La sécurité des données est un enjeu majeur à l'heure du "tout sur le Cloud". Pouvoir utiliser le Cloud peut être une bonne chose mais il est parfois vital de crypter ses documents avant de les exposer à des tiers.
AKT est un outil simple permettant de signer et crypter les données utilisateurs. Les contenus sont découpés en blocs de moins de 4K et chaque bloc encrypté en AES-256 avec sa propre clef (ChaCha20 sera proposé bientôt). Une signature HMAC-256 pour chaque bloc permet de certifier que celui-ci n'a pas été altéré. L'utilisation d'une clef de chiffrement différente pour encrypter chaque bloc permet d’accroître la sécurité: il est nécessaire de disposer de toutes les clefs de tous les blocs pour déchiffrer un contenu.
AKT utilise un portefeuille de clefs pour conserver les clefs et les informations de chiffrements. Le portefeuille est protégé soit par un mot de passe utilisateur soit par une clef GPG de l'utilisateur. Comme pour le système de chiffrement LUKS, le portefeuille peut être protégé par plusieurs mots de passe ou clefs GPG. Il est donc possible de partager le portefeuille entre plusieurs utilisateurs sans que ceux-ci soient obligés de partager leur mot de passe.
Pour une sécurité maximale, le portefeuille de clefs peut être séparé des données. Il est donc possible de mettre les donnés signées et cryptées sur le Cloud, sans exposer le portefeuille de clefs à des tiers.
AKT est écrit en Ada 2012 afin de garantir un maximum de sûreté de fonctionnement et éviter de nombreuses vulnérabilités (par exemple pas de "buffer overflow").
AKT est distribué avec la license Apache version 2, les sources sont disponibles dans GitHub: https://github.com/stcarrez/ada-keystore.
Présentation effectuée aux JDLL (Journées du Logiciel Libre) 2017 par Christophe Villeneuve sur "Sécuriser et chiffrer MariaDB"/.
La conférence a pour but de montrer comment utiliser le SQL, NoSQL, NewSQL, d'une part et de l'autre le BigData avec ColumnStore dans un environnement sécuriser et chiffrer
Chiffrer et sécuriser MariaDB - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve
MariaDB est la base de données NewSQL (NoSQL + SQL) et libre à utiliser au quotidien
Présentation effectuée aux JDLL (Journées du Logiciel Libre) 2017 par Christophe Villeneuve sur "Sécuriser et chiffrer MariaDB"/.
La conférence a pour but de montrer comment utiliser le SQL, NoSQL, NewSQL, d'une part et de l'autre le BigData avec ColumnStore dans un environnement sécuriser et chiffrer
Chiffrer et sécuriser MariaDB - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve
MariaDB est la base de données NewSQL (NoSQL + SQL) et libre à utiliser au quotidien
Logs serveurs : du terme barbare à la simplicité de la réalitéKarles Nine
Logs serveurs :
du terme barbare à la simplicité de la réalité.
Vulgarisation et de démystification des log informatique et principalement des access log web.
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cashStHack
The NoSuchCon challenge was published in September 2014, for the second edition of the NoSuchCon conference. The last step of this challenge consists in exploiting a remote cryptographic service used to store encrypted messages and keys. To solve this step, a timing attack against the CPU cache was used. The access time for certain memory areas is measured regularly.
The time spent reading those memory areas depends on previous hits, this side-channel information can be used to extract data. This talk will explain the technique commonly called "Cache Attack" based on some existing papers, a demonstration will be conducted showing the extraction of the RSA private key.
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...AZUG FR
Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises.
Active Directory est la solution d’annuaire la plus déployée dans les entreprises.
De plus en plus d’applications cloud (Microsoft ou non) s’appuient sur Azure Active Directory.
Maîtriser et sécuriser ses annuaires Active Directory et Azure Active Directory deviennent donc des enjeux stratégiques.
Lors de cette session, nous vous proposons de découvrir :
- Le top 5 des attaques les plus connues autour des technologies Active Directory / Azure Active Directory (NTLM Pass The Hash, Golden Ticket…) avec des démonstrations concrètes dans notre laboratoire.
