Website: http://www.finalcrypt.org From the website: “Today's cyber espionage comes from hidden spyware waiting for you to unlock your drive. Disk Encryption no longer protects! Even when you're logged on, unopened files have to remain encrypted. Only File Encryption stops spyware reading your files. Also, most crypto software uses broken AES or asymmetric crypto soon broken by The Shor's Algorithm with Quantum Computers. This cyber espionage pandemic has to be stopped by unbreakable One-Time Pad File Encryption. That is why ‘FinalCrypt’ was built.” Finalcrypt is, by all accounts, something amazing. It follows the Unix philosophy of doing one thing and doing it well. The main problem of cryptography is getting your “key” from one person to another, without it being intercepted. Hence our current shared key cryptography. What if you do not need to give the key to anyone? Now this becomes a real secret. (A secret is something only you know). One-time pad, (https://en.wikipedia.org/wiki/One-time_pad ) is what you are looking for, and this is what Finalcrypt is all about. Finalcrypt is the brain-child of Rob de Jong, who is also the programmer and project maintainer.
Site Web : http://www.finalcrypt.org
Du site Web : « De nos jours, le cyberespionnage arrive via des logiciels espion qui attendent le déverrouillage de votre disque. Le Disk Encryption (le chiffrement du disque) ne protège plus ! Même quand vous vous êtes connecté, il faut que les fichiers fermés restent cryptés. C’est uniquement le chiffrement des fichiers qui empêche les logiciels espion de lire vos fichiers. De plus, la plupart des logiciels de cryptage utilisent de l’AES ou du chiffrement asymétrique qui sont rapidement percés par l’algorithme de Shor avec des Ordinateurs quantiques. Il faut que cette pandémie de cyberespionnage soit arrêtée par le cryptage de fichiers avec le procédé de cryptage par Clé/Pad à Usage Unique (One-Time Pad – masque jetable – File Encryption). C’est la raison pour laquelle “FinalCrypt” a été créé. »
De toute évidence, Finalcrypt est quelque chose d’époustouflant. Il adopte la philosophie Unix qui est de faire une seule chose et de la faire bien. Le problème majeur de la cryptographie est l’envoi d’une « clé » d’une personne à une autre sans qu’elle soit interceptée, d’où la cryptographie actuelle de clé partagée. Mais quid si vous n’avez pas besoin de donner votre clé à quelqu’un d’autre ? Maintenant, ça devient un vrai secret (un secret est quelque chose connu uniquement de vous). Le masque jetable (https://fr.wikipedia.org/wiki/Masque_jetable) est ce que vous recherchez et c’est de cela que FinalCrypt s’agit. FinalCrypt est l’invention de Rob de Jong, qui est également le programmeur et le mainteneur du projet.
Continuing our series of interviews with open source heroes, in this issue we would like to introduce you to the brilliant creator behind Finalcrypt, Ron de Jong. I asked Ron for an interview and he very kindly accepted to answer my questions. Q: Ron, thank you very much for your time. First, can you tell us something about yourself? How old are you? Where do you live? What do you do for a living? Where did you study? A: In September, I’ll be celebrating my 50th birthday; living in Zaandijk (close to Amsterdam) in The Netherlands. At 13, I started programming (Atari 600XL) and became fascinated and obsessed with programming, but dropped out of school at 15 when my father suddenly passed away. Later, I picked up and finished Telematics & LAN Management education, and started working for 15 years as a UNIX Systems & Software Engineer for international Telecom, Internet & IT companies. A period of intense work and training, combining programming and systems engineering, allowing me to start contracting from 2006. After 2008, things went downhill, and, in 2012, I ended my paid career realizing I could no longer function without severe stress in bright light, noisy, social and commercial environments, and in 2013 I was diagnosed with (severe) Autism (Asperger), and decided to retreat in rest-contributing society from home (in an autism friendly way) – developing Free OpenSource (Human Rights) Software.
Nous poursuivons notre série d’entretiens avec des héros de l’Open Source en vous présentant dans ce numéro le créateur brillant derrière Finalcrypt, Ron de Jong. Quand je le lui ai demandé, il a très aimablement accepté de répondre à mes questions.
Q : Ron, merci beaucoup pour le temps que vous nous accordez. D’abord, pouvez-vous nous parler un peu de vous-même ? Quel âge avez-vous ? Que faites-vous pour gagner votre vie ? Où avez-vous fait vos études ?
