Discussion :

[khaled_prg]

Salut tout le monde

Je compte développer une application open source en Java qui permet de gérer les mots de passe. l'idée m'est venue à l'esprit pour deux raisons :
1. J'enregistrais mes passwords dans un fichier texte (caché et portant une fausse extension ! mais bah, je sais quand même que c'est pas sécurisé)
2. Je veux améliorer mes connaissances en développement et cryptographie.

Pour ce faire, j'ai besoin d'une base de données, dans laquelle, je vais sauvegarder l'ensemble des mots de passe après les avoir chiffré bien sûr.
Maintenant, je vous demande, est-ce que l'utilisation des fichiers XML comme support de sauvegarde est acceptable ? puisque je veux que l'application soit portable, donc je ne dois pas utiliser une BD de type client-serveur.



Merci d'avance.

[benratti]

Pour ce faire, j'ai besoin d'une base de données, dans laquelle, je vais sauvegarder l'ensemble des mots de passe après les avoir chiffré bien sûr.
Maintenant, je vous demande, est-ce que l'utilisation des fichiers XML comme support de sauvegarde est acceptable ? puisque je veux que l'application soit portable, donc je ne dois pas utiliser une BD de type client-serveur.

Pour une application mono-utilisateur, en stand-alone, des fichiers xml peuvent faire l'affaire.

Pour ce faire, j'ai besoin d'une base de données, dans laquelle, je vais sauvegarder l'ensemble des mots de passe après les avoir chiffré bien sûr.

Pour ce type d'utilisation, penses bien la manière dont vas stocker la clé de chiffrement... ca peut devenir une grosse faille si cela est mal géré!

[nchal]

Bonjour,

Je pense qu'avoir un fichier xml pour stocker tes mots de passe est une idée assez bonne dans l'optique d'approfondir tes connaissance en Java.
Tu vas pouvoir apprendre à créer et parser un fichier xml, tu peux même t'amuser à faire une petite IHM pour avoir un rendu assez sympa.
Pour le cryptage, pourquoi pas partir sur du MD5 ? Je m'y connais pas trop en sécurité mais il me semble que c'est le cryptage de base.
Après tu peux faire ton propre cryptage, le plus simple est de faire un cryptage XOR, c'est à dire tu fais un OU exclusif avec une clef qui tu as défini sur ton mot de passe pour le crypter et tu refais la même chose pour le décrypter (le cryptage XOR est symétrique). Ci joint un lien qui explique ça assez clairement (http://www.primenumbers.net/Renaud/fr/crypto/XOR.htm)

[benratti]

Pour le cryptage, pourquoi pas partir sur du MD5 ? Je m'y connais pas trop en sécurité mais il me semble que c'est le cryptage de base.

MD5 est ce que l'on appel une fonction de hashage, cela signifie notamment que ce n'est pas réversible... Le stockage d'un hash à la place du mot de passe est utiliser pour les systèmes d'authentification. Cela permet de vérifier que le mot de passe de l'utilisateur correspond bien à celui saisi. Cela vient notament du fait que si hash(password1) == hash(password2) alors on peut en déduire que password1 == password2. Il faut pour cela que la fonction de hashage utilisée n'ait qu'un faible taux de collision, c'est à dire un nombre de résultats identiques faibles pour des entrées différentes. Il s'avère que md5 n'est pas vraiment le meilleur pour cela.

Par contre, comme tu l'as surement compris, une fonction de hashage n'étant pas réversible, tu ne pourras pas récupérer tes mots de passe. dommage. Utilises donc plutot une fonction de chiffrement.

Après tu peux faire ton propre cryptage, le plus simple est de faire un cryptage XOR, c'est à dire tu fais un OU exclusif avec une clef qui tu as défini sur ton mot de passe pour le crypter et tu refais la même chose pour le décrypter (le cryptage XOR est symétrique). Ci joint un lien qui explique ça assez clairement (http://www.primenumbers.net/Renaud/fr/crypto/XOR.htm)

Si tu as envie de découvrir les algos de chiffrements de bases, pourquoi pas recoder le XOR, par contre, il faut que tu saches que celui si n'est pas vraiment robuste. Je t'invites également à ne jamais recoder toi même les algos de chiffrement mais à utiliser des implémentations réputées correctes et sans faille connues (sauf bien sur si tu c'est ton job d'implémenter des algos de chiffrement).

[nchal]

Re,

Effectivement, si le MD5 n'est pas réversible, ça ne va pas être pratique
Je trouvais mon idée de recoder le XOR, plutôt bonne car c'est également un bon moyen de découvrir des nouvelles choses en Java (opération sur les strings)
Il est vrai que tu n'as pas expliqué pourquoi tu veux crypter tes mots de passes mais effectivement, si tu refais l'algo, il faut faire attention où tu stocke ta clef, car si elle est lisible par une tierce personne, ton chiffrement tombe à l'eau.

[khaled_prg]

@benratti et @nchal
Merci beaucoup pour vos remarques pertinentes.

J'ai discuté hier avec un ami, développeur en Java, il m'a conseillé d'utiliser une base de données SQLite pour stocker les mots de passe, avec la possibilité d'exporter les données sous formats XML, HTML ou TXT. Qu'en pensez-vous ?

Sinon, y a encore deux grandes questions qui me prennent souvent la tête :
- La BD SQLite doit être cryptée à tout moment, comment puis-je y connecter et travailler là-dessus ? (Dois-je utiliser une méthode telle que SealedObject ? )
- Je compte utiliser MD5 pour vérifier l’intégrité de la base lors de l'importation par exemple, et AES pour chiffrer la BD. Maintenant, pour le mode CBC, est-ce que AES l'utilise implicitement ou je peux l'utiliser d'une façon explicite pour renforcer la résistance de l'algo ?



Merci encore une fois.

[Sennad]

Salut !

Pourquoi tu veux crypter ta BDD ?
C'est le mot de passe qui le sera, pas ta BDD nan ? Ou alors j'ai mal compris ce que tu veux faire.
Mais pour moi tu as tes mots de passes crypté de stocké dans ta DB, et pour savoir ton mot de passe réel ton appli java va le décrypter.
Je comprends pas trop pourquoi crypté la DB ?