- Les contres mesures à déployer pour sécuriser ses annuaires Active Directory et Azure Active Directory
- Les principaux outils pour détecter ou se prémunir contre ces attaques comme Microsoft LAPS, Microsoft Advanced Threat Analytics, Microsoft Azure Active Directory Identity Protection et Microsoft Azure Active Directory Privileged Identity Management.
Qui a laissé son mot de passe dans le codeDamien Seguy
Qui, de nos jours, laisse encore son mot de passe dans le code? Pour quelles raisons? Et comment éviter de voir ses secrets atterrir en production, ou dans un dépot public? en utilisant Exakat et git-secrets.
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack
Présentation de méthodes de récupération et de rejoue des données d’authentification Windows
Faiblesse des gestionnaires de sécurité et améliorations sous Windows 8.1 ;
Utilisation de moyens matériel, une solution ? ;
Quelques petits à-côtés pour les survivants.
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Technet France
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
Présentation des protocoles IKE et IPsec utilisés dans la mise en oeuvre de tunnels VPN Site-to-Site et Remote Access.
Fonctionnement du protocole IKEv1, différences avec IKEv2
Fonctionnement du protocole IPsec et de la mise en place d’un tunnel VPN
Extensions du protocole IKEv1 (KeepAlive, DPD, NAT-T. Mode Config, XAUTH)
mimikatz @ sthack
http://blog.gentilkiwi.com/mimikatz
Une petite présentation pour aborder de nouvelles méthodes de récupération de credentials sous Windows, y compris les versions 8.1/2012r2.
Démonstration des modules kerberos et sekurlsa.
Ogury est la plateforme de data mobile qui permet d’accéder aux données comportementales des profils de plus de 400 millions de mobinautes répartis dans plus de 120 pays.
Une plateforme micro-services c’est cool et c’est à la mode … mais il y a aussi le revers de la médaille ! L’augmentation du traffic inter-services peut dégrader vos temps de réponses car les connexions HTTP sont lentes.
Cependant des solutions existent pour optimiser le trafic réseau, durant cette session, David et Carles vous parleront de la solution qu’ils ont expérimentée : gRPC.
David Caramelo, Développeur Craftsman passionné depuis 12 ans, actuellement Tech Lead full stack chez Ogury. David s'est forgé son expérience essentiellement dans des startups parisiennes comme Viadeo ou Ogury et dans des cabinets conseil IT comme Xebia.
Carles Sistaré, Architecte-Développeur dans les clouds, actuellement Tech Lead de la team Delivery et co-fondateur d’Ogury. Carles a évolué dans le monde de la AdTech en passant par Ad4Screen et en tant qu’amateur de l’open-source en tant que commiteur Node-Kafka et créateur du module grpc-promise.
Logs serveurs : du terme barbare à la simplicité de la réalitéKarles Nine
Logs serveurs :
du terme barbare à la simplicité de la réalité.
Vulgarisation et de démystification des log informatique et principalement des access log web.
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cashStHack
The NoSuchCon challenge was published in September 2014, for the second edition of the NoSuchCon conference. The last step of this challenge consists in exploiting a remote cryptographic service used to store encrypted messages and keys. To solve this step, a timing attack against the CPU cache was used. The access time for certain memory areas is measured regularly.
The time spent reading those memory areas depends on previous hits, this side-channel information can be used to extract data. This talk will explain the technique commonly called "Cache Attack" based on some existing papers, a demonstration will be conducted showing the extraction of the RSA private key.
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...AZUG FR
Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises.
Active Directory est la solution d’annuaire la plus déployée dans les entreprises.
De plus en plus d’applications cloud (Microsoft ou non) s’appuient sur Azure Active Directory.
Maîtriser et sécuriser ses annuaires Active Directory et Azure Active Directory deviennent donc des enjeux stratégiques.
Lors de cette session, nous vous proposons de découvrir :
- Le top 5 des attaques les plus connues autour des technologies Active Directory / Azure Active Directory (NTLM Pass The Hash, Golden Ticket…) avec des démonstrations concrètes dans notre laboratoire.
- Les contres mesures à déployer pour sécuriser ses annuaires Active Directory et Azure Active Directory
- Les principaux outils pour détecter ou se prémunir contre ces attaques comme Microsoft LAPS, Microsoft Advanced Threat Analytics, Microsoft Azure Active Directory Identity Protection et Microsoft Azure Active Directory Privileged Identity Management.