R : Je viens de fêter mon 50e anniversaire (en septembre) et j’habite à Zaandijk près d’Amsterdam, aux Pays-Bas. J’ai commencé à faire de la programmation sur un Atari 600SL à 13 ans ; la programmation me fascinait et, même, m'obsédait, mais j’ai quitté l’école à 15 ans quand mon père est décédé soudainement. Plus tard, j’ai repris et terminé mon éducation en Gestion des Télématiques et LAN et commencé à travailler (pendant 15 ans) comme ingénieur des systèmes et logiciels Unix pour des sociétés internationales des Télécoms, Internet et Technologies informatiques. Après une période de formation et de travail, en combinant l’ingénierie de la programmation et des systèmes, j’ai pu commencer à travailler en indépendant à partir de 2006. Après 2008, les choses se sont dégradées et, en 2012, j’ai terminé ma carrière salariée quand je me suis rendu compte que je ne pouvais plus fonctionner sans stress sévère dans des environnements sociaux et commerciaux trop éclairés et bruyants. En 2013, on m’a dit que j’étais atteint d’autisme sévère (Asperger) et j’ai décidé de me retirer dans des environnements reposants, toujours en contribuant à la société en général de ma maison (d’une façon qui s’accordait avec mon autisme), en développant des logiciels gratuits et Open Source (des droits humains).
Q: Encryption is a very complicated subject, when and how did you become interested in it? A: Throughout my career, encryption always played a part, but more as something you’d use to hide and protect confidential information – assuming that encryption algorithms were as secure as the authorities claimed. Over the years, more and more signals came out that crypto algorithms weren’t as secure as claimed, and vulnerabilities were deliberately exploited to expand espionage on civilians. Cyber security news became jaw dropping during the past decade. Thanks to people like Edward Snowden, Julian Assange, and established news-media, we now know we can’t trust national security agencies to respect privacy. I finally came to realize that One-Time Pad Encryption is the only truly unbreakable encryption. A straightforward algorithm that can’t be reversed or brute-forced – its encryption comes from only irreversible random bit patterns.
Q : Le chiffrement est très compliqué. Quand et comment le sujet a-t-il commencé à vous intéresser ?
R : Tout au long de ma carrière, le chiffrement a toujours eu un rôle à jouer, mais davantage comme quelque chose à utiliser pour cacher et protéger des renseignements confidentiels - en supposant que les algorithmes de cryptage étaient aussi sûrs que les autorités le disaient. Au fil des ans, j’ai vu de plus en plus de signaux qui montraient que les algorithmes de cryptage n’étaient pas aussi sûrs que cela et que des vulnérabilités étaient exploitées de façon délibérée pour augmenter l’espionnage sur les civils. Au cours de la dernière décennie, les actus de cybersécurité sont devenues hallucinantes. Grâce à des gens comme Edward Snowden, Julian Assange et les médias établis, nous savons maintenant que nous ne pouvons pas faire confiance aux agences de sécurité nationale pour respecter la vie privée. J’ai enfin compris que One-Time Pad Encryption est le seul chiffrement qui soit vraiment incassable. C’est un algorithme assez simple qui ne peut pas être inversé ou craqué par de la force brute, car son chiffrement vient uniquement de schémas de bits aléatoires et irréversibles.
Q: Would you care to share some insights into what goes into coding something like finalcrypt? A: Being a crypto-sceptic, I didn’t want to rely on any cryptographic library, so I decided to build encryption from the ground up – starting at the bit level. Some years back, my initial idea was to XOR (toggle) data-bits with correlating personal key-bits coming from personal images or videos, because even the fastest cluster of supercomputers can’t brute-force (render all bit combinations) until it matches a picture (or video) of me and my cat. So FinalCrypt started out without a key generator, and using existing pictures or videos as keys. Then I got into discussion online with crypto experts who claimed that FinalCrypt actually was One-Time Pad Encryption, but broke OTP rules and could therefore not be 100% unbreakable. Then, in version 2.6.0, I built-in a FIPS140-2 & RFC1750 compliant True Random Number Generator to generate OTP keys allowing manual OTP encryption, and, in version 5.0.0, I added Automatic Key generation, which allowed FinalCrypt to (batch) encrypt all files with One-Time Pad security by default.
Q : Auriez-vous l'obligeance de partager quelques aperçus de ce qui entre dans le codage de quelque chose comme FinalCrypt ?
