『Teknik - Doxxing-proof authentic digital media - trust the asset, protect the source (nsec) - Parce que... c'est l'épisode 0x308!』のカバーアート

Teknik - Doxxing-proof authentic digital media - trust the asset, protect the source (nsec) - Parce que... c'est l'épisode 0x308!

Teknik - Doxxing-proof authentic digital media - trust the asset, protect the source (nsec) - Parce que... c'est l'épisode 0x308!

無料で聴く

ポッドキャストの詳細を見る
Parce que… c’est l’épisode 0x308! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial enregistré en marge de la conférence NorthSec, Christian Paquin, cryptographe chez Microsoft Research et ancien étudiant de Gilles Brassard à l’Université de Montréal, présente ses travaux sur la provenance des actifs numériques et sur une approche permettant de concilier authenticité du contenu et protection de l’identité de son créateur. Le problème : désinformation et perte de confiance Avec la prolifération de l’intelligence artificielle générative, il devient de plus en plus difficile de distinguer le contenu authentique du contenu fabriqué. Pour répondre à ce défi, l’industrie s’est rassemblée autour de la C2PA (Coalition for Content Provenance and Authenticity), un protocole qui permet de signer numériquement images, vidéos, fichiers audio et même textes afin d’en tracer l’origine et toutes les transformations subies. Le principe repose sur la cryptographie à clé publique, la même que celle utilisée pour sécuriser le web (HTTPS). Une caméra signe une photo avec une clé privée intégrée à l’appareil ; chaque transformation ultérieure (retouche, redimensionnement, republication sur un réseau social) invalide la signature précédente et nécessite une nouvelle signature de la part de l’éditeur responsable. On obtient ainsi un historique complet, dit « écran à écran », de la création jusqu’à la consommation du contenu. Si seule la dernière signature est généralement vérifiée, l’historique des transformations antérieures peut être conservé, soit en clair, soit de façon compressée grâce à des preuves à divulgation nulle de connaissance (zero-knowledge proofs). Cette norme est déjà largement adoptée : OpenAI signe ses images générées, Sony intègre la fonctionnalité dans certains appareils photo, Google l’offre sur ses téléphones Pixel, et Adobe ainsi que Microsoft l’intègrent à leurs outils. Le dilemme : authenticité contre anonymat Le problème, souligne Christian Paquin, est que cette forte authentification crée un lien direct entre le contenu et l’identité de son auteur. Or, dans plusieurs contextes, cette traçabilité pose un risque réel : journalistes couvrant des zones de conflit qui pourraient être identifiés et visés par un régime hostile, lanceurs d’alerte révélant des pratiques répréhensibles, ou artistes souhaitant publier anonymement tout en prouvant que leur œuvre leur appartient bel et bien. Dans ces cas, on souhaite prouver qu’un contenu provient d’une source légitime (par exemple, un journaliste affilié à une organisation reconnue) sans révéler de quel individu précis il s’agit. Deux solutions simples, mais limitées Deux approches rudimentaires existent déjà dans l’écosystème C2PA. La première consiste à utiliser un certificat auto-émis, à la manière de PGP : on publie sa propre clé publique pour que d’autres puissent vérifier le contenu, mais cela ne permet pas à un tiers de valider une affiliation institutionnelle (par exemple, confirmer qu’une personne travaille bien pour telle agence de presse). La seconde consiste à utiliser des certificats à très courte durée de vie, voire à usage unique, comme le fait Google sur ses téléphones Pixel, qui émet un nouveau certificat pour chaque photo prise. Cette méthode empêche les plateformes de lier différentes publications à un même utilisateur, mais exige de faire confiance à l’émetteur (ici Google) pour ne pas conserver de journal reliant les certificats entre eux. Les techniques cryptographiques avancées Pour résoudre ce dilemme sans dépendre de la confiance envers un tiers, Christian Paquin a développé un prototype open source combinant deux techniques. La première remplace les signatures classiques (RSA, ECDSA) par des signatures dites « randomisables », notamment l’algorithme BBS, actuellement en voie de standardisation à l’IETF. Ces signatures permettent de prouver qu’un certificat appartient bien à une hiérarchie de confiance donnée (par exemple, celle de Google ou de Radio-Canada) sans révéler les éléments uniques qui permettraient de relier plusieurs signatures à une même personne. La deuxième technique utilise des preuves à divulgation nulle de connaissance. Plutôt que d’inclure le certificat directement dans le fichier signé, on y insère une preuve démontrant que la signature a été générée correctement, que le certificat utilisé a bien été émis par une autorité reconnue, et qu’il était valide au moment de la signature, ...
adbl_web_anon_alc_button_suppression_t1
まだレビューはありません