Qui a laissé son mot de passe dans le codeDamien Seguy
Qui, de nos jours, laisse encore son mot de passe dans le code? Pour quelles raisons? Et comment éviter de voir ses secrets atterrir en production, ou dans un dépot public? en utilisant Exakat et git-secrets.
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack
Présentation de méthodes de récupération et de rejoue des données d’authentification Windows
Faiblesse des gestionnaires de sécurité et améliorations sous Windows 8.1 ;
Utilisation de moyens matériel, une solution ? ;
Quelques petits à-côtés pour les survivants.
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Technet France
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
Présentation des protocoles IKE et IPsec utilisés dans la mise en oeuvre de tunnels VPN Site-to-Site et Remote Access.
Fonctionnement du protocole IKEv1, différences avec IKEv2
Fonctionnement du protocole IPsec et de la mise en place d’un tunnel VPN
Extensions du protocole IKEv1 (KeepAlive, DPD, NAT-T. Mode Config, XAUTH)
mimikatz @ sthack
http://blog.gentilkiwi.com/mimikatz
Une petite présentation pour aborder de nouvelles méthodes de récupération de credentials sous Windows, y compris les versions 8.1/2012r2.
Démonstration des modules kerberos et sekurlsa.
Ogury est la plateforme de data mobile qui permet d’accéder aux données comportementales des profils de plus de 400 millions de mobinautes répartis dans plus de 120 pays.
Une plateforme micro-services c’est cool et c’est à la mode … mais il y a aussi le revers de la médaille ! L’augmentation du traffic inter-services peut dégrader vos temps de réponses car les connexions HTTP sont lentes.
Cependant des solutions existent pour optimiser le trafic réseau, durant cette session, David et Carles vous parleront de la solution qu’ils ont expérimentée : gRPC.
David Caramelo, Développeur Craftsman passionné depuis 12 ans, actuellement Tech Lead full stack chez Ogury. David s'est forgé son expérience essentiellement dans des startups parisiennes comme Viadeo ou Ogury et dans des cabinets conseil IT comme Xebia.
Carles Sistaré, Architecte-Développeur dans les clouds, actuellement Tech Lead de la team Delivery et co-fondateur d’Ogury. Carles a évolué dans le monde de la AdTech en passant par Ad4Screen et en tant qu’amateur de l’open-source en tant que commiteur Node-Kafka et créateur du module grpc-promise.
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
Session qui va décrire et présenter la technologie Azure Site Recovery. Ce service dans Azure propose un PRA pour les systèmes d'informations avec comme source plusieurs technologies ( Hyper-V , VMware) cette session va présenter ASR dans les moindres détails en passant par la phase design , déploiement et administration.
Virtualiastion des systèmes d'exploitations :
Installation et administration
Journée Logiciel Libre à la Faculté des Sciences Dhar El Mahraz.
Par KHAMILICH Jamal
Having used Jenkins with more than 30 projects during 8 years, it was time to switch to another build manager. Written in Ada, Porion is a new build manager intended to replace Jenkins by providing more security, safety and performance.
The presentation describes the complexity of designing a build manager. It highlights some security issues that apply to a build manager and its implementation. It explains the overall architecture that was chosen and the reason of the choice. Finally it presents the Ada generation tools that have been used in this project.
Another build manager to address security, safety and performance issues after having used Jenkins with more than 30 projects during 8 years.
The talk presents the Porion build manager with its command line interface but also with its responsive web UI. It also explains some security and safety aspects provided by this new build manager.
toring passwords and secret configuration is a challenge for an application. Ada Keystore is a library that stores arbitrary content by encrypting them in secure keystore (AES-256, HMAC-256).
The talk presents the project and shows how to use the Ada Keystore library to get or store secret information in a secure manner. The presentation explains how the Ada features such as types, protected types, tasks, pre/post conditions have helped during the development of this project.
Presentation of Ada Web Application made during the AdaCore Tech days 2019. The presentation describes the important components that AWA is made of and explain how they help in building a web application.
The document discusses the Ada Web Application (AWA) framework for building secure web applications in Ada. It addresses common security problems like validating user input, authenticating users, and authorizing access. AWA leverages Ada features like strong typing to validate data, and includes modules for OpenID authentication and policy-based authorization. It presents the AWA architecture and features that help developers address these security problems.
