http://trytolisten.me/
mercredi 11 février 2015 à 08:54Les Liens de Memiks 11/02/2015
Bonjour,
Je vous présente mon nouveau projet,
Try To Listen. Me
Ce projet se base sur openPGP.js et cherche à proposer une plateforme de partage de document (uniquement un chat pour le moment) chiffré de bout en bout.
Lors de la création d'un compte, le navigateur créé une paire de clé privé/publique, seul la clé publique est envoyé sur le serveur.
La clé privée est enregistré dans le localStorage du navigateur.
elles sont toutes les deux visible dans la page Account.
Ensuite pour se connecter vous utilisez votre nom et la passphrase choisie lors de l'enregistrement (le mot de passe de la clé en fait)
Et vous devez partager votre nom et votre fingerprint avec vos amis.
ils font de même et vous pouvez les ajouter sur la page Chat.
Ensuite lorsque vous envoyer un message il est chiffré avec la clé publique de votre ami, et envoyé sur le serveur.
Les messages de vos amis sont chiffré coté navigateur avec votre clé publique ce qui vous permet de les déchiffrer.
Je suis à l'écoute si vous avez des questions.
Memiks.
PS: je fais une campagne de don pour pouvoir continuer le développement alors s'il vous plait participez ou parlez en autour de vous:
https://www.indiegogo.com/projects/trytolisten-me-web-site-privacy/x/9871293
A la fin de la récolte je libère les sources sous AGPL.
techno:
- javascript
- openpgp.js
- jquery
- skeleton css
- php
- phalcon framework.
(Permalink)
Liens en vrac de sebsauvage > Les Liens de Memiks 11/02/2015
Le nouveau projet de Memiks: Le but est de fournir des services web (chat, partage de fichiers...), le tout chiffré côté client en se basant sur OpenPGP.js (un portage d'OpenPGP en javascript).
C'est pour le moment un POC (Proof-of-concept).
à suivre...
(Permalink)
yakmoijebrille > Les Liens de Memiks 11/02/2015
Chiffrage PGP coté client en javascript pour le web.
(Permalink)
Bookmark Bronco > Les Liens de Memiks 11/02/2015
Un projet visant à fournir une suite d'applications de partage et de communications sécurisées via openpgp...
Rien que le nom m'amuse ! ^^
A suivre de près.
C'est marrant, j'avais codé un salon de chat (fonctionnel et permettant de se rejoindre en partageant un simple lien) et je projetais de sécuriser ensuite, puis j'avais été absorbé par d'autres projets... je conserve donc un oeil attentif sur celui-ci ;-)
(Permalink)
Liens en vrac de SimonLefort > Les Liens de Memiks 11/02/2015
Lien direct vers le projet : http://trytolisten.me
Le projet consiste à proposer un chat et un partage de document avec chiffrement de bout en bout grâce à la librairie openPGP.js. Super ! :-)
Ceux qui veulent m'ajouter pour tester :
Name: Simon Lefort
Finger Print: 1bb78a84cf7b2d77193a979898eb72e4b8ab92c8
Quelques (petites) remarques :
- La procédure de création de compte n'est pas "claire". (Peut-être juste possible de préciser qu'il faut choisir un nom, entrer une passphrase, cliquer sur "generate keys" et que le fingerprint s'ajoute automatiquement avant qu'on cliquer sur "Register")
- Préciser où les clés s'enregistrent afin qu'on puisse les copier d'un ordinateur à l'autre si besoin.
- Proposer une interface en français ? (Je pense aux utilisateurs lambda là...)
(via http://shaarli.memiks.fr/?HL8fpw , http://sebsauvage.net/links/?ydUpMw )
(Permalink)
@Links from tsyr2ko's wandering 11/02/2015
Autant j'adhère complètement à l'idée, autant je trouve qu'un site/projet de ce genre ne fournissant aucun accès HTTPS (avec du TLS v1.2 uniquement) manque cruellement d'objectivité.
Le dev est une chose, mais la crypto est un domaine autrement plus complexe.
(Permalink)
Les Liens de Memiks > Liens en vrac de SimonLefort 11/02/2015
Quelques (petites) remarques :
- La procédure de création de compte n'est pas "claire".
Oui je vais changer cela dés ce midi, et mettre en place une documentation pour les utilisateurs ;)
- Préciser où les clés s'enregistrent afin qu'on puisse les copier d'un ordinateur à l'autre si besoin.
Oui effectivement les clés sont enregistré dans le localStorage et accessible via la page Account, toujours pareil je manque de doc :/
- Proposer une interface en français ? (Je pense aux utilisateurs lambda là...)
C'est aussi une bonne idée, je vais faire cela en passant par des fichiers properties comme cela je pourrais même demander de l'aide pour la traduction ;)
pas mal merci.
je peux t'ajouter à mes amis ?
Fréd
(Permalink)
Les Liens de Memiks > Links from tsyr2ko's wandering 11/02/2015
Je suis d'accord avec toi... et en même temps pas trop...
je m'explique, lorsque tu envoie les données, la seule clé qui passe en clair est celle publique, ensuite elle est enregistré sur la base en rapport avec le fingerprint.
meme si quelqu'un écoute le réseau et remplace la clé par une autre, cela se verra de suite car le receveur ne pourra pas déchiffrer le message.
mais oui je pourrais ajouter le ssl avec startssl pour chiffrer aussi les envoies ;)
bonne idée, je vais le faire.
(Permalink)
@Links from tsyr2ko's wandering > Les Liens de Memiks 11/02/2015
Cas 1: c'est pas forcément pour un MITM, mais simplement une capture de tout le traffic en direction de trytolisten.me pour un décryptage dans 5 ans, quand certaines des clés auront fuitées (par quelques moyens qui soient), que la présidence française aura changé et que la crypto sera devenu illégale pour lutter contre le terrorisme. (SciFi ma chaîne préférée :p)
Cas 2: le vilain possède son propre jeu de clés. Il a un compte "normal" sur le site (pour que sa clé à lui soit reconnu) puis il intercepte les données de l'utilisateur A de façon transparente (ni HTTPS ni DNSSEC) et ensuite, il communique avec le serveur trytolisten.me avec SES clés à lui, et il peut donc tout décoder/encoder puisqu'il s'est placé au milieu (un MITM quasi classique)
Bref, dès qu'un outil de chat ou communication de document veut se targeur de faire de la bonne crypto, il faut y mettre les moyens.
(Permalink)
Liens en vrac de SimonLefort > Les Liens de Memiks 11/02/2015
Bien sûr que tu peux m'ajouter. C'était l'idée. ;-)
(Permalink)
Les Liens de Memiks > Links from tsyr2ko's wandering 11/02/2015
Alors comme je l'ai dit, oui tu as raison je dois mettre en place https.
dans le cas1 je pense pas que ça change grand chose... les gouvernements vont "simplement" enregistrer le flux chiffré https et le déchiffrer avec la clé du serveur (ils auront bien trouvé comment récupéré les clés)
par contre pour le cas 2 je ne vois pas comment le MITM va etre mis en place... c'est TOI qui fourni le fingerprint à tes amis.
et il est récupéré de la clé publique du serveur.
du coup si la clé de chiffrement/déchiffrement n'est pas la même que le fingerprint, openPGP et trytolisten vont refusés de décrypter le message.
mais effectivement, c'est un bon moyen pour trouver les failles dans l'application.
donc je résume seul la clé public est envoyé avec le fingerprint et le nom de l'utilisateur. avec une seul parti tu ne peux pas faire de MITM à moins d'avoir enregistré les clés des deux protagoniste au moment de la création du compte et de les remplacer (et encore les fingerprint rentré dans l'interface ne seront pas les bons du coup).
