Lavabit, secure email? Hardly, says infosec wizard Moxie Marlinspike • The Register
samedi 9 novembre 2013 à 08:57 Sebsauvage, le 09/11/2013 à 08:57
De manière assez ironique, la crypto de Lavabit n'est pas une garantie de sécurité. Le fonctionnement ? Les clés de chiffrement sont stockée sur les serveurs de Lavabit. Ces clés sont chiffrées avec le mot de passe utilisateur... que ce dernier envoie aux serveurs Lavabit chaque fois qu'il se connecte.
Donc techniquement, en modifiant leur code, Lavabit aurait pu intercepter et stocker le mot de passe, s'en servir pour déchiffrer les clés, et enfin utiliser ces clés pour déchiffrer les messages.
L'indice qui fait penser que cela est vrai est qu'ils se sont sentis forcés d'arrêter leur service pour protéger leurs utilisateurs quand le gouvernement est venu toquer à la porte.
(Permalink)
De manière assez ironique, la crypto de Lavabit n'est pas une garantie de sécurité. Le fonctionnement ? Les clés de chiffrement sont stockée sur les serveurs de Lavabit. Ces clés sont chiffrées avec le mot de passe utilisateur... que ce dernier envoie aux serveurs Lavabit chaque fois qu'il se connecte.
Donc techniquement, en modifiant leur code, Lavabit aurait pu intercepter et stocker le mot de passe, s'en servir pour déchiffrer les clés, et enfin utiliser ces clés pour déchiffrer les messages.
L'indice qui fait penser que cela est vrai est qu'ils se sont sentis forcés d'arrêter leur service pour protéger leurs utilisateurs quand le gouvernement est venu toquer à la porte.
(Permalink)