Le coffre-fort numérique certifié CSPN par l'ANSSI.

Le mot de passe défini par l’utilisateur lors de la création de son compte qui lui servira à se connecter à la plateforme LockSelf est stocké en base de données après avoir été hashé.

Le code PIN défini par l’utilisateur à la création de son compte n’est pas stocké en base de données, il n’est utilisé qu’à la génération des clefs RSA pour chiffrer la clef privée de l'utilisateur avant son stockage en base de données.

LockPass est un outil intégré à LockSelf permettant le stockage et la sécurisation d’un couple d’identifiant login/mot de passe.

Les mots de passe sont chiffrés asymétriquement en utilisant la paire de clefs RSA de chaque utilisateur.

Les fichiers gérés via LockTransfer sont chiffrés symétriquement en AES256 CBC à l’aide d’une passphrase et du mot de passe choisit par l’expéditeur.

Les fichiers stockés dans LockFiles sont chiffrés symétriquement en AES256 CBC à l’aide d’une passphrase.

Tous les échanges réseau entre le serveur LockSelf et les clients qui s'y sont connectés se font au travers du protocole HTTPS en TLS 1.2 au minimum.

L’utilisation de HSTS permet de forcer l’utilisation du HTTPS et de bloquer toute communication se faisant en HTTP ou avec un certificat auto signé.

Chaque utilisateur de LockSelf doit s’authentifier via une double authentification pour pouvoir accéder aux données qui lui sont destinées.

La deuxième étape de cette authentification fait appel à un déchiffrement de la clef privée RSA de l’utilisateur pour valider son authentification.

Chaque utilisateur bénéficie d’une paire de clefs RSA de 2048 bits unique générée à la création de son compte, par un appel au paquet précompilé OpenSSL.

La clef privée de cette paire générée est chiffrée avant le stockage en base de donnée en AES 256 CBC en utilisant des salt et en incluant, entre autre, le code PIN choisi par le client correspondant à la deuxième étape d’authentification à LockSelf.

Chaque fichier stocké sur LockSelf est chiffré en AES256 CBC via un appel au binaire précompilé OpenSSL.

Le mot de passe défini par l’utilisateur est inclus dans la passphrase et est hashé en blowfish avant d’être stocké en base de données pour être vérifié lors de l'authentification de l'utilisateur.

Les mots de passe stockés par l’utilisateur dans l’outil LockPass sont chiffrés en utilisant la clef publique RSA de chaque utilisateur.

Ils sont déchiffrés en déchiffrant dans un premier temps la clef privée de l’utilisateur, puis en déchiffrant le mot de passe lui-même à l’aide de la clef privée de l’utilisateur.

Le serveur LockSelf utilise TLS 1.2 au minimum pour le HTTPS.

Toute connexion HTTP est forcée vers le HTTPS.

Le serveur TLS repose sur un serveur web Apache2 (version issue des dépôts Ubuntu) et n’accepte que les connexions sur le port 443.

L’accès à LockSelf se fait par une double authentification. Un login/mot de passe est d’abord demandé, et s'il est correct, le code PIN de 6 chiffres est demandé.

L’accès aux données chiffrées est conditionné par la connaissance du PIN pour déchiffrer la clé privée RSA de l’utilisateur.