R : Étant crypto-sceptique, je ne voulais pas me baser sur une quelconque biliothèque cryptographique et j'ai donc décidé de construire du chiffrement à partir de zéro, commençant au niveau des bits. Il y a quelques années, mon idée de départ était de XOR (basculer) des bits de donnée avec des bits-clé personnels corrélatifs venant d’images ou de vidéos personnelles, parce que même l’ensemble de super-ordinateurs les plus rapides ne peuvent pas donner toutes les combinaisons de bits par force brute jusqu’à ce qu’il corresponde à une image (ou une vidéo) de moi et mon chat. Ainsi, FinalCrypt a démarré sans générateur de clé, utilisant des images ou vidéos existantes comme clés. Puis j’ai commencé à discuter en ligne avec des experts en chiffrement qui prétendaient que FinalCrypt était en fait du chiffrement à masque jetable (One-Time Pad Encryption ou OTP), mais en cassant toutes ses règles ; il ne pouvait donc pas être incassable à 100 %. Ensuite, dans la version 2.6.0, j’y ai intégré un générateur de nombres réellement aléatoires en conformité avec FIPS140-2 et RFC1750 pour générer des clés OTP permettant le chiffrement OTP manuel et, dans la version 5.0.0, j’ai ajouté la génération automatique de clés, ce qui permettait à FinalCrypt de chiffrer tous les fichiers par lot avec la sécurité d’un masque jetable par défaut.
Q: Finalcrypt obviously was created in response to something? Care to share? A: After my autism diagnosis I tried to understand my social limitation in an attempt to understand what social behaviour really is, but couldn’t find objective answers (not even from academic sociologists) so I started to philosophize about social behavior and how evolution evolved social behavior to increase our chances of survival, and concluded that group hunting behavior is about hunting competences of stealth behavioral observation, covert communication, cooperation, cunningly planning deception and attack, overthrowing opponents and enemies. This primal instinct that we humans still have and evolve – keeping us on top of the food chain. Unfortunately, we humans also use these competences against each other to dominate and exploit. Mostly for economic reasons. From that moment on, all pieces of the puzzle fitted together and I was determined to design and build unbreakable encryption from the ground up – not trusting any ClosedSource linked encryption libraries in widely accepted encryption standards.
Q : Il est évident que FinalCrypt était créé en réponse à quelque chose ? Voulez-vous partager cela ?
R : Après le diagnostic d’autisme, j’ai essayé de comprendre mes limitations sociales pour tenter de saisir ce que c'est qu’un vrai comportement social, mais je n’arrivais pas à trouver des réponses objectives (même de sociologues universitaires). Aussi, j’ai commencé à philosopher sur le comportement social et sur comment l’évolution changeait le comportement social pour augmenter nos chances de survie. J’en ai conclu que le comportement de chasse en groupe comprend des compétences de chasse : l’observation furtive du comportement, la communication dissimulée, la coopération, la planification sournoise de la déception et l’attaque, et la défaite des adversaires et des ennemis. Nous, les êtres humains, possédons toujours cet instinct primal, qui évolue et nous garde au plus haut niveau de la chaîne alimentaire. Malheureusement, nous, les humains, utilisons aussi ces compétences les uns contre les autres pour dominer et exploiter nos semblables, majoritairement pour des raisons économiques. À partir de ce moment-là, tout m’est devenu très clair et les pièces du puzzle s’emboîtaient parfaitement. Maintenant, mon objectif était de concevoir et de construire du chiffrement incassable à partir de zéro, en ne faisant point confiance aux bibliothèques de cryptage à la source fermée figurant dans les standards largement acceptés du chiffrement.
Q: I see you opted for the creative Commons license; was this always your goal? A: Starting off, I chose GPL3, but soon after I realised that GPL3 allowed anyone to build-in backdoors, and publicly release it, so I changed to Creative Commons License not allowing anyone releasing derivative works. Changes for personal use are allowed. Q: Do you have any metrics on how many people use this software? A: Yes, the website currently counts 1917 different users (unique ip addresses). This number grows with 5 - 50 users / day, counting from 2019-04-01. This can be measured because FinalCrypt (at start-up) automatically checks for updates once every 24 hours.
Q : Je vois que vous avez choisi une licence Creative Commons ; était-ce toujours votre but ?
R : Au départ, j’ai choisi GPL3, mais je me suis rapidement rendu compte que la GPL3 permettait à n’importe qui d’y créer des portes dérobées et de les publier ; aussi, j’ai changé pour Creative Commons, car leur licence ne permet pas la publication de dérivés. Des modifications pour un usage personnel sont permises.
