Sécurité & zero-knowledge.
SSH Control Center est conçu pour que votre mot de passe principal et le contenu de votre coffre ne quittent jamais votre machine. Cette page documente les primitives cryptographiques et le threat model.
Primitives cryptographiques
- Dérivation de clé : Argon2id avec m = 64 MB, t = 3 itérations, p = 4.
- Chiffrement symétrique : AES-256-GCM avec IV aléatoires de 96 bits par payload.
- Étirement de clés : HKDF-SHA256 pour dériver des sous-clés de chiffrement et de MAC distinctes.
- Authenticator pour les sessions cloud : PBKDF2-SHA256 (100 000 itérations) salé avec l'email normalisé.
- Transport : TLS 1.3 avec HSTS pour toutes les requêtes cloud.
Threat model
Nous supposons que les attaquants suivants peuvent exister, et nous concevons en conséquence :
- Un opérateur cloud malveillant avec accès complet à la base de données.
- Un attaquant réseau passif observant chaque requête.
- Une dépendance tierce compromise, détectée par les vérifications d'intégrité.
- Un attaquant avec accès physique à un appareil verrouillé. (Contre un appareil déverrouillé totalement compromis, aucun chiffrement ne peut vous protéger.)
Pour chacun de ces scénarios, l'attaquant ne peut pas déchiffrer le contenu de votre coffre sans votre mot de passe principal, qui n'est jamais transmis, journalisé, ni stocké ailleurs que dans la mémoire de votre appareil.
Ce que le serveur voit
- Votre adresse email (utilisée pour router l'authentification).
- Un hash d'authentification dérivé Argon2id — jamais le mot de passe principal.
- Des blobs de ciphertext opaques représentant votre coffre chiffré, plus une version monotone.
- Des métadonnées d'audit grossières : qui, quoi, quand — jamais la sortie d'une commande ou l'identifiant utilisé.
Récupération
Parce que nous n'avons pas votre mot de passe principal, nous ne pouvons pas le réinitialiser pour vous. Si vous perdez à la fois votre mot de passe principal et votre kit de récupération, vos données sont définitivement irrécupérables. C'est la conséquence d'un vrai zero-knowledge, et c'est énoncé explicitement à la création du compte.
Divulgation responsable
Vous avez trouvé une vulnérabilité ? Envoyez un email à security@sshcontrolcenter.com avec une description claire et les étapes de reproduction. Nous accusons réception sous 72 heures.
Feuille de route
- WebAuthn / passkeys pour l'authentification principale.
- Audit de sécurité indépendant par un cabinet reconnu.
- SOC 2 Type 1 dans les 12 mois suivant le lancement commercial.
- Programme bug bounty privé.