Chiffrement

Capgo propose un chiffrement de bout en bout pour vos bundles OTA. Vos assets et votre code JavaScript restent protégés pendant l’upload, le transit et l’installation.

Aperçu

Le système utilise des primitives cryptographiques standard pour protéger le bundle pendant le stockage et la distribution, garantir l’intégrité des fichiers et garantir l’authenticité des mises à jour.

Ce que le chiffrement protège réellement : contrairement à une simple signature de bundle, Capgo chiffre le bundle envoyé avant le stockage et la distribution. Cela protège le contenu contre un accès opportuniste pendant le transit ou dans le stockage et garantit que seule une personne disposant de votre clé privée peut produire une mise à jour chiffrée valide. Cela ne rend pas les assets web distribués impossibles à analyser par rétro-ingénierie : la clé publique utilisée par le client pour déchiffrer les mises à jour est embarquée dans l’application, donc un attaquant motivé peut encore l’extraire et inspecter le contenu du bundle.

Quand utiliser le chiffrement

Si vous envoyez un bundle sans chiffrement, traitez-le comme un asset public. Les canaux privés limitent quels appareils reçoivent une mise à jour, mais ils ne rendent pas le bundle envoyé confidentiel. Le chiffrement est utile pour mieux protéger le stockage et le transit et pour faire en sorte que seuls les détenteurs de la clé privée puissent publier des mises à jour chiffrées valides. Il ne garantit pas qu’un JavaScript, HTML ou CSS distribué ne pourra jamais être inspecté.

Modèle de menace

Le chiffrement Capgo protège contre la divulgation du bundle par Capgo, un fournisseur de stockage, un CDN ou toute personne qui ne voit que l’artefact chiffré. Il empêche également des tiers de générer des mises à jour chiffrées valides sans votre clé privée. Comme la clé publique est embarquée dans l’application distribuée pour permettre au client de déchiffrer les mises à jour, une personne disposant de votre binaire et d’assez de motivation peut malgré tout récupérer le matériau nécessaire pour inspecter le bundle.

Astuce

Le chiffrement est particulièrement utile pour les applications sensibles (finance, santé, B2B, logique métier propriétaire).

Comment fonctionne le chiffrement

Capgo utilise une approche hybride RSA + AES.

1. Génération des clés

• Clé privée: utilisée par la CLI au moment de l’upload chiffré
• Clé publique: enregistrée dans la configuration de l’application
• Clé de session AES: générée pour chaque upload

2. Chiffrement

1. Génération d’une clé de session AES
2. Chiffrement du bundle avec AES
3. Calcul du checksum du bundle chiffré/déchiffré selon le flux
4. Chiffrement RSA des métadonnées de vérification (clé de session + checksum)
5. Stockage du bundle chiffré + signature/métadonnées

3. Déchiffrement côté app

1. L’app télécharge bundle + métadonnées
2. Le SDK lit la clé publique embarquée
3. Le SDK récupère les informations nécessaires au déchiffrement
4. Le bundle est déchiffré localement
5. Le checksum est vérifié

Astuce

AES chiffre les gros volumes efficacement; RSA protège la clé AES et les données de vérification.

Capgo vs plateformes OTA classiques

Fonctionnalité	Capgo	Plateformes OTA classiques
Contenu bundle	Chiffré en stockage et en transit, mais encore inspectable par rétro-ingénierie avec le binaire	Souvent lisible en clair
Garantie	Contenu + intégrité + authenticité	Intégrité + authenticité
Confidentialité code	Protection forte en distribution et stockage, pas anti-rétro-ingénierie	Limitée

Versions de chiffrement

Chiffrement V2 (standard)

• RSA-4096
• AES-256-GCM
• vérification d’intégrité
• meilleur niveau de sécurité

Chiffrement V1 (obsolète)

• non supporté par la CLI actuelle
• migration requise vers V2

Danger

Si vous êtes encore en V1, migrez vers V2. Guide de migration: Migration Guide.

