Discussion :

[clavier12AZQSWX]

bonjour,

sur une application sécurisée de passage d'examen natioanal qui génére les résultats dans un fichier à extension XML, j'essaie de lire le contenu .
étrangement je vois que le contenu est crypté et ne contient même pas les tag <xml> de début et fin.

cela est-il normal ? y-a-t-il une norme de fichier XML crypté ou sécurisé dans le monde de l'EDI?
Je pensais qu'au moins les tags de début et de fin étaient explicites et lisibles et seul que le contenu dans les balises serait crypté, et non pas l'intégralité !

qu'en pensez-vous ?

exemple de contenu de mon fichier du début du fichier :

týR“Ìza½ôëóñ*ÔRʾ„¥š~‚;Ä'ë¼aIZ…éVëÿf‰Ý‹s½vmÑlúvç\älzÌõÜD™à½w]f‚j8&JÃs (©àk*Ε*|Qœ÷ŸM<Ìdl#Ê9¿J7à¼.ÈroÚ…iÎ"ûaĆŒo”Û=`)G7-ÏQt¹J¿Æ6¹™Þ6—¿sgLD»2aÛÒYJ„U* äÅf¬!ºþÉô´ŸÈü…-kBZä6Êy”©Aɾ�áÊÏ%¨“�N>˜ª’Ž…ò¥T”-•éöÏ8–rÓbÈù Þ±"DzS‡i©Ž‹•üþl©]×J÷í>OÆã@„0˜c¢Ó*&Ê¢µ>rˆ?´‡÷H‹äæöÆRÓpÍ™vÅdØæè.~EùJ
ðÃÔ÷N’Ǟ⥒43?ÏFà^®2`—m¾a¦€ê,¦�ð¯ôƒ(¨äEì””MóRúo¨„øÿ WºçÒ:¤YºËxÀ%•Nz(õ¢b=šs¯eþ'ù»¹ì`±[sùŠ)ª*$
ÀoD'02ÏÇ,ËGñÔl×ÇežÙs\±T²Á†7NÂ…[™˜óÆU�øtêÿ‡�¼uØ¬¶2k¼€{ä5óâqÜ¢0O&\Ãר.ó3D9

[Guesset]

Bonjour,

Un fichier xml n'est qu'un fichier texte qui peut être crypté et/ou compressé comme n'importe quel autre.

Par ailleurs, même si l'extension donne normalement une information sur le type de fichier, ce n'est pas intangible.

Rien n'empêche de mettre un nom et une extension quelconque car ce sont des éléments non intrinsèques du fichier. Ils sont gérés par l'OS qui signalera éventuellement qu'une modification/suppression de l'extension pourrait limiter l'usage d'un fichier, mais il ne l'interdira pas.

Aussi un fichier XML crypté peut très bien avoir n'importe quelle extension y compris XML alors que le contenu ne respecte plus le format XML. C'est un peu dangereux, mais peut se comprendre dans une chaîne de communication unique car chaque élément de la chaîne sait, sans s'appuyer sur l'extension, quel est le format réel transmis par le maillon précédent.

Salutations

[clavier12AZQSWX]

Bonjour,

Un fichier xml n'est qu'un fichier texte qui peut être crypté et/ou compressé comme n'importe quel autre.

Par ailleurs, même si l'extension donne normalement une information sur le type de fichier, ce n'est pas intangible.

Rien n'empêche de mettre un nom et une extension quelconque car ce sont des éléments non intrinsèques du fichier. Ils sont gérés par l'OS qui signalera éventuellement qu'une modification/suppression de l'extension pourrait limiter l'usage d'un fichier, mais il ne l'interdira pas.

Aussi un fichier XML crypté peut très bien avoir n'importe quelle extension y compris XML alors que le contenu ne respecte plus le format XML. C'est un peu dangereux, mais peut se comprendre dans une chaîne de communication unique car chaque élément de la chaîne sait, sans s'appuyer sur l'extension, quel est le format réel transmis par le maillon précédent.

Salutations

plutôt que le cryptage binaire, pourquoi ne pas faire ça pour crypter : ?

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?xml version="1.0"?>
<fdhgfhhgfhgfhgfhgfhgfhfgh>
   <gffdgfdgfdgfdg uytuytuytu="hfghgfhgfhgfhfghgfhgfhgfhk101">
</fdhgfhhgfhgfhgfhgfhgfhfgh>
<rezrezrezrezrer>hghgfhfghfghmhpfghogfhogh</rezrezrezrezrer>
</xml>

au moins dans mon exemple, on a une lecture humaine possible. les tags sont renommés, les attributs aussi, les contenus-valeurs aussi mais c'est exploitable.

[fred1599]

Hello,

Le bloc de données que vous voyez est le résultat du chiffrement de la totalité du fichier XML via la norme CMS/PKCS#7.

C'est une méthode de chiffrement appelée "encapsulation opaque" ou "boîte noire", qui est une pratique standard et fortement recommandée dans des contextes de haute sécurité comme la transmission de résultats d'examens nationaux.

Vous ne pouvez pas l'ouvrir directement avec un analyseur XML. La première étape est d'ordre cryptographique.

[clavier12AZQSWX]

Hello,

Le bloc de données que vous voyez est le résultat du chiffrement de la totalité du fichier XML via la norme CMS/PKCS#7.

C'est une méthode de chiffrement appelée "encapsulation opaque" ou "boîte noire", qui est une pratique standard et fortement recommandée dans des contextes de haute sécurité comme la transmission de résultats d'examens nationaux.

Vous ne pouvez pas l'ouvrir directement avec un analyseur XML. La première étape est d'ordre cryptographique.

ah ok...

j'ai 2 versions d'un fichier d'examen.
un bien terminé
et
un pas terminé (ou tronqué lors de l'écriture/réseau rompu)

je voulais savoir si les 2 fichiers commençaient par le même bloc "d'information" mais en regardant le binaire ce n'est pas le cas...
donc ça explique, si c'est crypté en fonction du contenu, j'ai aucun moyen de consulter le détails des données et voir le point de rupture/troncage.

[fred1599]

Hello,

Pour chaque opération de chiffrement, même si le fichier est identique, le système génère une donnée aléatoire unique appelée Vecteur d'Initialisation (IV) ou Nonce. Ce bloc de données est utilisé pour démarrer le processus de chiffrement.

• Conséquence directe : Puisque l'IV est différent pour chaque fichier, le tout premier bloc de données chiffrées sera complètement différent.

C'est une mesure de sécurité essentielle. Si deux fichiers commençaient par le même texte (par exemple, <?xml version="1.0"?>), sans un IV unique, leurs versions chiffrées commenceraient aussi de la même manière. Un attaquant pourrait alors le deviner. L'IV garantit que chaque chiffrement est unique.

Pour le point de rupture, non ! Et c'est volontaire...

vous n'avez aucun moyen de consulter les détails ou de voir le point de rupture en inspectant le fichier chiffré. Le fichier est une "boîte noire" opaque.