Veracrypt vs Gostcrypt

PUBLISHED ON OCT 6, 2015 — FOSS, SECURITY

Disclaimer : Je ne suis pas cryptographe ! La suite de l’article ne représente qu’un travail de recherche.

TrueCrypt et son héritage

Après la mort du logiciel de chiffrement TrueCrypt, plusieurs initiatives ont été lancées pour reprendre le code source.

En effet, développé pendant plusieurs années par des développeurs anonymes, TrueCrypt est devenu l’un des logiciels de chiffrement de données le plus sûr et le plus utilisé. Il a même obtenu une certification de premier niveau par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Informations).

Cependant, fin mai 2014, le site web du logiciel change. Une page HTML basique indique aux visiteurs que TrueCrypt n’est plus sûr et que cette page n’est présente que pour aider les utilisateurs à migrer vers le logiciel BitLocker de Windows.

C’est un choc pour la communauté hacker et hacktiviste.

Heureusement, plusieurs personnes avaient sauvegardé les codes sources des dernières versions de TrueCrypt. Ces personnes ont donc placé les sources sur des dépôts qui sont alors rendus publiques.

Cependant, un doute plane sur le logiciel. Bien qu’il soit considéré comme sûr par beaucoup de personnes et qu’il soit certifié par l’ANSSI, le doute persiste.

Un appel aux dons est donc lancé pour réaliser un audit public du code source.

Après plusieurs mois d’audit, le résultat tombe : il n’y a pas de faille critique permettant le déchiffrement des containers. Quelques failles sérieuses mais aucune qui pourrait expliquer l’arrêt brutal du développement.

Bref, depuis mai 2014, des développeurs reprennent les sources de TreuCrypt pour créer des alternatives.

Actuellement, deux alternatives françaises sont assez populaires et je vais faire un rapide résumé de ces deux projets.

VeraCrypt : un TrueCrypt boosté aux stéroïdes

Développé par un seul codeur de la société IDRIX, Veracrypt reprend les sources de TrueCrypt, renforce la sécurité et corrige les failles de sécurité mises en avant par l’Open Crypto Audit Project.

Histoire

Le projet VeraCrypt commence en 2013 et est développé par Mounir Idrassi. Suite à l’abandon de TrueCrypt, le “side-project” du développeur prend de l’importance. De nombreux utilisateurs cherchent une alternative à l’ancien TC. Par conséquent, le développement de VeraCrypt reprend sérieusement et la version 1.0 sort le 4 septembre 2014.

Depuis, le projet avance …

Les failles de sécurité dévoilées par l’audit de TrueCrypt sont corrigées rapidement et VeraCrypt est maintenant disponible à la version stable 1.15.

Détails techniques

Niveau algorithmes de chiffrement, rien de nouveau par rapport à TrueCrypt. Il y a :

  • AES
  • Serpent
  • Twofish (Évolution du Blowfish)
  • AES – Twofish
  • AES – Twofish – Serpent
  • Serpent – AES
  • Serpent – Twofish – AES
  • Twofish – Serpent

Niveau interface, vous ne serez pas dépaysé, c’est TrueCrypt.

Statistiques

Veracrypt possède une communauté assez développée. Un avantage du projet, c’est que le code source est disponible sur les sites de partages de code les plus populaires (Github, CodePlex, SourceForge).

Ainsi, il y a déjà beaucoup de retours. Au total, c’est plus 320 problèmes ou questions qui ont été déposés sur les différents sites.

À l’heure où j’écris ces lignes, le logiciel atteint presque 200 000 téléchargements sur CodePlex et 120 000 sur SourceForge.

Conclusion

VeraCrypt est donc un projet intéressant. Je pense qu’il est parfait pour les anciens utilisateurs de TrueCrypt qui veulent un logiciel “sûr” pour continuer de protéger leurs fichiers.

Il n’est pas différent de son grand frère, il est juste plus robuste.

GostCrypt : un TrueCrypt à la russe

Développé par l’Université des Sciences Appliquées d’Amsterdam, le Bauman Moscow State Technical University et le Laboratoire de Cryptologie et de Virologie Opérationnelles ESIEA à Laval, GostCrypt reprend les sources de TrueCrypt, supprime ses implémentations des algorithmes de chiffrement et implémente l’algorithme de chiffrement russe : GOST.

Histoire

C’est sous l’impulsion d’Eric Filiol que le développement de GostCrypt commence en 2013. En voulant rendre hommage à TrueCrypt, Eric Filiol reprend le code source de la version 7.1a mais change une partie majeure : les algorithmes de chiffrement.

Selon lui, les algorithmes les plus utilisés aujourd’hui on deux faiblesses.

La première vient du fait que la plupart de ces algo proviennent du concours AES. Ce concours a été organisé en 1997 par le gouvernement américain dans le but de trouver un algorithme de chiffrement suffisamment robuste pour être utilisé jusqu’en 2050. Plusieurs algorithmes ont été sélectionné dont Rijndael (futur AES), Twofish ou encore Serpent. Selon Eric Filiol, étant donné qu’ils sont tous basés sur les mêmes standards mathématiques, si AES tombe, tous les autres algorithmes (Twofish, Serpent, etc…) tombent.

La seconde est que Eric Filiol soupçonne que la NSA est réussi à casser AES ou aurait réussi à trouver des backdoors mathématiques dans cet algorithme. C’est pour cette raison que l’utilisation d’AES aurait été autant encouragé par les États-Unis. Cependant, rien n’a jamais été prouvé et les cryptologues continuent de promouvoir AES.