The presentation describes how Ada Database Objects helps in connecting to an SQLite/MySQL/PostgreSQL database from Ada. It explains how by mapping SQL tables in Ada records, it simplifies saving and updating database records and makes the application more safe and reliable. The presentation will briefly describe the Ada code generator (Dynamo) that is behind this.
Writing REST APIs with OpenAPI and Swagger AdaStephane Carrez
The presentation was held in the Ada devroom at the FOSDEM 2018.
The OpenAPI specification is an emerging specification to describe RESTful web services. The Swagger suite is a collection of tools to write such API descriptions and have the code generated in more than 29 languages, including Ada. The presentation will describe how to write a REST operation with OpenAPI, generate the Ada client with Swagger Codegen and use the generated code to interact with the server. We will also describe the generated Ada server code and how to implement the server side and run a complete REST server.
IP Network Stack in Ada 2012 and the Ravenscar ProfileStephane Carrez
The presentation was held at Ada Europe 2017 conference for the Industrial Sessions.
It describes the IPv4 network stack written in
Ada with the Ravenscar sfp profile. It describes the architecture
of the project, explains how network packets are sent and received. The presentation shows a use case with the EtherScope project. Several difficulties found when implementing the IP network stack with the Ravenscar sfp profile are explained with the solutions that were adopted.
5. https://github.com/stcarrez/ada-keystore 5
Pourquoi AKT?
● Plusieurs besoins :
– stocker les paramètres sensibles d’un serveur
écrit en Ada
– sauver des numéros de comptes, mots de
passe
– sauver des documents cryptés complets sans
exposer les clefs
6. https://github.com/stcarrez/ada-keystore 6
Pourquoi Ada?
● Ada n’est pas qu’un vieux langage : Ada 2012
● Ada n’est pas que pour les militaires, l’aviation
● Ada est fortement typé et détecte les erreurs de
programmation
● Moins de CWE
(Common Weakness Enumeration)
– Pas de buffer overflow (CWE 120)
8. https://github.com/stcarrez/ada-keystore 8
AKT: avec plusieurs clefs
Directory key
Master key block
Data info key
Data key key
Data keys
Data keys
Signature key
User password
GPG protected
key
Data fragment
Data fragment
Data fragment
Data fragment
Data fragment
Directory keys Encrypted Data
9. https://github.com/stcarrez/ada-keystore 9
AKT: des keystores récursifs
Directory key
Master key block
Data info key
Data key key
Data keys
Data keys
Signature key
Second key
First key
Directory keys
Directory key
Master key block
Data info key
Data key key
Signature key
10. https://github.com/stcarrez/ada-keystore 10
AKT: des blocs sans chaine
HMAC-256HDR
(1815-12-10)
(1852-11-27)
Ada
HMAC-256UUID
Storage
ID
HDR Data Storage Info + HMAC
Directory Name Entry Data block indexes & keys
HMAC-256HDR Data fragment info HMAC-256 Data Fragment
Header block
Directory block
Data block
Master key block
...
HMAC-256HDR Wallet info Key slot 1UUID Key slot 7...
4K
11. https://github.com/stcarrez/ada-keystore 11
AKT: protection des clefs (1)
Wallet master key slot N (512 bytes)
key slot Nsalt key N
HMAC
256
= ?
AES-256
CBC
Wallet Master Keys
(32 bytes) (240 bytes)
key key
(256 bits)
key IV
(128 bits)
dat key
(256 bits)
dat IV
(128 bits)
dir key
(256 bits)
dir IV
(128 bits)
Wallet master key block
AES-256
CBC
PBKDF2
HMAC
256
ctr slot N
(4 bytes)
Sign N HMAC
(32 bytes) (32 bytes)
PBKDF2
HMAC
256
(4 bytes)
salt IV N
(32 bytes)
HMAC-256HDR Wallet info Key slot 1UUID Key slot 7...
Wallet Header Key, wallet header IV, Block ID
User password NO, invalid
password
YES, valid password
dir sign
(256 bits)
dat sign
(256 bits)
key sign
(256 bits)
Key
IV
HMAC
256
= ?
