Recherche testeurs pour app de messages ephemeres securises

[kevin le perf]

Salut amis baugeurs,

Je recherche des testeurs pour une app que je suis en train de finir. Le but? Permettre l'émission de message réellement éphémère sécurisés entre deux terminaux.

- Protocole?

L'appli génère pour chaque terminal un couple clé public/clé privé basé sur RSA 2048. Quand vous envoyez un message, vous chiffrez avec la clé de votre correspondant. En lisant le message, il déchiffre avec sa clé privée >> bref RIEN de nouveau

- L'échange de clé?

L'échange de clé se fait actuellement par beam (le p2p nfc android) vers le terminal cible des informations suivantes de votre terminal :

- la clé publique

- un indentifiant unique long et aléatoire identifiant votre terminal sur le serveur (faille: même si la chaine fait 256 caractères sur 56 possibilités ; cette chaine est soumise à : ne pas avoir de MITM, ne pas la divulguer - enfin vous la voyez pas sauf dans un sharedpreferences)

- le serveur que vous utilisez pour récupérer les messages

- le nom de votre terminal

le tout sous la forme d'une url donc dans l'absolue, suffirait que l'appli gère SIMPLEMENT les requetes http://monhote/..../lesparamètres

- L'envoi de messages?

Pour envoyer un message, choisissez le terminal et saisissez le message. En validant,le message est chiffré puis il est poussé vers le serveur cible sous la forme serveur/service/emetteur/receveur/message (base64 sur chaque element)

- Récupération de messages?

Pour récupérer vos messages, depuis le menu : update des messages pour savoir si des messages sont présents ou non.

- failles?

le fait de récupérer les messages avec l'identifiant uniquement pose un soucis de securite - je mets d'ici peu un autre type de requete :

- création automatique d'une deuxieme infos cachee (type cle privee) enregistrée avec l'identifiant dans le sharedpreference qui a chaque requete de recuperation, authentifiera le terminal (evite donc qu'un ami pouvant lire votre identifiant perso puisse récupérer des messages pour vous meme si il lui faudra en plus votre cle privee... et sur 2048bits, ce sera tout de meme long

  pourquoi je ne l'ai pas fait avant? A la base, je voulais faire en sorte que n'importe qui demande à utiliser un serveur, ne laisse jamais de traces autres que les messagesqui sont en attentes (anonymat) mais je me rend compte qu'il se pourrait qu'on utilise assez longtemps un serveur donné donc l'empreinte d'un terminal avec la demande peut rentrer en jeu mais le serveur devra se souvenir de celui-ci : moins d'anonymat!

- si vous en voyez d'autres, n'hesitez pas !

J'espère finir rapidement d'implémenter :

- le partage d'infos autrement que par nfc (je fais actuellement un filter sur data host/scheme/path ET nfc donc pas long à modifier)

- l'envoie de messages directement de pair à pair par sms (pourrait être lourd par contre! donc sms illimités seulement)

- virtualisation de réseau p2p2serveur (mélange de p2p et de serveurs d'information sur les noeuds) - ayant travaillé dessus, c'est faisable mais sera long à mettre en place

J'espère avoir quelques testeurs pour l'app, le code source sera dispo une fois tout terminé (comme d'habitude)

Kevin Le Perf

[kevin le perf]

je m'auto maj le thread avec la correction de la faille potentielle (pas mis ce que je voulais réellement avec handshake et challenge mais la portabilité est assurée et sécu présente) ainsi que le chargement par détection d'une url formattée avec les données publiques si l'application est installée

je peux maintenant travailler sur l'établissement du protocole par sms (légèrement différent pour simplifier la détection et faciliter la gestion par l'utilisateur) et toute la panoplie d'options depuis le clic sur l'option sms d'une fiche de contact :)

toujours à la recherche de testeurs

Kevin Le Perf

[kevin le perf]

Mise à jour du thread.

Un serveur tourne actuellement pour permettre l'utilisation du mode serveur (bien que l'app gère aussi un mode man in the middle : les actions de partage de texte affichent l'application vous permettant de d'abord chiffrer puis envoyer le message chiffré à une personne)

Voici les liens qui vous permettront de tester l'application et un sondage allant avec pour faire remontrer vos impressions

L'apk : https://docs.google.com/file/d/0B1Qs_rdqjtzeM2p6OWt6SXpSeG8/edit?usp=sharing

Le sondage : https://docs.google.com/forms/d/1_NlPuj7TvK6Q1olrbQ3yKFSlI9LyUpYpWokLW23mqhU/viewform

Petit guide pour le test : voir ce que vous en pensez (interface, options), les idées qui peuvent vous venir à l'esprit, des crashs potentiels

et surtout, si vous ne voyez pas comment faire telle ou telle action, n'hésitez pas (permettra de voir à ce que je change la forme, contenu)

--
Vous recevez ce message car vous êtes abonné à un sujet dans le groupe Google Groupes "Bordeaux Android User Group".
Pour vous désabonner de ce sujet, visitez le site https://groups.google.com/d/topic/bordeaux-android-user-group/1bFZZJyhqaU/unsubscribe.
Pour vous désabonner de ce groupe et de tous ses sujets, envoyez un e-mail à l'adresse bordeaux-android-us...@googlegroups.com.
Pour plus d'options, visitez le site https://groups.google.com/groups/opt_out .
 
 

[kevin le perf]

(erf saleté de shortcut...)

Pour partager les informations : vous pouvez utiliser beam, le partage via l'actionbar ou le menu principal.

Pour envoyer des messages, plusieurs possibilités :

- une fois des devices enregistrés, vous pouvez écrire un message directement depuis l'app

- envoyer des messages via d'autres applications quand elles vous proposent l'option "partager"

pour obtenir des messages :

- soit récupérer depuis le serveur sur lequel vous êtes (n'oubliez pas de vous enregistrer dans les paramètres) depuis l'actionbar de l'app

- soit en récupérant un lien avec un message à déchiffrer qui proposera de lancer l'application : choisissez l'app et non le navigateur pour lancer le déchifrement

Merci beaucoup à vous tous ;)

j'attent tous vos retours!

Cdlt,

Kevin Le Perf