Fédiversien.ne.s !

On vient de me parler d'Olvid comme messagerie de groupe décentralisé. Pour le moment, ce n'est pas open source, mais ça subit de sérieux audits ( olvid.io/fr ). Et ils veulent ouvrir le code. (Je vais me renseigner)

Connaîtriez-vous d'autres applications (libres ou open sources) similaires à Telegram ? (La partie non open source du serveur de telegram et le fait que le chiffrement ne soit pas bout à bout m'ennuie).

Bon. En gros, l'idéal ce serait un application libre, décentralisé, et même en peer-to-peer (sans serveur central) qui permet d'envoyer des messages, de faire des messages de groupe.

Avec des smileys, l'envoi d'image, et pourquoi pas l'envoi de petits messages vocaux/petites vidéos/petits fichiers (bon, ça, sans serveur, ça va être compliqué).

A la limite, juste open source ça peut suffir. Mais totalement dégooglisé alors.

Afficher le fil de discussion

Pourquoi *totalement dégooglisé* ? Car j'ai pas installé /e/ sur mon FP3 pour refaire rentrer Google par la petite porte. Je l'utilise assez comme ça avec YouTube.

Afficher le fil de discussion

Du coup, c'est le moment de faire des fouilles sur alternativeto.net/software/tel qui est un excellent site d'alternatives !

Afficher le fil de discussion

Bon, parmi les applications que je retiens au premier abord après une rapide fouille du site donné précédemment, ça donne :
- KeyBase
- BitChat
- Jami
- Tox

C'est le moment de voir ce qu'il en est en fouillant leurs sites webs respectifs. Hésitez pas à donner votre avis, je les lis :3

Afficher le fil de discussion

Bon, Jami semble vraiment être beaucoup plus tourné vers une alternative à Skype. Et on me dit dans l'oreillette que ça bouffe beaucoup de batterie.

KeyBase a un serveur central. Mais utilise de la crypto asymétrique pour assurer les identités respectives des interlocuteurs (leur serveur sert essentiellement d'annuaire de clés publics). Mais pas que d'ailleurs. Pour ceux qui sont moins intéressés, leur serveur rend possible de montrer au monde que un compte twitter et son compte keybase 1/2

Afficher le fil de discussion

appartiennent bien à la même identité derrière. Et ils ont pris desp récautions cryptographiques plus que descentes pour se défendre d'une attaque. Je garde ça quelque part, même si ça me déplaît.

Afficher le fil de discussion

D'ailleurs, note au passage, est un ancien projet GNU. Et en tant qu'alternative cross-plateform à Skype, il a l'air super bien :3

Il me reste BitChat et Tox en ligne.

BitChat est ... à l'arrêt. Ce n'est pas officiel, il est encore officiellement développement d'après le readme du repo github, mais :
- Technitium (l'entité qui le développe) a commencé à lancer son successeur
- Aucun commit depuis 3 ans.

Bon, on va abandonner, ça pue un peu. Reste Tox ?

Afficher le fil de discussion

Bon, je vais vous faire un aveu, j'ai lu le site de Tox avant de commencer à tout vous raconter, parce que j'étais curieux et que le résumé sur alternativeto était intriguant.

Mais, voulant trouver la meilleur app possible étant donné mes contraintes, j'ai fait mes recherches jusqu'à maintenant de manière tout à fait honnête, comme si j'ignorais ce qu'étais Tox. Regardons si il vaut le coup !

Afficher le fil de discussion

Déjà, Tox satisfait les espérances que j'avais en tant qu'utilisateur lambda. Copie texto de leur site :

Instant messaging

Chat instantly across the globe with Tox's secure messages.
Voice

Keep in touch with friends and family using Tox's completely free and encrypted voice calls.
Video

Catch up face to face, over Tox's secure video calls.
Screen sharing

Share your desktop with your friends with Tox's screen sharing.
File sharing

Trade files, with no artificial limits or caps.
Groups

Afficher le fil de discussion

Tox a été développé suite aux révélations d'Edward Snowden.

Mais avant tout (et je trouve ça bien), c'est une librairie ! Que vous pouvez trouver ici : github.com/irungentoo/toxcore

Et derrière, il y a pléthores de clients. Des tests ? Mais voui, si Tox vérifie ce que je veux d'abord.

Encryption bout à bout : oui.
Peer to peer/sans serveur central : oui

Ca s'annonce bien ! Rien que ça pourrait suffire à me combler de joie. Voyons si ça continue.

Afficher le fil de discussion

Pour ajouter un contact, il faut lui communiquer son ID (qui est long). Il y a un service disponible supplémentaire qui raccourcit ça sous la forme d'une adresse mail mais ça offre des surfaces d'attaques cryptographies (MITM).

Du coup, jusque là, très bien. En fait. Juste. Très bien. J'apprécie.

Et comme en plus, d'après ce que "vends" leur site, ils ont l'air d'avoir fait attention à l'UX, ça peut être cool :D

Et la cryptographie, elle est bien ? Je n'en suis pas sûr, n'étant pas un expert.

Afficher le fil de discussion

Ils utilisent les cryptographies NaCl (je ne connais pas), notamment Diffie-Helman via la courbe curve22519 pour l'échange de clés et il me semble que c'est ce qui est actuellement préconisé pour la configuration diffie helman de TLS (je confirme, par Mozilla : wiki.mozilla.org/Security/Serv ).

Pour la crypto symétrique pour l'échange en lui-même, ils utilisent xsalsa20 que je connais pas du tout.

Et pour l'authentification des personnes (j'imagine pour être sûr qu'on s'adresse à la 1/2

Afficher le fil de discussion

bonne personne, ils utilisent poly1305, qui a été inventé par Daniel J. Bernstein (un grand nom de la crypto) et dont la sûreté cryptographique repose sur celle de l'AES. Autant dire que c'est du solide (l'AES (dernière version !) est utilisé en tant que protocole cryptographique symétrique d'échange dans TLS (voir lien ci dessus à propos de Mozilla)).

Bon, reste xsalsa20 tant qu'à faire à identifier.

Afficher le fil de discussion

1/ xsalsa20 est inclus dans libsodium. Et on vient de voir que curve22519 en fait partie, et l'AES aussi.
2/ Quand je cherche sur DuckDuckGo, je tombe sur Salsa20 comme protocole cryptographique. Et il a l'air assez peu velu ET solide (voir la partie "cryptanalisis of salsa20" c'est assez parlant). On retrouve David J. Bernstein d'ailleurs (je l'aurais deviné, il y a des XOR partout :3) et comme il apparaissait ailleurs dans libsodium, je pense que xsalsa20 doit être une amélioration de ->

Afficher le fil de discussion
Suivre

salsa20 (le protocole initial date quand même de 2005 (et il a l'air d'encore formidablement bien résisté) ou alors le nom de l'implémentation faite dans libsodium.

Bon. Cryptographie : ok. Je vous ai perdu, là, non ? :D

· · Web · 0 · 0 · 2
Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !