Bonjour,
Tout d'abord, merci pour votre boulot! Gérer de tels services n'est jamais facile!
Je n'ai pas réussi à trouver cette info sur le site:
Quel est le type de chiffrement sur le server Nextcloud chiffré? C'est un chiffrement côté serveur ou un chiffrement "end-to-end"? Dans le cas d'un chiffrement côté serveur, la clé de chiffrement est-elle la même pour tous les utilisateurs ou bien dépend-elle du mot de passe de l'utilisateur?
En d'autres termes: qui peut avoir potentiellement accès au donées stockées sur le server chiffré?
Merci d'avance!
Florian
Détails sur le chiffrement sur le server Nextcloud chiffré
-
- L'équipe Zaclys
- Messages : 86
- Enregistré le : mar. 13 juin 2017 11:06
Re: Détails sur le chiffrement sur le server Nextcloud chiffré
Bonjour revers,
le chiffrement est basé sur AES 256.
Chiffrement côté serveur mais transmis via un canal sécurisé SSL.
La clef de chiffrement est en fonction du mot de passe de chaque utilisateur mais il est possible créé une clef de récupération en cas de perte du mot de passe.
Les administrateurs du serveur, des pirates si par malheur le serveur était compromis et la justice en cas de réquisition du serveur.
Cordialement,
MatthieuBarbu
Quel est le type de chiffrement sur le server Nextcloud chiffré?
le chiffrement est basé sur AES 256.
C'est un chiffrement côté serveur ou un chiffrement "end-to-end"?
Chiffrement côté serveur mais transmis via un canal sécurisé SSL.
la clé de chiffrement est-elle la même pour tous les utilisateurs ou bien dépend-elle du mot de passe de l'utilisateur?
La clef de chiffrement est en fonction du mot de passe de chaque utilisateur mais il est possible créé une clef de récupération en cas de perte du mot de passe.
qui peut avoir potentiellement accès au donées stockées sur le server chiffré?
Les administrateurs du serveur, des pirates si par malheur le serveur était compromis et la justice en cas de réquisition du serveur.
Cordialement,
MatthieuBarbu
Re: Détails sur le chiffrement sur le server Nextcloud chiffré
Bonjour MatthieuBarbu,
Sinon je ne vois pas l’intérêt de l'option Nextcloud chiffré par rapport à l'offre standard.
Floflr
J'ai du mal à comprendre comment avec un chiffrement côté serveur des personnes pourraient avoir accès au données (admins ou pirates). Le but du chiffrement et de justement rendre les données illisibles pour toutes les personnes qui ne possèdent pas la clé de chiffrement ?Les administrateurs du serveur, des pirates si par malheur le serveur était compromis et la justice en cas de réquisition du serveur.
Sinon je ne vois pas l’intérêt de l'option Nextcloud chiffré par rapport à l'offre standard.
Floflr
Ordinateur: Fedora 29
Tél: OnePlus 3 - LineageOS 15.1
Tél: OnePlus 3 - LineageOS 15.1
-
- L'équipe Zaclys
- Messages : 86
- Enregistré le : mar. 13 juin 2017 11:06
Re: Détails sur le chiffrement sur le server Nextcloud chiffré
Bonjour Floflr,
Merci de poser cette question
En fait c'est utile dans le cas où la base de donnée et le serveur de fichier ne sont pas sur le même serveur (comme chez Zaclys, il y en a deux pour chaque instance Nextcloud mutu). Pour les admins, effectivement, ils ont accès aux deux donc aux clefs de chiffrement et aux données chiffrées, heureusement que l'on ne s'amuse pas à ça
Pour un pirate, c'est un peu plus dur, il devrait corrompre deux serveurs, la bdd et les fichiers...
Le problème vient en fait de la possibilité de récupérer les fichiers avec des clefs de secours, on peut voir ça comme une faiblesse du chiffrement car il faut bien les stocker quelque part ces clefs de secours...
Si vraiment les utilisateurs souhaitent chiffrer leurs fichiers sans ces problèmes, il faut chiffrer avant d'envoyer les fichiers sur le serveur, en local et sans possibilité de déchiffrer si le mot de passe est perdu et dans ce cas là pas besoin d'utiliser un serveur utilisant le chiffrement.
En clair, la solution n'est pas parfaite mais elle impose tout de même beaucoup de contraintes pour déchiffrer les fichiers sans autorisation même si effectivement cela reste possible... ce qui reste vrai dans tout les cas... peut-on être sûr des implémentations des algo de chiffrement surtout suite aux révélations de Snowden? et au pis, restera au moins toujours la force brute... bref il n' y a pas de chiffrement parfait!
Donc oui, il y a bien un avantage à utiliser la version chiffré des serveurs Nextcloud même si elle n'est certainement pas au niveau de ce que la majorité des néophytes fantasment sur la question de la sécurité en informatique.
Cordialement,
MatthieuBarbu
Merci de poser cette question