Q : Avez-vous une idée du nombre de gens qui utilisent ce logiciel ?
R : Oui, actuellement le site Web compte 1 917 utilisateurs différents (avec des adresses IP distinctes). Depuis le 1er avril 2019, il y a de 5 à 50 utilisateurs supplémentaires par jour. Cela peut être mesuré, car, au démarrage, FinalCrypt recherche des mises à jour une fois par jour.
Q: Can one use finalcrypt within an encrypted volume like LUKS or a Veracrypt volume? A: Yes. FinalCrypt (like most applications) has no notion of any underlying disk encryption, and just creates files and writes file-data to the underlying physical (or logical presented) file-system. Just tested FinalCrypt on LUKS successfully (with different file-systems).
Q : Peut-on utiliser FinalCrypt à l’intérieur d’un volume crypté comme LUKS ou un volume Veracrypt ?
R : Oui. Comme la plupart des applications, FinalCrypt n’a aucun sens d’un chiffrement de disque sous-jacent et se contente de créer des fichiers et d’écrire des données des fichiers sur le système de fichiers physique (ou logique). Je viens d’essayer FinalCrypt sur LUKS avec succès (avec différents systèmes de fichiers).
Q: What difference does the underlying file system make when you have to code encryption software? A: Mainly file-system meta-data attributes like what timestamps does the file-system support, cloning modification timestamps from source to target file, and what file-system permissions are valid or invalid as data source and data target, and whether directory & file links should be ignored preventing double-directory looping and therefore double encryption attempts. Q: Since the software is free, how can someone support you or say thank you? A: I appreciate every “thank you”, but FinalCrypt really depends on publicity as I don’t have the financial means to advertise, so users can really thank me by sharing online. FinalCrypt is also a political statement telling “Big Brother” that we demand privacy.
Q : Le système de fichiers sous-jacent change-t-il quelque chose quand vous devez coder un logiciel de chiffrement ?
R : Oui : pour la plupart, des attributs de méta-données du système de fichiers, comme quel horodatage est pris en compte par le système de fichiers, le clonage de l'horodatage modifié de la source au fichier cible, quelles permissions du système de fichiers sont valides ou invalides comme source de données et cible de données, et si des liens dossiers et fichiers devraient être ignorés pour empêcher des doubles boucles dans un répertoire et donc des doubles tentatives de chiffrements.
Q : Puisque le logiciel est gratuit, comment peut-on vous aider ou vous remercier ?
R : Chaque « merci » me touche beaucoup, mais FinalCrypt dépend, en fait, de la publicité, car l’état de mes finances ne me permet pas de faire des réclames. Ainsi, les utilisateurs peuvent vraiment me remercier en partageant le logiciel en ligne.
FinalCrypt est aussi une déclaration politique qui dit à « Big Brother » que nous exigeons le respect de notre vie privée.
Outtro We have dropped some of the more technical questions about Finalcrypt, but if you would like more, drop us an email on misc@fullcirclemagazine.org. Finalcrypt seems to be an answer to the current work being done by government agencies on elliptical curve encryption, ‘coz, let’s face it, the threat to privacy is internal these days too. (Like when the GCHQ hacked Belgain telecoms). Cryptography is almost the only thing that protects your digital privacy, and, if you care, you should encrypt everything. If you want to keep your data truly safe, you need OTP and thus Finalcrypt. Ron has put in tremendous effort to make your world a safer place. Not all heroes wear capes.
Postface :
Nous avons éliminé quelques-unes des questions les plus techniques concernant FinalCrypt, mais si vous voulez davantage de renseignements, envoyez-nous un mail sur misc@fullcirclemagazine.org .
FinalCrypt semble être une réponse au travail actuel accompli par des agences gouvernementales concernant la cryptographie à courbes elliptiques, car, ne nous voilons pas la face, la menace pour la vie privée est aussi interne aujourd’hui (je pense au piratage des Télécoms belges par le GCHQ). La cryptographie est presque la seule chose qui protège votre vie privée numérique et, si cela est important pour vous, vous devriez tout crypter. Si vous voulez que vos données soient vraiment sécurisées, vous avez besoin d’OTP et donc de FinalCrypt. Ron a fait d’énormes efforts pour rendre votre monde plus sûr. Tous les héros ne portent pas de cape.