichier aléatoire et jetable échangé régulièrement permettra de vérouiller définitivement le système et empèchera une relecture même avec la meilleure volonté du monde.
Avez-vous des remarques ?
Y-a-t-il plus simple pour Outlook sans des privilèges d'administrateur ?
