Architecture E2EE multicouche
Signal Protocol comme fondation, renforcé avec la cryptographie post-quantique, les signatures AEGIS et le Sealed Sender côté client.
Échange de clés PQXDH
Échange de clés post-quantique hybride combinant X25519 (Curve25519) et ML-KEM-1024 (NIST FIPS 203). Résistant aux attaques classiques et quantiques.
Double Ratchet
Confidentialité persistante par message utilisant le ratchet DH + ratchet symétrique. La compromission d'une clé ne peut pas déchiffrer les messages passés ou futurs.
Chiffrement AES-256-GCM
Chiffrement authentifié avec clés de 256 bits. Chaque message est chiffré avec une clé unique dérivée du Double Ratchet.
AEGIS (Signatures Ed25519)
Signatures numériques par message pour la non-répudiation. Rotation des clés tous les 90 jours avec période de grâce de vérification. Liste d'appareils signée avec Ed25519.
Sealed Sender côté client
Clé éphémère X25519 par message + clé AES dérivée HKDF-SHA256. Même le serveur ne peut pas voir qui a envoyé un message.
AEGIS — Arc Enhanced Guard & Integrity System
AEGIS (Arc Enhanced Guard & Integrity System) est la couche d'authentification des messages d'Arc, construite sur les signatures numériques XEdDSA via libsignal. Chaque message que vous envoyez est signé cryptographiquement, offrant trois garanties essentielles :
Anti-usurpation d'identité
Même si un attaquant compromet le serveur, il ne peut pas falsifier de messages en votre nom. Votre Identity Key (X25519) est utilisée pour la signature XEdDSA et ne quitte jamais votre appareil.
Détection de falsification
Toute modification d'un message — même un seul caractère — invalide instantanément la signature. Les destinataires peuvent vérifier que chaque message est arrivé exactement tel qu'il a été envoyé.
Non-répudiation
Preuve cryptographique que vous avez rédigé un message. XEdDSA utilise votre X25519 Identity Key pour des signatures compatibles EdDSA — aucune clé Ed25519 séparée nécessaire.
XEdDSA (libsignal) · X25519 Identity Key · signatures de 64 octets · signature par message
Contrairement aux applications de messagerie standard, AEGIS va au-delà du chiffrement. Alors que E2EE protège le contenu des messages, AEGIS protège l'identité des messages — garantissant que chaque message provient bien de celui qui prétend l'avoir envoyé. Propulsé par l'implémentation XEdDSA de libsignal.
Zéro conversion de clés
Arc sépare X25519 (échange de clés) et Ed25519 (signatures) au niveau du type. Contrairement à Signal/WhatsApp, il n'y a pas de conversion de clé Ed25519→X25519, minimisant la surface d'attaque.
Signal/WhatsApp vs Arc V2
| Fonctionnalité | Signal | Telegram | Arc V2 | |
|---|---|---|---|---|
| Conception des clés | Ed→X conversion | Conversion Ed→X | MTProto 2.0 (propriétaire) | Complete separation |
| Signatures de messages | None (DH only) | Aucune (DH uniquement) | Chat Secret uniquement | AEGIS XEdDSA |
| Sealed Sender | Server-side | Côté serveur | Non disponible | Client-side |
| E2EE hors ligne | Not supported | Non pris en charge | Non pris en charge | BLE Mesh X3DH+DR |
| Multi-appareils | Primary/Linked | Principal/Lié | Tous les appareils (sync cloud) | Independent key sets + Key Sync |
| Rotation des clés | Fixed interval | Intervalle fixe | Manuel (Chat Secret) | Multi-stage automatic |
| Liste des appareils | No signature | Pas de signature | Géré par le serveur | Ed25519 signed |
| Transfert de clés d'appareil | Via Primary | Via Principal | Synchronisé par serveur | QR + X25519 ECDH + AES-256-GCM |
| Background E2EE | Foreground only | Premier plan uniquement | Chat Secret uniquement | ✓ All App States (FG/BG/Terminated) |
| Historique sur nouvel appareil | Médias des 45 derniers jours seulement | Médias des 45 derniers jours seulement | Historique complet (cloud) | Tous les messages dans la limite d'expiration IGF |
| Perte du téléphone / récupération | Sauvegarde cloud limitée (PIN requis) | Sauvegarde E2EE (opt-in) + Drive/iCloud | Sauvegarde cloud (serveur) | Restauration depuis sauvegarde chiffrée |
| Accès du serveur au contenu | Non | Non (métadonnées oui) | Oui (chat non secret) | Non (chiffré avec clé utilisateur) |
| Croissance de l'historique | Croît indéfiniment | Croît indéfiniment | Illimité (cloud) | Automatiquement limité par IGF |
| Hiérarchie des appareils | Le téléphone est le maître | Multi-appareils, sans téléphone requis | Pas de hiérarchie | Tous les appareils égaux |
Paramètres ML-KEM-1024
Mécanisme d'encapsulation de clés post-quantique standardisé NIST FIPS 203.
