À propos de la sécurité du Nano

Un journal de vol n'a de valeur que si vous pouvez avoir confiance qu'il n'a pas été altéré, ce qui est d'autant plus important pour les records et les compétitions. Le Nano est conçu pour que les données qu'il produit puissent être prouvées authentiques, et pour que son fonctionnement ne puisse pas être discrètement modifié. Deux éléments de cryptographie bien établis font le travail lourd : le chiffrement AES-256 protège le firmware, et une signature numérique Ed25519 protège chaque journal de vol.

Le programme qui exécute le Nano, son firmware, est stocké sur la puce chiffré avec AES-256, le même standard que les gouvernements et les banques utilisent pour protéger les informations sensibles. Le Nano ne fonctionnera que avec un firmware chiffré approprié, ce qui rend impossible de charger un programme modifié ou non officiel sur celui-ci, ni de relire le firmware depuis la puce sous une forme utilisable.

Cela importe pour deux raisons. Cela protège notre travail d'être copié, mais plus important encore pour vous, cela protège la clé de signature privée qui garantit vos journaux de vol, décrite ci-dessous. Cette clé réside à l'intérieur du firmware chiffré, elle ne peut donc pas être extraite de l'appareil et utilisée pour falsifier des journaux.

AES-256 n'est pas quelque chose qui peut être force brute. Une clé de 256 bits a environ 1,2 suivi de 77 zéros comme valeurs possibles, et les essayer toutes est tellement au-delà de toute puissance informatique actuelle ou prévisible qu'on la considère comme impossible. Même si chaque ordinateur de la planète travaillait ensemble en testant des milliards de clés par seconde, il faudrait encore vastement plus longtemps que l'âge de l'univers pour en parcourir une fraction significative, et il n'existe aucun raccourci connu qui change cela.

Chaque journal de vol que le Nano sauvegarde est scellé avec une signature numérique utilisant Ed25519, un schéma de signature moderne utilisé pour sécuriser le trafic web, l'accès secure shell (SSH) et les applications de messagerie comme Signal. Cela fonctionne en deux étapes.

D'abord, une empreinte. SHA-256 lit l'intégralité du journal et le réduit à une seule valeur de 256 bits. Modifiez ne serait-ce qu'un caractère n'importe où dans le fichier et cette empreinte sort complètement différente. N'importe qui peut calculer cette empreinte ; en elle-même, elle résume simplement les données.

Ensuite, une signature. Le Nano signe cette empreinte avec une clé privée conservée à l'intérieur de son firmware chiffré. Une signature valide ne peut être créée qu'avec la clé privée, mais elle peut être vérifiée par quiconque détient la clé publique correspondante. Les deux clés sont liées mathématiquement, pourtant la clé privée ne peut pas être déduite de la clé publique. C'est ce qui transforme l'empreinte en une véritable signature plutôt qu'une simple somme de contrôle.

En pratique cela signifie :

• Si un journal est modifié de quelque façon après que le Nano l'écrive, son empreinte change, la signature ne correspond plus, et le journal est rejeté.
• Seul un vrai Nano peut produire une signature valide, car seul lui détient la clé privée, donc un journal modifié ou inventé ne peut pas être signé pour passer comme réel.
• Nos serveurs Altimeter Cloud ne détiennent que la clé publique, jamais la clé privée. Même si nos serveurs était jamais compromis, il n'y aurait rien là qui pourrait être utilisé pour falsifier un journal.
• Parce que vérifier un journal ne nécessite que la clé publique, un journal peut être vérifié indépendamment — un officiel de compétition peut confirmer qu'il est authentique sans dépendre de nous.

Les données signées sont l'intégralité du fichier, incluant votre numéro de série d'appareil et vos tags de compétiteur et d'appareil, donc aucun de ceux-ci ne peut être échangé ou modifié après le vol non plus. Quand vous téléchargez un journal sur l'Altimeter Cloud, notre serveur recalcule l'empreinte et vérifie la signature par rapport à la clé publique. Une signature valide confirme que le journal est authentique et inédité ; tout le reste est rejeté.

La force de la signature du journal repose sur le fait que la clé privée reste sur l'appareil, et c'est exactement ce que le chiffrement du firmware garantit. La clé est scellée à l'intérieur du firmware chiffré. Elle n'apparaît jamais sur le lecteur USB ou dans le journal, et parce que le Nano refuse d'exécuter un firmware non chiffré, il n'y a aucun moyen de charger un programme modifié qui pourrait la divulguer ou signer de fausses données. Les deux protections se renforcent mutuellement : le chiffrement garde la clé privée hors de portée, et la signature utilise cette clé pour garantir chaque journal — tandis que la moitié publique, qui est tout ce dont quiconque a besoin pour vérifier, peut être partagée librement.

À la fois AES-256 et Ed25519 sont des standards ouverts, publiés qui ont été intensément étudiés et sont de confiance pour sécuriser des choses comme la banque en ligne, le trafic web sécurisé et l'accès secure shell. Il n'y a pas de moyen pratique connu de casser l'un ou l'autre. Associé à une clé privée qui ne peut pas être atteinte, cela rend un journal de vol du Nano quelque chose derrière lequel vous pouvez vraiment vous tenir, que vous cherchiez un meilleur résultat personnel ou que vous soumettiez un résultat officiel de compétition.