Quoi qu’il en soit, il a décidé que, pour une meilleure sécurité, il faillait offrir une plus grande variété d’algorithmes de chiffrement à l’utilisateur.

De cette idée est né GostCrypt.

Après avoir supprimer toutes les formes d’AES dans le code source de TrueCrypt, la GostCrypt team démarre l’implémentation de l’algorithme GOST. Cet algorithme a la particularité de ne pas être d’origine américaine mais russe. Mais je détaillerais tout cela après.

Aujourd’hui, GostCrypt est utilisable. Seul un algorithme GOST amélioré est disponible mais l’équipe prévoit l’implémentation d’autres méthodes de chiffrements (suisses, françaises et belges).

Détails techniques

GostCrypt implémente un algorithme russe du nom de GOST 28147-89. C’est algorithme par chiffrement par bloc. Il a été créé par et pour la Russie ce qui, pour Eric Filiol, est un signe que cet algorithme est plus sûr qu’AES. En effet, on voit mal un gouvernement faire un algorithme de chiffrement pour leur propre sécurité et inclure des backdoors mathématiques.

GOST 28147-89 est un algorithme de chiffrement équivalent au DES américain cependant GostCrypt implémenterai une version plus robuste de l’algorithme russe.

Si on recherche un peu d’informations à propos de l’algorithme GOST 28147-89, on voit qu’il a été développé en 1970 et qu’il a été marqué “Top Secret”. Puis, en 1990, il a été descendu au grade de “Secret” pour être enfin déclassifié en 1994.

Contrairement à DES, GOST 28147 n’a pas subi beaucoup de cryptanalyse. Il n’a donc été que très peu éprouvé.

L’équipe de GostCrypt affirme que leur implémentation de Gost est sûre et réfute les résultats du processus de standardisation ISO : > Il a même été rejeté du processus de standardisation ISO en 2012 du fait d’allégations non reproductibles et irréalistes de soi-disant faiblesse.

Enfin, il me semble important de préciser qu’Éric Filiol a travaillé sur une bibliothèque de chiffrement (mais pas vraiment) qui a pour but, en gros, de chiffrer des messages mais de faire en sorte que le décryptage soit faisable en quelques jours par un état.

Donc, pour lui, AES est dangereux parce que la NSA pourrait décrypter les données des utilisateurs. Mais en même temps, il a créé une librairie pour prôner le fait que les états puissent décrypter les messages des utilisateurs …

Statistiques

J’étais parti pour faire un fight de statistiques entre VeraCrypt et GostCrypt mais finalement j’ai découvert que GostCrypt ne fournissait aucune statistique. Sur NoLimitSecu, Éric Filiol affirme que son logiciel a été téléchargé plusieurs centaines de milliers de fois mais je n’ai trouvé aucune statistique.

De la même manière, la Team GostCrypt encourage le création d’une communauté autour du projet mais il n’y a rien pour.

Un repo Github mais où il n’y même pas le code source du logiciel GostCrypt. Pas de SourceForge, pas de GoogleCode, pas de CodePlex. Les sources sont seulement disponible sur leur site.

C’est, selon moi, un problème majeur de cette initiative.

Conclusion

Le projet GostCrypt est assez original. Il propose une alternative aux algorithmes de chiffrement habituels mais manque cruellement d’une communauté. D’après quelques posts sur des blogs et forums, la confiance dans l’algorithme principal derrière GostCrypt est très faible.

Personnellement, je serais content de voir le projet grandir. Plus le nombre d’utilisateurs va grandir, plus les hackers et les développeurs chercheront à éprouver le logiciel et l’algorithme GOST.

Pour l’instant, j’ai encore des doutes …

Et les autres ?

Ben oui, les alternatives à TrueCrypt sont nombreuses. Certaines sont plus évoluées que les autres. Je vais vous présenter rapidement les autres projets avec leurs avantages et leurs faiblesses mais qui pourrait remplacer TrueCrypt.

  • CipherShed

    • Une bonne communauté qui remonte les bugs et améliore le logiciel régulièrement
    • Aucune version stable n’est encore disponible
  • RealCrypt

    • Créé par la communauté Fedora, c’est un fork complet de TrueCrypt mais 100 % libre.
    • Le binaire est disponible seulement sur quelques distributions GNU/Linux
  • Zed !

    • Développé par une entreprise et certifié par l’ANSSI avec la qualification de niveau standard
    • C’est un logiciel propriétaire. Faire confiance à ce logiciel, c’est faire une confiance aveugle !

Et maintenant, qu’est ce qu’on fait ?

Une question légitime pour une réponse simple : bidouillez ! TrueCrypt est un vieux projet, il a été maintes fois éprouvés. Ses forks ne l’ont pas été. Ils sont récents et même s’ils récupèrent la base de leur grand frère, les différents développeurs ont mis leurs pattes dans le code pour corriger les failles de sécurité dévoilées par l’Open Crypto Audit Project ou pour ajouter des fonctionnalités. Lors de ces modifications, il est possible que de nouveaux bugs est été créés.

Alors, bidouillez, testez, remontez les bugs, cassez, développez. Ces forks ont besoin d’être éprouvés pour qu’on puisse se sentir en sécurité.

Si vous avez des questions, des remarques, si vous pensez que je dis n’importe quoi ou que vous avez d’autres informations à propos des logiciels détaillés plus haut, n’hésitez pas à écrire un commentaire !