En fait c'est utile dans le cas où la base de donnée et le serveur de fichier ne sont pas sur le même serveur (comme chez Zaclys, il y en a deux pour chaque instance Nextcloud mutu). Pour les admins, effectivement, ils ont accès aux deux donc aux clefs de chiffrement et aux données chiffrées, heureusement que l'on ne s'amuse pas à ça

Pour un pirate, c'est un peu plus dur, il devrait corrompre deux serveurs, la bdd et les fichiers...
Le problème vient en fait de la possibilité de récupérer les fichiers avec des clefs de secours, on peut voir ça comme une faiblesse du chiffrement car il faut bien les stocker quelque part ces clefs de secours...
Si vraiment les utilisateurs souhaitent chiffrer leurs fichiers sans ces problèmes, il faut chiffrer avant d'envoyer les fichiers sur le serveur, en local et sans possibilité de déchiffrer si le mot de passe est perdu et dans ce cas là pas besoin d'utiliser un serveur utilisant le chiffrement.
En clair, la solution n'est pas parfaite mais elle impose tout de même beaucoup de contraintes pour déchiffrer les fichiers sans autorisation même si effectivement cela reste possible... ce qui reste vrai dans tout les cas... peut-on être sûr des implémentations des algo de chiffrement surtout suite aux révélations de Snowden? et au pis, restera au moins toujours la force brute... bref il n' y a pas de chiffrement parfait!
Donc oui, il y a bien un avantage à utiliser la version chiffré des serveurs Nextcloud même si elle n'est certainement pas au niveau de ce que la majorité des néophytes fantasment sur la question de la sécurité en informatique.
Cordialement,
MatthieuBarbu
Re: Détails sur le chiffrement sur le server Nextcloud chiffré
Merci pour les informations supplémentaires
.
Mais du coup sur le serveur de la base de donnée les clés et/ou mot de passe sont stockées en clair ?
Et pour le chiffrement côté client il faut passer sur Nexcloud 14 qui propose la fonctionnalité
Et maintenant je comprends mieux pourquoi Nextcloud propose cette fonction car je pensais que ça servait uniquement pour s'assurer de la sécurité des infos pendant l'envoi et la réception.
Merci en tout cas !!
Floflr

Mais du coup sur le serveur de la base de donnée les clés et/ou mot de passe sont stockées en clair ?
Et pour le chiffrement côté client il faut passer sur Nexcloud 14 qui propose la fonctionnalité

Et maintenant je comprends mieux pourquoi Nextcloud propose cette fonction car je pensais que ça servait uniquement pour s'assurer de la sécurité des infos pendant l'envoi et la réception.
Merci en tout cas !!
Floflr
Ordinateur: Fedora 29
Tél: OnePlus 3 - LineageOS 15.1
Tél: OnePlus 3 - LineageOS 15.1
-
- L'équipe Zaclys
- Messages : 86
- Enregistré le : mar. 13 juin 2017 11:06
Re: Détails sur le chiffrement sur le server Nextcloud chiffré
Mais du coup sur le serveur de la base de donnée les clés et/ou mot de passe sont stockées en clair ?
Les mots de passes utilisateurs non, ils sont hashés avec BCrypt qui est théoriquement irréversible (comme toutes les fonctions de hashage) et pour les clefs de secours elles sont chiffrées avec une master key qui est propre au serveur sinon impossible de les utiliser...
Et pour le chiffrement côté client il faut passer sur Nexcloud 14 qui propose la fonctionnalité
Effectivement c'est beaucoup plus sécurisé avec la version 14, nous y passerons prochainement mais avec plus de 4000 utilisateurs, on ne fait pas les mises à jour majeures (13 -> 14) à la légère... Nous prenons beaucoup de précautions et nous attendons toujours un peu que les versions soient peaufinés et en grande partie déboguées.
Et maintenant je comprends mieux pourquoi Nextcloud propose cette fonction car je pensais que ça servait uniquement pour s'assurer de la sécurité des infos pendant l'envoi et la réception.
La sécurité du transport est déjà garanti par ssl et le https.
Cordialement,
MatthieuBarbu
Re: Détails sur le chiffrement sur le server Nextcloud chiffré
Merci pour toutes ces informations, ça me conforte dans l'idée d'avoir fait le bon choix en venant chez Zaclys
Floflr

Floflr
Ordinateur: Fedora 29
Tél: OnePlus 3 - LineageOS 15.1
Tél: OnePlus 3 - LineageOS 15.1