Mise en place

Étape 1: générer les clés

# Generate new encryption keys (creates files in current directory)
npx @capgo/cli@latest key create

Fichiers générés :

• .capgo_key_v2 (privée, ne jamais commit)
• .capgo_key_v2.pub (publique)

Attention

Conservez la clé privée dans un coffre de secrets (CI/CD, KMS, Vault). Ne la versionnez jamais.

Étape 2: enregistrer la clé publique (obligatoire)

# Save public key from file to Capacitor config (required)
npx @capgo/cli@latest key save --key ./.capgo_key_v2.pub

# Or save public key data directly
npx @capgo/cli@latest key save --key-data "$CAPGO_PUBLIC_KEY"

Étape 3: synchroniser les plateformes natives

npx cap sync

Attention

Sans key save + cap sync, l’application native ne pourra pas déchiffrer les bundles.

Chiffrer les bundles

Méthode 1: chiffrement direct à l’upload

# Upload with automatic encryption
npx @capgo/cli@latest bundle upload --key-v2

Méthode 2: workflow manuel

1. Créer le zip:

   npx @capgo/cli@latest bundle zip com.example.app --path ./dist --key-v2

2. Chiffrer:

   npx @capgo/cli@latest bundle encrypt ./com.example.app.zip CHECKSUM_FROM_STEP_1

3. Uploader sur votre stockage puis enregistrer l’URL:

   aws s3 cp ./encrypted-bundle.zip s3://your-bucket/encrypted-bundle.zip
   npx @capgo/cli@latest bundle upload --external https://your-storage.com/encrypted-bundle.zip --iv-session-key IV_SESSION_KEY_FROM_STEP_2

Gestion des clés

Stockage recommandé

• local dev: fichier temporaire
• CI/CD: variable secrète ou manager de secrets
• production: KMS / Vault / Key Vault

Exemple CI/CD:

export CAPGO_PRIVATE_KEY="$(cat .capgo_key_v2)"
npx @capgo/cli@latest bundle upload --key-data-v2 "$CAPGO_PRIVATE_KEY"

Rotation des clés

1. Générer de nouvelles clés:

   mkdir ./new-keys && cd ./new-keys
   npx @capgo/cli@latest key create

2. Enregistrer la nouvelle clé publique:

   npx @capgo/cli@latest key save --key ./new-keys/.capgo_key_v2.pub

3. Publier une version native embarquant la nouvelle clé publique.

4. Basculer les futurs uploads sur la nouvelle clé privée.

Bonnes pratiques de sécurité

• une clé privée par environnement (dev/staging/prod)
• rotation périodique
• audit des accès aux secrets
• HTTPS obligatoire pour les URLs de bundles externes
• supervision des erreurs de déchiffrement

Dépannage

Problèmes fréquents:

• clé privée / clé publique non correspondantes
• ivSessionKey invalide
• oubli de key save ou de cap sync
• tentative d’utilisation V1

Commandes utiles:

npx @capgo/cli@latest app debug

# Test workflow
npx @capgo/cli@latest bundle zip com.example.app --key-v2
npx @capgo/cli@latest bundle encrypt ./com.example.app.zip CHECKSUM --json
npx @capgo/cli@latest bundle decrypt ./encrypted-bundle.zip IV_SESSION_KEY

Conformité

Le schéma cryptographique est compatible avec des exigences de sécurité enterprise:

• AES-256
• RSA-4096
• mode GCM
• génération aléatoire sécurisée

Références fréquentes:

• GDPR
• HIPAA
• SOC 2 (Service Organization Control 2)
• ISO 27001

Impact performance

• léger surcoût de taille bundle
• léger surcoût CPU au chiffrement/déchiffrement
• bénéfice significatif si combiné aux mises à jour différentielles

Étapes suivantes

• Découvrir Custom Storage pour l’hébergement externe
• Gérer les Canaux pour piloter les déploiements
• Mettre en place la CI/CD Integration pour automatiser les releases