Sécurité

Afin d’assurer une bonne sécurité il est utile de comprendre comment utiliser AxCrypt au mieux, avec des mots de passe et une sécurité du PC local. Vous trouverez aussi ci-dessous quelques détails a propos des algorithmes et des méthodes utilisées dans AxCrypt.

Pourquoi AxCrypt est sécurisé ?

AxCrypt est sécurisé car il cherche à seulement utiliser des pratiques et algorithmes d’utilisation acceptés et ne cherche pas à inventer un nouvel algorithme ou de nouvelles méthodes de chiffrement. Il est également open source; toute personne peut consulter le code source, vérifier s’il y a des erreurs, omissions ou backdoors. Depuis plus de 15 ans, il est utilisé, inspecté pour les vulnérabilités et jugé par plus de 30 millions d’utilisateurs, sans faiblesses connues.

A quel hauteur AxCrypt est sécurisé ?

Cette question est analysée grâce à l’efficacité des longueurs des clés de chiffrement. La longueur de la clé utilisée est de 128 ou 256 bits – la recherche exhaustive n’est actuellement pas considérée comme étant une option dans les deux cas, et, est informatiquement impossible en termes cryptographiques. Le problème réside dans les mots de passe utilisés : ce qui est le point faible. Vous pouvez en savoir plus sur ce qu’il faut considérer lors du choix d’un mot de passe ci-dessous.

Choisir un mot de passe

AxCrypt utilise AES-128 ou AES-256 dans la version Premium, mais si vous voulez atteindre ce niveau de sécurité, vous devez lui donner 128 ou 256 bits de données vraiment «aléatoires». Cela est très difficile à faire, mais la meilleure façon de procéder est d’utiliser le générateur de mots de passe inclus dans la version Premium.

Pour réellement obtenir 128 ou 256 bits, vous devez, dans la pratique, enregistrer ce mot de passe dans un fichier texte puis garder ce fichier texte très secret. En utilisant un langage typiquement anglais dans un mot de passe, 128 bits est approximativement équivalent à 10 mots «aléatoires», et 256 bits deux fois ce nombre. N’utilisez pas des phrases significatives et surtout pas de citations célèbres ou même obscures ! En introduisant des variations ainsi que des caractères non alphabétiques, vous pouvez réduire le nombre de mots nécessaires. Il n’est pas recommandé d’utiliser moins de 5 mots. Si vous choisissez de façon complètement aléatoire des lettres minuscules, capitales et des chiffres, vous avez besoin de 22 caractères pour atteindre 128 bits de sécurité, et donc 44 caractères pour 256 bits. (Ce qui précède est une légère simplification de la question, mais ça devrait servir.) Le broyage, ou l’effacement, fonctionnalité d’AxCrypt, vous permet d’effacer les fichiers d’une manière qui ne permet pas de récupérer le contenu avec un logiciel de restitution. Cependant, il y a quelques mises en garde:

  • Le nom du fichier, ainsi que la taille, peuvent être récupérés.
  • Si le fichier a été lu ou modifié avec une application qui crée des copies temporaires de contenu (comme Microsoft Office), ces copies temporaires peuvent encore être disponibles sur votre disque dur.

Voir la section sur la sécurité du PC local pour obtenir des conseils sur la façon d’augmenter votre marge de sécurité sur ces sujets.

Sécurité du PC Local

AxCrypt, seul, ne protégera pas votre PC local par exemple de :

L’exposition de données en raison de :

  • Vos applications qui maintiennent le texte clair en mémoire ensuite placé dans le fichier d’échange.
  • Vos applications qui créent des fichiers temporaires, qui ne sont pas correctement effacés.
  • La lecture approfondie des données du disque dur écrasées avec un logiciel personnalisé et des équipements de laboratoire.

L’exposition de mot de passe en raison de :

  • Un cycle d’alimentation intempestif de votre ordinateur et la cryptanalyse qui en découle.
  • Claviers enregistreurs de frappe, soit en matériel ou logiciel.

L’utilisation négligente de :

  • Mots de passe forts, que ce soit avec AxCrypt ou votre connexion.
  • Un écran protégé par mot de passe.

AxCrypt combiné avec le système Microsoft Encrypting File System (EFS), inclus dans Windows et appliqué dans le répertoire temporaire de l’utilisateur, paramètrent conjointement la page “Clear Virtual Memory” lorsque le système arrête la sécurité locale, ce qui permettra d’atteindre une sécurité décente du PC local.

Autorisez EFS en sélectionnant “Propriétés” > “Avancé”, puis choisissez “Crypter le contenu pour sécuriser les données». Le répertoire temporaire de l’utilisateur se trouve généralement dans “C:\Documents et paramètres\Votre nom d’utilisateur\Paramètres Locaux\Temporaire”.

Des options supplémentaires pour renforcer la sécurité locale comprennent des produits complémentaires tels que BitLocker et PGPdisk et d’autres. Nous ne sommes pas sûrs, si tout ou une partie, protégera le fichier de pagination du système.

Pour une sécurité des fichiers plus sophistiquée, mais conceptuellement plus complexe, PGP est par beaucoup considéré comme excellent.

