Key Transparency : Google rêve de démocratiser PGP
Comment généraliser les technologies permettant à un utilisateur de s'assurer qu'une communication sur Internet n'est pas compromise et que son correspondant est bien celui qu'il prétend être. Pour tenter de trouver une issue à ce problème, qui demeure la source de multiples problèmes de sécurité (à commencer par le phishing), Google lance le projet Key Transparency, qu'on peut présenter comme un répertoire public de clés de chiffrement rattachés à des comptes, serveurs ou utilisateurs. « Les méthodes existantes de protection des utilisateurs contre les compromissions de serveurs nécessitent une vérification manuelle des comptes des destinataires en personne. Cela ne fonctionne tout simplement pas », écrivent Ryan Hurst et Gary Belvin, de l'équipe d'ingénierie en sécurité de Google, dans un billet de blog. Et de citer le cas de PGP qui, des décennies après sa mise à disposition, reste inutilisable par le plus grand nombre, comme le montre d'ailleurs une étude datant de début 2016.
L'objectif de Key Transparency est donc de simplifier ce processus afin de le mettre à la portée des non experts. « La relation entre les personnes en ligne et les clés publiques doit être automatiquement vérifiable et publiquement auditable. Les utilisateurs doivent être en mesure de visualiser toutes les clés qui ont été attachés à un compte, tout en rendant toute tentative de manipulation de ces enregistrements publiquement visible. Le dispositif garantit également que les expéditeurs utilisent toujours les clés que les propriétaires de compte vérifient », ajoutent les deux ingénieurs de Mountain View.
Key Transparency, un outil pour les développeurs
Dans Key Transparency, le service de recherche peut être utilisé pour trouver les clés publiques reliées à un compte. Il est associé à un journal d'audit public de toutes les modifications. « Tout en étant publiquement auditables, les enregistrements individuels ne sont révélés qu'en réponse à des requêtes portant sur des identifiants spécifiques », précisent Hurst et Belvin.
Le répertoire public Key Transparency doit faciliter le travail des développeurs, dès qu'ils emploient des fonctions de chiffrement et d'authentification. « Il peut être utilisé pour créer des fonctionnalités de sécurité faciles à comprendre, tout en supportant des besoins importants de l'utilisateur comme la récupération de compte », ajoutent Ryan Hurst et Gary Belvin.
Pour l'instant, Key Transparency se limite à un prototype disponible en Open Source sur GitHub. Google indique vouloir travailler avec la communauté et d'autres grands noms de l'industrie pour établir un futur standard. « Notre objectif est de faire évoluer Key Transparency vers un répertoire de clés publiques Open Source, générique, évolutif et interopérable, adossé à un écosystème de répertoires capables de s'auditer mutuellement », conclut Google.
A lire aussi :
Le chiffrement, seconde source de failles de sécurité dans le code
Pas de backdoor dans le chiffrement : l'Enisa persiste et signe
Google veut rendre obligatoire Certificate Transparency en 2017
Crédit photo : isak55 / Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité