Discussion :

[Morvan Mikael]

Bonjour à tous,

J'ai réalisé un logiciel d'échange sécurisé basé sur des certificats.
Ce logiciel se nomme ArbriSure (www.arbrisoft.com). Il permet de générer des archives compressées et chiffrées et seul le destinataire pourra l'ouvrir.

Le logiciel est presque terminé mais j'aurai besoin d'avis d'utilisateurs avertis concernant l'ihm et les fonctionnalités: ce qu'il manque, ce qui est moche,...

Si vous pouvez jeter un petit coup d'oeil et me donner votre avis, ce serai vraiment sympa

Détails techniques:
réalisé en Delphi 2006,
Utilisation des JCL et des VirtualTreeView pour les IHM
+ Toolbar 2000 + PngComponent
Le coeur est totalement multithreadé
j'utilise la BDD firebird 2.01 en version embeded

Merci d'avance,
Mikaël Morvan

[rezuss]

Bonjour,

J'ai téléchargé votre outil ce matin pour le tester. Je trouve l'IHM très ergonomique et simple d'utilisation.
Cependant je n'ai pas très bien saisi le fonctionnement des certificats, quelle est la valeur ajoutée par rapport à un winrar? Et est ce vraiment fiable?

[Morvan Mikael]

Bonjour,

En fait le but est de permettre l'échange entre plusieurs personnes de manière totalement sécurisée.
La personne qui veut envoyer un fichier doit connaitre le certificat de tout les destinataires. A partir de là, il peut chiffrer les fichiers puis les envoyer à tous les destinataires.
Comme les clefs de chiffrement ont été générées à partir des certificats des destinataires, seuls ceux-ci pourront les ouvrir.
Même si le message est intercepté, personne ne pourra le lire.

Un autre principe d'ArbriSure est l'échange d'invitation. En effet, la compression et le chiffrement sont long à réaliser. Donc une fois effectués, on n'envoie pas les fichier chiffrés mais on positionne les fichiers chiffrés sur un site accessible à tout le monde. Puis on crée une invitation à partir de l'archive.
On ajoute tous les destinataires à l'invitation et on l'envoie à tout le monde. Li'nvitation est un tout petit fichier donc pas de problème pour envoyer de grosses données.
De la même manière, seuls les destinataires pourront ouvrir l'invitation, connaitre le positionnement des fichiers chiffrés et donc ouvrir les fichiers chiffrés.

J'ai mis une doc en partage sur mon site....

Merci encore pour ton interrêt

Mikaël Morvan

[LadyWasky]

Est-ce donc un système utilisant les clés publiques/Clés privées ? Si oui, c'est géré sur combien de bits ?

[Morvan Mikael]

Oui effectivement
La différence est que je n'utilise pas RSA pour faire mon système clef publique clef privée mais les courbes elliptiques
Donc si on parle en nombre de bits, il n'en faut que 160 pour les courbes elliptiques avec une sécurité nettement supérieure à RSA.
Par exemple voila ma clef publique: WC71DCgkCcjmsuYogC+uDZCH3H8I7frzRxuj8bTfrKI+
c'est très court comme tu vois

Les courbes elliptiques sont utilisées par les militaires actuellement ce qui montre un petit peu le sérieux du chiffrement

[Morvan Mikael]

J'ai mis à jour mon logiciel d'échange sécurisé ArbriSure.

La version courante est la version 0.9.2.15

Par rapport à la dernière version:

* Modification de l'ajout de fichiers
* Ajout de barre de progression sur les fichiers
* Création d'une nouvelle archive par défaut au lancement
* Correction de la boite de dialogue lors de la création du paquet racine
* diverses corrections mineures

Merci d'avances pour vos remarques concernant ArbriSure
Mikaël

[Morvan Mikael]

J'ai mis à jour le setup d'ArbriSure. La version est la 0.9.3.17.

Les corrections concernent les élements suivants:
* Correction du bug concernant la création d'invitation,
* Correction du bug concernant les barres de défilement,
* Confirmation en cas d'écrasement des fichiers,
* diverses corrections mineures


Bon tests
Téléchargez la dernière version

[Nopain]

Excellent travail Morvan Mikael

L'interface est soignée, les fonctionalités sont tres interessantes pour tous ceux qui echengent regulierment des fichiers et ce en securité.

Le site web est tout aussi educatif.

Encore, bravo et merci

P.S. J'ai ma copie et j'ai hate de la mettre en oeuvre.

[Morvan Mikael]

Merci pour ce commentaire élogieux, ça me va droit au coeur

Suites à de nombreuses demandes, j'ai commencé la création de tutoriels sur ArbriSure.
Le premier tuto concerne la création d'archive est en ligne (www.arbrisoft.com)
Je vais continuer par un tuto sur l'export et l'import de certificats puis par la création et la lecture d'une invitation.

Merci encore pour votre intérêt pour ArbriSure
Mikaël

[Morvan Mikael]

J'ai mis à jour le setup d'ArbriSure. La version est la 0.9.4.22.

Cette version incorpore une notion importante: les paquets de groupe.
Le but est de partager un secret avec tout un groupe de personne et ce de manière totalement sécuriée bien entendu.

Une personne génère un secret (un paquet de groupe) qu'elle enregistre dans sa base de données.
Puis, elle invite ses contacts à rejoindre son groupe en leur envoyant le paquet de groupe (le chef de groupe doit posséder tous les certificats des invités)
Chaque invité incorpore le paquet de groupe dans sa base de données.

Désormais, n'importe quel membre du groupe pourra envoyer une archive ou une invitation en chiffrant avec le paquet de groupe. Et tous les membres du groupe pourront ouvrir l'archive ou l'invitation.

C'est en quelque sorte une sécurité repoussée au niveau groupe. Le chef de groupe est responsable de la sécurité de son groupe.

Merci pour vos tests et vos commentaires, j'y suis toujours très attentif

le lien pour télécharger: ArbriSure

Mikaël

[Laurent Dardenne]

Salut,
voici un compte rendu rapide sur qq manips de base (sous XP sp2) :

En cas d'annulation lors de la première exécution tu affiches un msg d'erreur c'est plutôt un avertissement.

Si les mots de passe saisies ne sont pas identiques, la zone de saisie n'est pas RAZ. Dans les zones de saisie le copier/coller est actif mais ne fonctionne pas.

Petite coquille dans le menu "A propos".

Dans le menu "Ajouter des fichiers", la sélection d'une unité lecteur de CD qui ne contient pas de CD ne provoque aucun avertissement. Bon c'est un choix comme un autre.

Si dans les options-répertoires je saisie "com1" puis valide, l'appel du menu "Ajouter des fichiers" n'affiche plus les icônes, je te l'accorde c'est tordu comme manip ;-) De plus c'est un composant système...

La fermeture de la fenêtre "Ajouter des fichiers" est parfois "saccadée" avec un affichage parasite.

La sélection dans la corbeille reste possbile mais le fichier sélectionné n'est pas ajouté dans la liste, normal. Idem pour un lien ftp...

Lors d'un enregistrement sur CD tu indiques qu'on ne dispose pas des droits et qu'il faut contacter l'admin. C'est le support qui va être content :-)

On peut ajouter + fois le même fichier, est-ce le comportement attendu ?
La suppression d'un fichier en doublons ne pose pas de pb.

Le menu "Nouvelle archive" ne me propose pas une sauvegarde du travail en cours.

Certains boutons sont activés alors que l'opération ne peut s'effectuer, cf ."Supprimer la sélection en cours", idem pour le menu "sécurité".

Dans certains "expert" tu autorises la saisie de caractère espace mais un contrôle dans le code empêche la validation du choix "next".

Le soft dispose t-il d'un répertoire de travail dédié ? Si c'est le cas les boîtes de dialogue ne pointent pas dessus par défaut.

Je peux créer 2 catégories de même nom, c'est prévu ?
La longueur du nom de catégorie n'est pas vérifié d'où un bug, le mail généré automatiquement t'a été envoyé. A noter que l'annulation de l'envoi d'un mail au support affiche tout de même (en anglais) "mail envoyé".

La sélection d'un fichier .ara créé à la mano, et contenant n'importe quoi, provoque de sérieux pb. A priori il n'existe pas de contrôle sur la structure du fichier...
Ex : Menu "ouvrir", saisir "c:\temp" puis sélectionner au hasard dans un répertoire un fichier non valide( comportement correct), ensuite "enregistrer sous" -> crash.
Alors que la création d'un paquet racine effectue ce test sur le fichier sélectionné!