| Algorithme | ML-KEM-1024 (via libsignal-client) |
| Niveau de sécurité NIST | Level 3 (AES-192 equivalent) |
| Sécurité classique | 2^128 bit (X25519) |
| Sécurité quantique | NIST Level 3 |
| Fondation | Module Lattice (FIPS 203) |
| Taille de clé publique | 1,184 bytes |
| Taille de clé secrète | 2,400 bytes |
| Taille du texte chiffré | 1,088 bytes |
Conformité & Normes
🇺🇸NIST CSF 2.0
Cadre NIST. 6 fonctions pour la gestion systématique des cyber-risques.
🇺🇸NIST SP 800-53
Contrôles de sécurité fédéraux. Fondation FedRAMP.
🇺🇸FIPS 140-3
Validation fédérale des modules cryptographiques. Couvre ML-KEM-1024.
🇺🇸NIST SP 800-175B
Guide de sélection d'algorithmes cryptographiques. Basé sur FIPS 203.
🌐ISO/IEC 27001
Certification SMSI internationale. Base de confiance B2B/B2G.
🇪🇺GDPR
Règlement général sur la protection des données de l'UE. Norme de protection la plus élevée au monde.
🇬🇧UK Cyber Essentials+
Certification de cybersécurité certifiée par le gouvernement britannique.
🇬🇧NCSC Cloud Security
14 principes du NCSC britannique. Standard d'évaluation de sécurité cloud.
Développé en conformité avec toutes les exigences du NIST américain, du RGPD européen, du NCSC britannique et de l'ISO internationale.
Arc Protocol: Livre Blanc de Sécurité
Un document technique complet décrivant l'architecture cryptographique d'Arc, le modèle de menaces et les garanties de sécurité. Couvre l'échange de clés PQXDH (ML-KEM-1024), la confidentialité persistante Double Ratchet, les signatures AEGIS par message, Sealed Sender et BLE Mesh E2EE hors ligne.
15 Sections
Documentation complète du protocole
Comparaison Signal
Analyse honnête fonctionnalité par fonctionnalité
Modèle de Menaces
Analyse STRIDE avec risques résiduels
Documentation d'architecture système
Spécification technique complète d'Arc V2 — architecture à 5 couches, pipeline E2EE, implémentation PQXDH, cycle de vie des clés, chiffrement de groupe, architecture multi-appareils, réseau BLE Mesh et IA embarquée.
15+ sections techniques
Architecture en couches, implémentation PQC, pipeline de chiffrement, stockage des données et plus
Bilingue (EN/JP)
Documentation complète en anglais et japonais avec basculement en un clic
Version 3.1 — Mars 2026
Inclut Elixir PreKey Server, Sealed Sender, Sender Keys et PQXDH ML-KEM-1024
Ce document est confidentiel et exclusivement accessible aux partenaires liés par un NDA, investisseurs et évaluateurs techniques autorisés. L'accès nécessite l'approbation préalable d'Atlas Associates.