NO, invalid
block
YES, valid block
Wallet Sign
12. https://github.com/stcarrez/ada-keystore 12
AKT: protection des clefs (2)
Wallet master key slot N (512 bytes)
key slot N
HMAC
256
= ?
AES-256
CBC
Wallet Master Keys
(240 bytes)
key key
(256 bits)
key IV
(128 bits)
dat key
(256 bits)
dat IV
(128 bits)
dir key
(256 bits)
dir IV
(128 bits)
Wallet master key block
AES-256
CBC
Sign N HMAC
(32 bytes) (32 bytes)
HMAC-256HDR Wallet info Key slot 1UUID Key slot 7...
NO, invalid
password
YES, valid password
dir sign
(256 bits)
dat sign
(256 bits)
key sign
(256 bits)
Key, IV
GPG2
GPG Private key
Header block
Key
(32 bytes)
IV
(16 bytes)
IV Key
(16 bytes) (32 bytes)
(1815-12-10)
(1852-11-27)
Ada
HMAC-256UUID
Storage
ID
HDR Data Storage Info + HMAC
Sign
(32 bytes)
HMAC
256
= ? NO, invalid
block
YES, valid block
header tag
(4 bytes)
13. https://github.com/stcarrez/ada-keystore 13
AKT: protection des clefs (3)
Directory block
AES-256
CBC
HMAC-256HDR ...
Directory Key, directory IV, Block ID HMAC
256
= ?
NO, invalid
block
YES, valid block
Directory Sign
Directory Name Entry Data block indexes & keys...
Per data fragment encryption keys
Name
(N bytes)
Entry ID
(4 bytes)
key
(256 bits)
IV
(128 bits)
Block NumStore ID
(4 bytes)(4 bytes)(4 bytes)
Entry ID
HMAC-256HDR Data fragment info HMAC-256 Data Fragment HMAC-256HDR Data fragment info HMAC-256 Data Fragment
14. https://github.com/stcarrez/ada-keystore 14
AKT : à retenir
● Plusieurs clefs AES-256 pour un même document
● Intégrité par HMAC-256 sur plusieurs niveaux
● Blocs avec des classes de sécurités différentes
● Partage sécurisé entre N participants (N<=7)
15. https://github.com/stcarrez/ada-keystore 15
AKT : création du Keystore
● Protection par mot de passe :
akt create ks.akt p admin
● Protection par GPG:
akt create ks.akt gpg user
● Protection par GPG et séparation des données:
akt create ks.akt split 10 gpg user
17. https://github.com/stcarrez/ada-keystore 17
AKT : protégez vos scripts
● But : protéger une clef d’API de type OAuth2:
akt set ks.akt api.key Ahn1kos8Ahn1k
● Utiliser akt get pour l’obtenir:
key=`akt get ks.akt api.key`
18. https://github.com/stcarrez/ada-keystore 18
AKT : pas de secret dans le code
● Intégration python
import subprocess
result = subprocess.run([‘akt’, ‘get’,
‘ks.akt’, ‘api.key’],
stdout=subprocess.PIPE)
key = result.stdout
19. https://github.com/stcarrez/ada-keystore 19
AKT : une sauvegarde sécurisée
● Création de la sauvegarde:
tar czf . | akt store ks.akt backup
● Extraction:
akt extract ks.akt backup | tar xzf
20. https://github.com/stcarrez/ada-keystore 20
AKT : un partage sécurisé
● Importer les clefs GPG des participants
● Création du keystore:
akt create ks.akt gpg keyid1 keyid2
● Chaque participant utilise sa propre clef GPG
privée
akt store ks.akt documents.zip
21. https://github.com/stcarrez/ada-keystore 21
AKT : évolutions
● Support de ChaCha20 (alternative à AES-256)
● Support de SmartCart/PKCS#11
● Scellement des blocs avec arbre de Merkle
● Intégration avec le Cloud dans GAKT
22. https://github.com/stcarrez/ada-keystore 22
Conclusion
● Pas de post-it pour les mots de passe
● Pas d’excuse pour les clefs d’API dans GitHub
● AKT pour crypter vos documents sur le Cloud !
● Disponible pour GNU/Linux, FreeBSD, NetBSD
● Open Source, Contributions Welcome !,
License Apache 2.0
● Documentation
– https://ada-keystore.readthedocs.io/en/latest/