Beruflich Dokumente
Kultur Dokumente
Ahmed Mehaoua 1
Mécanismes et outils
n Les mé
mécanismes de sé
sécurité
curité sont basé
basés sur un ensemble d’
d’outils
cryptographiques :
Fonctions de hachage
Algorithmes de chiffrement
Générateur alé
aléatoire
Protocoles, …
n Ces outils peuvent être utilisé
utilisés seuls ou combiné
combinés pour ré
réaliser
des opé
opérations de :
Chiffrement
Scellement et signature
Échange de cléclés
Authentification mutuelle
….
Ahmed Mehaoua 2
1
Chiffrement symétrique (2)
• Confidentialité
Confidentialité
Ahmed Mehaoua 3
n Authentification (Signature)
Ahmed Mehaoua 4
2
Protocoles d’échange de clés
n Tout comme les protocoles de communication, les protocoles
cryptographiques sont une série d’é d’étape
tape pré
prédéfinies,
finies, basé
basées
sur un langage commun (spé (spé cifications des structures de
donné
données et de messages valides), qui permet à deux entité entités
d’accomplir des taches d’d’authentification mutuelle et
d’échange
’échange de clé
clés.
n Il existe 2 types de protocoles d’é
d’échange
change de clé
clés:
Les protocoles qui supposent le partage pré préalable d’
d’une
information (clé
(clé publique) entre les des 2 entité
entités (ex. RSA utilisé
utilisé
par HTTPS)
Les protocoles qui supposent aucune connaissance pré préalable
d’informations entre les 2 entité
entités (ex. Diffie-
Diffie-Hellman)
Hellman)
Ahmed Mehaoua 5
alé
aléatoirement
Ahmed Mehaoua 6
3
Chiffrement hybride
n Confidentialité
Confidentialité (Chiffrement)
n Authentification
n Echange de cléclés de session (secrè
(secrète)
Clé
Clé de session: clé
clé générée alé
aléatoirement
compromis entre le chiffrement symé
symétrique et asymé
asymétrique.
Ahmed Mehaoua 7
Ahmed Mehaoua 8
4
Fonction de hachage
n Aussi appelé
appelée fonction de condensation
n Permet à partir d’d’un texte de longueur quelconque, de calculer une chaî
chaîne de taille
infé
inférieure et fixe appelé
appel é condensé
condensé ou empreinte (message
(message digest ou hash en anglais)
n Utilisé
Utilisée seule, elle permet de vé
vérifier l’inté
intégrité
grité d’un message.
n Associé
Associé à une clé
clé privé
privé, elle permet le calcul d’
d’un sceau ou MAC (Message Authentification
Code), pour assurer :
Inté
Intégrité
grité des donné
données
Authentification de la source
n Associé
Associé à un chiffrement asymé
asymétrique, elle permet le calcul de signatures,
signatures, pour assurer :
Inté
Intégrité
grité des donné
données
Authentification de la source
Non-
Non-répudiation de la source
Ahmed Mehaoua 9
Scellement (MAC)
n Mécanisme qui consiste à calculer (ou sceller) une empreinte
à partir d’
d’un message et d’
d’une clé
clé privé
privée pour:
Authentifier l’origine des donné
données
Vérifier l’inté
intégrité
grité des donné
données
n La scellement d’
d’une empreinte gé
génère:
un sceau ou
code d’
d’authentification de message (MAC)
n Il est ré
réalisé
alisé au moyen d’
d’une fonction de hachage appliqué
appliquée
au message+clé
message+clé privé
privée:
q Keyed-
Keyed-MAC (Keyed-
(Keyed-MD-
MD-5, Keyed-
Keyed-SHA-
SHA-1)
q H(message, secret), H(secret
H(secret,, message), H(secret, message, secret)
Ahmed Mehaoua 10
5
Scellement (2)
Hachage
Ahmed Mehaoua 11
Signature numérique
n La norme ISO 7498-
7498-2 dé
définit la signature numé
numérique comme des
«donné
données ajouté
ajoutées à un message », ou transformation
cryptographique d’
d’un message, permettant à un destinataire de :
authentifier l'auteur d'un document électronique
garantir son inté
intégrité
grité
Proté
Protéger contre la contrefaç
contrefaçon (seule l’l’expé
expéditeur doit être capable de
générer la signature) -> non-
non-répudiation.
pudiation.
