[Cryptographie] Problème de conception pour crypter des adresses mail

[Le Barde]

Bonjour,

Dans le cadre de mon projet web, je stocke des adresses mail. Il s'agit du coeur du service, et donc les moyens importent peu. Ces adresses mail ont une péremption dans le temps.
Comme il s'agit d'un service permettant de protéger l'anonymat des personnes, il est impératif :

• Que le système puisse retrouver l'adresse mail (pour pouvoir lui envoyer des mails) ;
• Qu'une personne humaine ne puisse pas retrouver les adresses mail.

Vous voyez le dilemme : le système informatique doit pouvoir envoyer des mails à des adresses que je (en tant que webmaster) ne dois pas pouvoir connaître.

Déjà, il est possible de crypter l'adresse mail avec une clef de chiffrement asymétrique (par ex. gpg), et de révoquer la clef, une fois que l'adresse mail est périmée. Cela rend alors impossible de retrouver cette adresse mail.

Mais comment faire pour qu'on ne puisse "jamais" retrouver cette clef ?

Je pense éventuellement à distribuer les rôles avec chiffrement par deux clefs distantes, ou à publier le service comme un service caché sur TOR, par exemple... Mais je ne sais pas si cela résoudrait vraiment mon problème, ni si cela est réalisable pour des performances correctes.

Je prévois une charge minimale de 5000 nouvelles adresses chaque jour, et de 10000 mails / j.

Si vous avez des idées, j'en serais friand :-)

Cdlt,
Le Barde.

[RaphAstronome]

Je ne crois pas que ce soit possible car techniquement si tu est webmaster tu as la clé. Au pire elle est dans un endroit du serveur réservé à un admin mais la cacher de tous je ne crois pas que ce soit possible sur un ordinateur.

Une petite idée : tu peux utiliser des cartes de cryptage (il y en à au format carte de crédit). La donnée chiffrée ne peut être décrypté qu'en interne par la carte cas transfert de clé possible vers l'ordi. Par contre là aussi un admin peut passer le fichier à la carte un retrouver le texte en clair.

Révoquer une clé indique simplement aux autres de ne pas l'utiliser mais rien n'empêche de lire les données qui ont été chiffrés avec. Ce qu'il faut faire c'est supprimer la clé privée de manière fiable.

[Le Barde]

Damned !

Merci pour ta réponse.
En fait, je croyais tout simplement qu'on pouvait révoquer une clef privée, et que ça permettrait complètement de rendre la clef inutilisable... Ce qui consistait donc en une alternative utilisable pour mon projet (alternative dégradée, mais tout de même).

Le mystère reste donc entier.

Mais voici ce que je me dis : il est possible techniquement de créer des systèmes sur lesquels transitent des informations sur lesquelles tu n'as aucune prise.
C'est le cas de tor et de freenet. Cette chose est donc possible.
Alors moi, innocent qui essaye d'être averti, je me dis que mon problème comporte forcément une solution, tu vois ?

[Vil'Coyote]

petite question bête, si j'ai tout compris tu prend les adresse mail et doit les stocker en les cryptant sans pouvoir les lires?

si c'est le cas, pourquoi ne pas envisager l'utilisation d'un webservice à qui tu enverrais l'adresse et se chargerais de son côté de crypter et stocker la donner puis un second webservice charger de te donner l'adresse décrypter lorsque tu en as besoin?