Clés de compte

Une clé de compte est ce qui permet la mise en place de diverses nouvelles fonctionnalités riches, comme permettre à d’autres membres de l’équipe d’ouvrir des fichiers sécurisés avec leurs propres mots de passe. En termes techniques, une clé de compte AxCrypt se compose d’une paire de clés publiques composée d’une partie publique (non-secrète) et d’une partie privée (secrète) ainsi que d’autres méta-données.

La clé de compte est toujours maintenue sécurisée avec votre mot de passe, mais une partie n’est pas secrète et est utilisée lors de la sécurisation des fichiers pour vous et votre équipe. Pour vous, l’avantage est que vous pouvez changer le mot de passe pour tous les fichiers en une seule opération. Pour les membres de votre équipe, l’avantage est que vous et votre équipe pouvez permettre aux autres d’ouvrir des fichiers sécurisés sans partager les mots de passe, simplement en spécifiant l’adresse e-mail de l’autre membre.

Tout le monde peut utiliser votre adresse e-mail pour vous permettre d’ouvrir un fichier sécurisé avec votre propre mot de passe, et vous pouvez permettre à toute personne ayant une adresse e-mail d’ouvrir un fichier que vous avez sécurisé. Tout cela est permis par la partie publique de la clé de compte étant disponible sur notre serveur.

Algorithmes

Les primitives de cryptologie sont AES-128 ou AES-256 pour le chiffrement de masse, PBKDF2 avec HMAC-512 pour la clé de dérivation, 4096 bits RSA pour la clé de compte, et HMAC-512 pour le contrôle d’intégrité.

Les algorithmes utilisés sont très sécurisés, réputés comme étant les meilleurs que l’on connaisse par le gouvernement des États-Unis et la communauté Internet. Consultez le dossier de documents et le code source pour plus de détails.

L’emballage de la clé du mot de passe est effectué en utilisant la spécification NIST pour AES Key Wrap. La clé dérivée du mot de passe avec PBKDF2-SHA512 est seulement utilisée comme une clé de chiffrement de clé.

Comme une force brute de contre-mesure, l’emballage clé est fait avec au moins 10 000 itérations, ce qui augmente l’effort de travail avec environ 13 bits. Le nombre d’itérations réel est déterminé dynamiquement, une valeur typique est de 25 000 à 100 000, en ajoutant une longueur de clé efficace de 14-17 bits. Plus la machine sur laquelle vous installez AxCrypt est rapide – plus la sécurité est bonne !

AxCrypt utilise les standards de chiffrement avancé (AES) avec des clés 128 bits ou 256 bits en mode Compteur avec une IV «aléatoire» pour le chiffrement de données.

Pour vérifier l’intégrité AxCrypt utilise HMAC-SHA512, à savoir Hash Message Authentication Code en utilisant SHA-512 avec une sortie de 512 bits.

Le générateur de nombres pseudo-aléatoires (PRNG) utilisé est principalement le système d’exploitation fourni, dans certains cas avec une entropie supplémentaire.

Il peut y avoir des bugs dans notre mise en place ; voilà pourquoi c’est open source, afin que vous et nos pairs puissent l’examiner et le garder sécurisé. Cela ne doit pas être considéré comme un bas niveau de confiance en nos codes ; ceux qui vous disent que leur code est sans erreur sont soit inexpérimentés soit menteurs.

Est-ce que AxCrypt HIPAA est conforme ?

Il n’y a pas plus conforme que le logiciel HIPAA. Seules les organisations et les procédures peuvent être conforme à HIPAA.

L’utilisation appropriée de chiffrement et d’autres techniques de sauvegarde est régie par les normes de sécurité HIPAA, 45 CFR 160, 162 et 164. La section pertinente est 164.312 Mesures de sauvegarde. Aucunes recommandations ou exigences concernant les technologies de chiffrement spécifiques ne sont faites ici, il est expressément souligné que la réglementation est technologiquement neutre. Il revient à chaque organisation d’évaluer sa position et les risques, puis de mettre en œuvre les spécifications requises.

Bien que la norme ne se réfère nullement à elle, sauf dans les commentaires, la politique CMS Internet Security, qui est l’opinion actuelle de CMS pour leur propre usage, précise quelques niveaux technologiques minimales pour certains cas. AxCrypt répond à ces exigences pour la transmission sur Internet, mais votre organisation doit indépendamment évaluer s’il est suffisant d’utiliser le même niveau que celui du CMS.

Les parties où AxCrypt peut (et devrait) suffire comme (ou en partie) une sauvegarde technique sont :

  • Contrôle d’accès / Chiffrement et déchiffrement AES-128, AES-256
  • Intégrité / Authentification – HMAC-SHA-512 Transmission
  • Contrôles de sécurité / intégrité, chiffrement AES-128, AES-256, HMAC-SHA-512

La norme de sécurité HIPAA permet l’utilisation du chiffrement de base pour le contrôle d’accès, c’est-à-dire pour protéger la confidentialité des données privées au repos (stockées sur un disque dur par opposition à disque traversant Internet par exemple). Ici aussi, AxCrypt répondra à la plupart des exigences des organisations.