Mais oui de toute façon je dois mettre en place HTTPS.
(Permalink)
Les Liens de Memiks > Liens en vrac de SimonLefort 11/02/2015
Alors pour moi c'est:
Memiks
71c22ad86110167c4fdd63fdf8a56a54764c18a2
PS: j'ai supprimé les espaces et caractères spéciaux des noms pour limiter la casse lors d'attaque par injection ou autre.
donc dans ton name il n'y a plus l'espace.
Vous pouvez partager vos infos pour ceux qui testerons, et ceux qui n'arrive pas à le faire, contactez moi ;)
memiks [at] memiks.fr
(Permalink)
Les liens de Kevin Merigot > Les Liens de Memiks 11/02/2015
Oh, sympa.
Un système de webchat chiffré basé sur OpenPGP.js (la même bibliothèque que pour mon formulaire de contact). C'est pour le moment un POC, mais ça marche assez bien (bon, l'inscription est pas super évidente, il faut générer les clés avant de cliquer sur "register").
Pour les dons pour encourager le projet, c'est par ici : https://www.indiegogo.com/projects/trytolisten-me-web-site-privacy
(via plein de shaarlistes)
(Permalink)
Les Liens de Memiks 15:40
Hello,
- il y a désormais deux liens qui permettent l'export des clés.
- Pas encore d'import mais j'y travaille.
j'ai également mis en place le httpS : https://trytolisten.me/
et suite à de gros souci d'hébergeur j'en ai changé pour OVH
pfiou.
dans le carton:
- historique, pour garder une trace des messages que VOUS avez envoyé.
- import des clés pour permettre d'utiliser le même compte sur plusieurs navigateurs ou appareils, et pour faire une sauvegarde.
- gestion de l'envoie de petits fichiers.
Fréd.
PS: si vous pouviez parlé du programme autour de vous ;)
Merci.
(Permalink)
@Links from tsyr2ko's wandering 18:08
Peut mieux faire => https://www.ssllabs.com/ssltest/analyze.html?d=trytolisten.me
(Permalink)
Bonjour,
Je vous présente mon nouveau projet,
Try To Listen. Me
Ce projet se base sur openPGP.js et cherche à proposer une plateforme de partage de document (uniquement un chat pour le moment) chiffré de bout en bout.
Lors de la création d'un compte, le navigateur créé une paire de clé privé/publique, seul la clé publique est envoyé sur le serveur.
La clé privée est enregistré dans le localStorage du navigateur.
elles sont toutes les deux visible dans la page Account.
Ensuite pour se connecter vous utilisez votre nom et la passphrase choisie lors de l'enregistrement (le mot de passe de la clé en fait)
Et vous devez partager votre nom et votre fingerprint avec vos amis.
ils font de même et vous pouvez les ajouter sur la page Chat.
Ensuite lorsque vous envoyer un message il est chiffré avec la clé publique de votre ami, et envoyé sur le serveur.
Les messages de vos amis sont chiffré coté navigateur avec votre clé publique ce qui vous permet de les déchiffrer.
Je suis à l'écoute si vous avez des questions.
Memiks.
PS: je fais une campagne de don pour pouvoir continuer le développement alors s'il vous plait participez ou parlez en autour de vous:
https://www.indiegogo.com/projects/trytolisten-me-web-site-privacy/x/9871293
A la fin de la récolte je libère les sources sous AGPL.
techno:
- javascript
- openpgp.js
- jquery
- skeleton css
- php
- phalcon framework.
(Permalink)
Liens en vrac de sebsauvage > Les Liens de Memiks 11/02/2015
Le nouveau projet de Memiks: Le but est de fournir des services web (chat, partage de fichiers...), le tout chiffré côté client en se basant sur OpenPGP.js (un portage d'OpenPGP en javascript).
C'est pour le moment un POC (Proof-of-concept).
à suivre...
(Permalink)
yakmoijebrille > Les Liens de Memiks 11/02/2015
Chiffrage PGP coté client en javascript pour le web.
(Permalink)
Bookmark Bronco > Les Liens de Memiks 11/02/2015
Un projet visant à fournir une suite d'applications de partage et de communications sécurisées via openpgp...
Rien que le nom m'amuse ! ^^
A suivre de près.
C'est marrant, j'avais codé un salon de chat (fonctionnel et permettant de se rejoindre en partageant un simple lien) et je projetais de sécuriser ensuite, puis j'avais été absorbé par d'autres projets... je conserve donc un oeil attentif sur celui-ci ;-)
(Permalink)
Liens en vrac de SimonLefort > Les Liens de Memiks 11/02/2015
Lien direct vers le projet : http://trytolisten.me
Le projet consiste à proposer un chat et un partage de document avec chiffrement de bout en bout grâce à la librairie openPGP.js. Super ! :-)
Ceux qui veulent m'ajouter pour tester :
Name: Simon Lefort
Finger Print: 1bb78a84cf7b2d77193a979898eb72e4b8ab92c8
Quelques (petites) remarques :
- La procédure de création de compte n'est pas "claire". (Peut-être juste possible de préciser qu'il faut choisir un nom, entrer une passphrase, cliquer sur "generate keys" et que le fingerprint s'ajoute automatiquement avant qu'on cliquer sur "Register")
- Préciser où les clés s'enregistrent afin qu'on puisse les copier d'un ordinateur à l'autre si besoin.
- Proposer une interface en français ? (Je pense aux utilisateurs lambda là...)
(via http://shaarli.memiks.fr/?HL8fpw , http://sebsauvage.net/links/?ydUpMw )
(Permalink)
@Links from tsyr2ko's wandering 11/02/2015
Autant j'adhère complètement à l'idée, autant je trouve qu'un site/projet de ce genre ne fournissant aucun accès HTTPS (avec du TLS v1.2 uniquement) manque cruellement d'objectivité.
Le dev est une chose, mais la crypto est un domaine autrement plus complexe.
(Permalink)
Les Liens de Memiks > Liens en vrac de SimonLefort 11/02/2015
Quelques (petites) remarques :
- La procédure de création de compte n'est pas "claire".
Oui je vais changer cela dés ce midi, et mettre en place une documentation pour les utilisateurs ;)
- Préciser où les clés s'enregistrent afin qu'on puisse les copier d'un ordinateur à l'autre si besoin.
Oui effectivement les clés sont enregistré dans le localStorage et accessible via la page Account, toujours pareil je manque de doc :/
- Proposer une interface en français ? (Je pense aux utilisateurs lambda là...)
C'est aussi une bonne idée, je vais faire cela en passant par des fichiers properties comme cela je pourrais même demander de l'aide pour la traduction ;)
pas mal merci.
je peux t'ajouter à mes amis ?
Fréd
(Permalink)
Les Liens de Memiks > Links from tsyr2ko's wandering 11/02/2015
Je suis d'accord avec toi... et en même temps pas trop...
je m'explique, lorsque tu envoie les données, la seule clé qui passe en clair est celle publique, ensuite elle est enregistré sur la base en rapport avec le fingerprint.
meme si quelqu'un écoute le réseau et remplace la clé par une autre, cela se verra de suite car le receveur ne pourra pas déchiffrer le message.
mais oui je pourrais ajouter le ssl avec startssl pour chiffrer aussi les envoies ;)
bonne idée, je vais le faire.
(Permalink)
@Links from tsyr2ko's wandering > Les Liens de Memiks 11/02/2015
Cas 1: c'est pas forcément pour un MITM, mais simplement une capture de tout le traffic en direction de trytolisten.me pour un décryptage dans 5 ans, quand certaines des clés auront fuitées (par quelques moyens qui soient), que la présidence française aura changé et que la crypto sera devenu illégale pour lutter contre le terrorisme. (SciFi ma chaîne préférée :p)
Cas 2: le vilain possède son propre jeu de clés. Il a un compte "normal" sur le site (pour que sa clé à lui soit reconnu) puis il intercepte les données de l'utilisateur A de façon transparente (ni HTTPS ni DNSSEC) et ensuite, il communique avec le serveur trytolisten.me avec SES clés à lui, et il peut donc tout décoder/encoder puisqu'il s'est placé au milieu (un MITM quasi classique)
Bref, dès qu'un outil de chat ou communication de document veut se targeur de faire de la bonne crypto, il faut y mettre les moyens.
(Permalink)
Liens en vrac de SimonLefort > Les Liens de Memiks 11/02/2015
Bien sûr que tu peux m'ajouter. C'était l'idée. ;-)
(Permalink)
Les Liens de Memiks > Links from tsyr2ko's wandering 11/02/2015
Alors comme je l'ai dit, oui tu as raison je dois mettre en place https.
dans le cas1 je pense pas que ça change grand chose... les gouvernements vont "simplement" enregistrer le flux chiffré https et le déchiffrer avec la clé du serveur (ils auront bien trouvé comment récupéré les clés)
par contre pour le cas 2 je ne vois pas comment le MITM va etre mis en place... c'est TOI qui fourni le fingerprint à tes amis.
et il est récupéré de la clé publique du serveur.
du coup si la clé de chiffrement/déchiffrement n'est pas la même que le fingerprint, openPGP et trytolisten vont refusés de décrypter le message.
mais effectivement, c'est un bon moyen pour trouver les failles dans l'application.
donc je résume seul la clé public est envoyé avec le fingerprint et le nom de l'utilisateur. avec une seul parti tu ne peux pas faire de MITM à moins d'avoir enregistré les clés des deux protagoniste au moment de la création du compte et de les remplacer (et encore les fingerprint rentré dans l'interface ne seront pas les bons du coup).
Mais oui de toute façon je dois mettre en place HTTPS.
(Permalink)
Les Liens de Memiks > Liens en vrac de SimonLefort 11/02/2015
Alors pour moi c'est:
Memiks
71c22ad86110167c4fdd63fdf8a56a54764c18a2
PS: j'ai supprimé les espaces et caractères spéciaux des noms pour limiter la casse lors d'attaque par injection ou autre.
donc dans ton name il n'y a plus l'espace.
Vous pouvez partager vos infos pour ceux qui testerons, et ceux qui n'arrive pas à le faire, contactez moi ;)
memiks [at] memiks.fr
(Permalink)
Les liens de Kevin Merigot > Les Liens de Memiks 11/02/2015
Oh, sympa.
Un système de webchat chiffré basé sur OpenPGP.js (la même bibliothèque que pour mon formulaire de contact). C'est pour le moment un POC, mais ça marche assez bien (bon, l'inscription est pas super évidente, il faut générer les clés avant de cliquer sur "register").
Pour les dons pour encourager le projet, c'est par ici : https://www.indiegogo.com/projects/trytolisten-me-web-site-privacy
(via plein de shaarlistes)
(Permalink)
Les Liens de Memiks 15:40
Hello,
- il y a désormais deux liens qui permettent l'export des clés.
- Pas encore d'import mais j'y travaille.
j'ai également mis en place le httpS : https://trytolisten.me/
et suite à de gros souci d'hébergeur j'en ai changé pour OVH
pfiou.
dans le carton:
- historique, pour garder une trace des messages que VOUS avez envoyé.
- import des clés pour permettre d'utiliser le même compte sur plusieurs navigateurs ou appareils, et pour faire une sauvegarde.
- gestion de l'envoie de petits fichiers.
Fréd.
PS: si vous pouviez parlé du programme autour de vous ;)
Merci.
(Permalink)
@Links from tsyr2ko's wandering 18:08
Peut mieux faire => https://www.ssllabs.com/ssltest/analyze.html?d=trytolisten.me
(Permalink)