Inclus dans la bibliothèque HeavyThing, Toplip est un petit binaire qui permet de faire du chiffrement en AES256 directement depuis la ligne de commande. Sous licence libre, Toplip propose quelques fonctionnalités intéressantes comme celle de « déni possible » qui consiste à pouvoir déchiffrer sans risque l’archive, sans que celle-ci ne soit compromettante. Ça fonctionne un peu comme avec TrueCrypt. Pour cela, il faut chiffrer ensemble 2 fichiers. Le premier, qui sera celui à protéger et le second, qui ne sera pas vital. Ensuite, 2 phrases de passe vous seront alors demandées et un seul fichier chiffré sera généré.
./toplip -alt leurre levrai > chiffre
This is toplip v1.12 © 2015 2 Ton Digital. Author: Jeff Marrison
A showcase piece for the HeavyThing library. Commercial support available
Proudly made in Cooroy, Australia. More info: https://2ton.com.au/toplip
levrai Passphrase #1: generating keys…Done
leurre Passphrase #1: generating keys…Done
Encrypting…Done
En fonction de la phrase de passe utilisée, Toplip déchiffrera l’un ou l’autre des documents. Et comme il n’y a aucun marqueur reconnaissable dans les fichiers générés, il est impossible de prouver l’existence de ce deuxième document chiffré dans le premier.
Toplip propose aussi de planquer ses fichiers chiffrés dans des images (stéganographie) ou de mettre plusieurs phrases de passe sur un même fichier. Ainsi, il sera encore plus résistant à toutes attaques de type bruteforce.
D’ailleurs en parlant de bruteforce, le mécanisme de chiffrement utilisé par Toplip rend tout déchiffrement impossible avec le matos actuel, même si vous n’utilisez qu’une seule phrase de passe.
The original design intention of scrypt was to « make it costly to perform large-scale custom hardware attacks… » Building upon this theme, we provide command line options to increase the initial and final output stage of scrypt’s PBKDF2 iteration counts. In addition to the aforementioned multiple passphrase protection, we chose to additionally mix in TLSv1.2 PRF or HMAC_DRBG to the scrypt output material, and finally we perform a substantial amount of « one-way » AES256 key material operations. The end result of our efforts in this regard mean that even with the default settings, fast brute forced based passphrase attacks are not possible with today’s hardware.
Le binaire fonctionne uniquement sous Linux, mais comme les sources sont disponibles, j’imagine qu’il est possible de leur porter sur d’autres systèmes d’exploitation. En tout cas, c’est un outil qui a l’air bien puissant et qui mérite qu’on s’y intéresse un peu.