KEY SYNC

Transfert sécurisé de clés d'appareil à appareil

Transférez vos clés de chiffrement sur un nouvel appareil via QR code. Échange de clés X25519 ECDH + transfert chiffré AES-256-GCM.

Appareil source

Sur l'appareil qui possède vos clés : Réglages → Key Sync → « Transférer les clés ». Un QR code s'affiche (valide 5 minutes).

Appareil cible

Sur votre nouvel appareil : après connexion, sélectionnez « Scanner QR » et scannez le QR code de l'appareil source avec votre caméra.

Transfert terminé

Les clés sont transférées de manière sécurisée via un canal chiffré. La somme de contrôle SHA-256 vérifie l'intégrité des données. La session expire automatiquement.

Protocole de transfert

Source Device                        Target Device
     │                                    │
     │  1. Create Session (Firestore)     │
     │  2. Generate X25519 Ephemeral Key  │
     │  3. Display QR Code               │
     │          ─── QR Scan ───►          │
     │                                    │  4. Parse QR → sessionId + publicKey
     │                                    │  5. Generate X25519 Ephemeral Key
     │                                    │  6. ECDH → Shared Secret
     │                                    │  7. HKDF-SHA256 → AES Key
     │          ◄── Firestore ──          │  8. Write encrypted response
     │  9. ECDH → Same Shared Secret     │
     │  10. Encrypt keys (AES-256-GCM)   │
     │          ── Firestore ──►          │
     │                                    │  11. Decrypt → Import keys
     │                                    │  12. SHA-256 Checksum verify
     │  13. Cleanup session               │
     └────────────────────────────────────┘
              Session TTL: 5 minutes

Clés transférées

Clé	Algorithme	Fonction
Paire de clés d'identité	X25519	Vérification d'identité / PQXDH
Paire de clés de signature	Ed25519	Signatures de messages (AEGIS XEdDSA)
Paire de PreKey signée	X25519	Établissement de session X3DH
ID d'enregistrement	—	Identifiant de session

Les PreKeys à usage unique ne sont PAS transférées. Elles sont regénérées sur le nouvel appareil pour éviter la concurrence de clés entre appareils.

Support des plateformes

Plateforme	Scan QR	Stockage des clés	Alternative
iOS	Pris en charge	Keychain	—
Android	Pris en charge	Android Keystore	—
macOS	Dépendant de la caméra	Keychain	Regénérer les clés
PWA (Web)	Dépendant de la permission caméra	Web Crypto API	Regénérer les clés

Regénérer les clés: Si le scan QR n'est pas disponible (PWA/macOS), choisissez « Regénérer les clés » pour créer de nouvelles clés de chiffrement. De nouvelles sessions seront établies avec tous les contacts, mais les messages précédents ne pourront pas être déchiffrés.

Utilisation multi-appareils

Considérations importantes lors de l'utilisation du même compte sur plusieurs appareils.

Même compte, plusieurs appareils

• Chaque appareil stocke des clés de chiffrement indépendantes
• Key Sync nécessaire pour déchiffrer les messages de l'appareil d'origine
• Conflits de PreKeys à usage unique possibles avec des appareils simultanés
• Limite d'appareils : Essential 1 / Premium & Intelligence 3

Compte différent, même appareil

• Toutes les sessions de chiffrement sont entièrement réinitialisées
• Les messages du compte précédent sont définitivement indéchiffrables
• Aucune collision de clés entre différents comptes
• Boîte de dialogue d'avertissement affichée avant le changement de compte

Arc vs Signal : modèle multi-appareils

Fonctionnalité	Signal	Arc V2
Modèle d'appareil	Primary/Linked	Independent key sets
Ajout d'appareil	Via Primary	Direct registration + Key Sync
Distribution des clés	Primary distributes to Linked	Peer-to-peer QR exchange
Authentification d'appareil	Implicit trust	Ed25519 signature verification
Panne de l'appareil principal	All Linked devices orphaned	No impact (independent)