Ahmed Mehaoua 12
6
Signature numérique (2)
Chiffrement
Hachage
Ahmed Mehaoua 13
Certificat électronique
n Les certificats électroniques sont des donné
données publiques.
Ex. lors de l’l’accè
accès à un serveur web sécurisé
curisé, le client
télécharge automatiquement le certificat.
Ahmed Mehaoua 14
7
Certificat électronique (2)
n C’est une carte d'identité
d'identité électronique dont l'objet est
principalement d‘authentifier un utilisateur ou un équipement
informatique (comme une passerelle d'accè
d'accès ou un serveur
d'application sé
sécurisé
curisé, Ex. web marchand).
n Le certificat numé
numérique est un bloc de donné
données contenant, dans un
format spé
spécifié
cifié, les parties suivantes :
la clé
clé publique d'une paire de clé
clés asymé
asymétriques,
des informations identifiant le porteur de cette paire de clé clés (qui peut
être une personne ou un équipement), telles que son nom, son
adresse IP, son adresse de messagerie électronique, son URL, son
titre, son numé
numéro de té téléphone, etc...
l'identité
l'identité de l'entité
l'entité ou de la personne qui a dé délivré
livré ce certificat
(autorité
(autorité de certification), Ex. Verisign,
Verisign,
et enfin la signature numé
numérique des donné
données ci-ci-dessus par la
personne ou l'entité
l'entité prenant en charge la cré
création ou l'authentification
de ce certificat et servant d'autorité
d'autorité de certification.
Ahmed Mehaoua 15
Ahmed Mehaoua 16
8
Certificat électronique (4)
n Les certificats électroniques respectent des standards
spé
spécifiant leur contenu de faç
façon rigoureuse. On trouve parmi
les plus connus et les plus utilisé
utilisés :
la norme X.509 en version 1, 2, et 3, sur lequel se fondent
certaines infrastructures à clé
clés publiques.
OpenPGP,
OpenPGP, format standard (normalisé
(normalisé dans le RFC 2440) de
logiciels comme GnuPG.
GnuPG.
Ahmed Mehaoua 17
Autorité de certification
n Une Autorité
Autorité de Certification appelé
appelée aussi AC ou CA
(Certificate Authority)
Authority) est chargé
chargée d'é
d'émettre et de gé
gérer des
certificats numé
numériques.
n Une Autorité
Autorité de Certification doit dé
définir une Politique de
certification qui va établir l'ensemble des rèrègles de
vérification, de stockage et de confidentialité
confidentialité des donné
données
appartenant à un certificat ainsi que la sésécurité
curité de stockage
de sa propre clef privé
privée né
nécessaire à la signature des
certificats.
n Ex. Verisign,
Verisign, EnTrust.net,
EnTrust.net, CyberTrust,
CyberTrust, CertPlus,
CertPlus, …
Ahmed Mehaoua 18
9
Public Key Infrastructure
n Une PKI (Public
(Public Key Infrastructure),
Infrastructure), aussi communé
communément
appelé
appel é e IGC (Infrastructure
(Infrastructure de Gestion de Clefs)
Clefs) ou ICP
(Infrastructure à Clefs Publiques),
Publiques), est un ensemble de
composants physiques (des ordinateurs, des équipements
cryptographiques, des cartes à puces), de procé procédures
humaines (vé(vérifications, validation) et de logiciels (systè
(système
et application) en vue de gé gérer le cycle de vie des certificats
numé
numériques ou certificats électroniques.
Ahmed Mehaoua 19
Ahmed Mehaoua 20
10
Typologie des solutions
Ahmed Mehaoua 21
Technologies de sé
sécurité
curité des communications
Communication layers Security protocols
Ahmed Mehaoua 22
11
Sécurisation des échanges
n Pour sé
sécuriser les échanges ayant lieu sur le ré
réseau Internet, il
existe plusieurs approches :
- niveau applicatif (PGP)
- niveau transport (SSL/TLS)
- niveau ré
réseau (protocole IPsec)
IPsec)
- niveau physique (boî
(boîtiers chiffrant).
n Application typique : sé
sécurisation du Web
Ahmed Mehaoua 23
Leased Line/
Frame Relay/ATM/
DSL Dedicated IOS
Access
Local or MPLS
Direct- PE
Dial ISP MPLS
12