J'ai envoyé 3-4 mails sur des crash, indique moi si tu les a reçus. Tu utilises bien le produit gratuit MADException ?

Je pense qu'il manque un fichier texte sur l'usage et l'objectif de ton soft.

Précise que ce soft est gratuit car la pub n'est pas autorisée sur le forums pour les produits payant, cf. les régles des forums.

[Morvan Mikael]

Merci beaucoup pour tes commentaires et tes tests )

J'ai bien reçu tes trois bugs, je vais les corriger au plus vite, mais tu es quand même vachement tordu pour les trouver et c'est parfait

J'utilise Eurekalog mais je vais essayer ton soft pour voir s'il est mieux (en tout cas gratuit et c'est déjà ça )

Ce logiciel est un logiciel totalement gratuit, je ne demande que des commentaires et des conseils pour réussier à l'améliorer.

Il manque c'est vrai de la doc pour permettre au plus grand nombre de comprende le principe du chiffrement et j'y travaille.

Merci encore et à bientot
Mikaël

[Laurent Dardenne]

mais tu es quand même vachement tordu pour les trouver et c'est parfait

Non je ne pense pas, à part un ou 2, et je dois dire que le premier bug tourdu trouvé m'incite à forcer le trait, i.e. à stresser l'appli. Effectivement si tu fais des tests iso fonctionnels ça roule. Mais la réalité n'est pas et ne sera jamais iso fonctionnels.

Ces qq tests ne remettent pas en cause ton travail juste l'approche qualité. Et je ne me suis pas permis d'attribuer une notion de gravité aux pb trouvés, pour ça je te laisse seul juge.
Cela m'a pris à peu prés 30 mn, le + long c'est la rédaction. Si tu regardes bien le pb principal remonté concerne les I/O. C'est le premier test que je fais sur un soft payant ou gratuit, ça me donne le plus souvent une bonne indication sur la qualité du produit. Un autre concerne la validation de zone mémoire, un grand classique. En C ça ne pardonne pas !

Sinon envisages-tu une notion de profile dans ton soft ou tout du moins celle apparament liées au fichier paquet.pqt ?

ps
Pour avoir une vue globale de ton travail il faudrait mettre en correspondance les points qui fonctionnent avec ceux qui ne fonctionnent pas, et pour ces derniers savoir s'ils sont bloquant ou pas

Etant en train de rédiger un tuto sur la signature de code pour les script Powershell, le mémoire suivant de Charles CHEBLI intitulé Signature et Chiffrement peutdéjà répondre à qq questions.

[Morvan Mikael]

Merci pour tes remarques,

Au niveau qualité, j'ai deux personnes qui testent avant chaque livraison mais je pense qu'ils sont un peu trop gentils Je suis en train d'ajouter des tests automatiques à l'aide de DUnit, ça permettra de fiabilisé encore le tout...
Pour ce qui est de la mémoire, j'utilise FastMM4 en mode debugage mémoire pendant mon dev. Je suis donc certain qu'il n'y a pas un bit de mémoire perdu à la fin du soft. En plus, l'accélération est vraiment importante dans mon soft vu les quantités de mémoire que je traite.

Pour la notion de profile, c'est vrai que je n'y ai pas pensé merci pour l'idée.

Je vais continuer à créer des tutos sur mon site et surtout essayer à l'aide de schémas de présenter clairement le but d'ArbriSure, je pense que c'est tellement évident pour moi que je ne fais pas trop attention...

Pour finir, ton lien est vraiment intéressant, je vais lire ça ce week-end. J'ai beaucoup étudier les signature et la sécurité en général avant de faire mon soft, mais avoir des résumés de qualité en français c'est plutot rare

Bonne journée,
Mikaël

[Kaféine]

Salut,

Bon travail!

Est-ce un projet open source?

[Morvan Mikael]

Merci pour ton compliment, ça me va droit au coeur

Mon projet n'est pas Open source. J'ai acheté des composants du commerce qui ne me permettent pas de diffuser mon source.

Mikaël