Comment créer un groupe dynamique de sorte qu’un serveur compromis ne peut pas y ajouter de membres, mais que cela reste possible pour un administrateur ?
Keybase pose la question – parmi d’autres – pour illustrer ses travaux menés depuis 2014 dans le domaine des infrastructures à clés publiques.
L’entreprise effectue cette mise au point dans un contexte particulier : elle vient de se vendre à Zoom.
Le devenir de ses applications n’est pas clair en l’état. Priorité est donnée à la sécurisation du service de visioconférence de son nouveau propriétaire.
Celui-ci promet, pour le 22 mai, une première ébauche de chiffrement de bout de bout… pour les comptes payants.
https://twitter.com/alexstamos/status/1258387166779936770?ref_src=twsrc%5Etfw » rel= »nofollow
À leur connexion à une réunion, les utilisateurs obtiendront une identité cryptographique publique hébergée sur le réseau Zoom. Cette identité permettra d’établir une relation de confiance entre participants.
L’hôte (organisateur) de la réunion créera une clé symétrique éphémère. Laquelle sera distribuée aux clients, encapsulée dans une paire de clés asymétriques et modifiée en cas de changements importants dans la liste des participants.
L’organisateur seul décidera des appareils autorisés à recevoir les clés éphémères. Des mécanismes additionnels d’authentification sont à l’étude.
Zoom prévoit un niveau de sécurité au moins équivalent à celui des messageries « B2C ». Le chiffrement de bout en bout impliquera cependant l’impossibilité d’utiliser certaines fonctions. Notamment :
Zoom n’a pas attendu d’acquérir Keybase pour avancer sur certains points. La version 5.0 de son application prend en charge le chiffrement AES-GCM 256 bits… mais avec des clés générées sur serveur.
En toile de fond, un plan stratégique de 90 jours lancé début avril. Il doit alimenter une opération « réhabilitation ». Face aux inquiétudes sur la sécurité et la confidentialité du service, de nombreuses organisations en ont déconseillé, voire interdit l’usage.
Illustration © Kentoh – Shutterstock.com
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…