Comment ça fonctionne
Canium utilise MLS (Message Layer Security, RFC 9420) — le standard IETF pour la messagerie sécurisée en groupe de nouvelle génération — comme pile de chiffrement unique pour toutes les communications : canaux et messages directs.
Votre mot de passe ne quitte jamais votre appareil
Canium utilise OPAQUE (RFC 9807), un protocole d'authentification par mot de passe dans lequel le serveur ne reçoit jamais votre mot de passe — pas même sous forme hachée. Le serveur détient un enregistrement cryptographique inutile sans le mot de passe, et un blob de matériel de clé chiffré inutile sans la clé de session OPAQUE produite par votre mot de passe. Les deux moitiés sont sans valeur isolément.
Une violation de la base de données du serveur ne révèle rien sur le mot de passe ou les clés dérivées d'un utilisateur.
Clés de chiffrement dérivées sur votre appareil
Lors de la connexion, votre appareil dérive un secret racine entièrement en local. Toutes les clés de chiffrement du système découlent de ce secret. Le serveur ne voit jamais ce secret.
La dérivation étant déterministe et limitée à l'utilisateur, chaque appareil sur lequel vous vous connectez produit les mêmes clés à partir du même secret racine. Il n'y a pas d'enregistrement de clé par appareil, pas de cérémonie de synchronisation.
Chiffrement de groupe MLS
Chaque canal Canium — y compris les messages directs — est un groupe MLS. MLS est un protocole cryptographique pour la messagerie sécurisée en groupe à grande échelle, standardisé par l'IETF en 2023. Il fournit :
- Chiffrement de bout en bout — les messages sont chiffrés sur l'appareil de l'expéditeur et déchiffrés uniquement sur les appareils des destinataires. Le serveur ne stocke que du texte chiffré.
- Confidentialité persistante — la compromission des clés actuelles n'expose pas les messages passés.
- Sécurité post-compromission — après qu'un appareil est compromis et retiré d'un groupe, les messages futurs sont cryptographiquement inaccessibles à cet appareil.
- Chiffrement post-quantique — tout l'établissement de clés de groupe MLS utilise un mécanisme d'encapsulation de clé hybride post-quantique : le combinateur X-Wing, qui associe le X25519 classique au ML-KEM-768, le KEM post-quantique normalisé par le NIST. Un attaquant qui enregistre le trafic Canium aujourd'hui ne pourra pas le déchiffrer rétroactivement avec un futur ordinateur quantique — l'attaque « récolter maintenant, déchiffrer plus tard » est fermée. Les enveloppes de divulgation et récupération (DRA) utilisent la même construction hybride. Nous l'avons adopté avant la normalisation finale des suites post-quantiques par l'IETF, délibérément — les composants KEM eux-mêmes sont normalisés, et attendre aurait laissé le trafic enregistré exposé.
Messages directs — La même pile, sans exception
Les messages directs dans Canium sont des groupes MLS à 2 personnes. Ils utilisent la machinerie cryptographique identique aux canaux — même dérivation de clé, même schéma de chiffrement, mêmes chemins de récupération, même aveuglement du serveur. Il n'existe pas de système cryptographique DM séparé avec son propre modèle de menace. Une seule pile de chiffrement, appliquée de manière cohérente.
Ce que le serveur ne voit jamais
| Élément | Accès serveur |
|---|---|
| Mots de passe utilisateurs | Jamais — protocole OPAQUE |
| Secret racine (clé maîtresse) | Jamais — dérivé côté client uniquement |
| Clé de session OPAQUE | Jamais — éphémère, côté client uniquement |
| Clés de canaux MLS | Jamais — dérivées côté client via export MLS |
| Matériel de clé privée MLS | Jamais — le serveur ne détient que les portions publiques |
Multi-appareils — Zéro friction
Toutes les clés dérivant de manière déterministe à partir du secret racine, l'ajout d'un nouvel appareil consiste simplement à se connecter. Pas de ré-enrôlement cryptographique des canaux existants, pas de renouvellement d'époque. Votre état de chiffrement est entièrement portable via vos seules informations d'identification.