Sécurité Solutions Plan Liste de concepts

Sécurité Solutions

Plan

• Liste de concepts

• Services
• Mécanismes, Techniques
• Solutions

• Illustration de quelques mécanismes

• Chiffrement
• DES, RSA
• Signature
• RSA, DSS
• Notarisation
• X509

Solutions du monde réel

Ajuster services / applications

Les services de la sécurité

• Intégrité : une information envoyée doit être identique à l’arrivée

• Confidentialité : l’information transmise demeure privée et n’est divulguée qu’au destinataire

• Authentification (exp, dest): pour être certain de l’identité des correspondants

• Non-répudiation : l’expéditeur d’un message ne peut pas en nier l’émission

• Contrôle d’accès : seules les personnes autorisées ont accès aux informations ou ressources

Les mécanismes de sécurité

• Principaux

• Chiffrement: DES
• Signature: RSA (non réversible)
• Contrôle d’accès: Kerberos

• Autres

• Intégrité des données
• Echange d’authentification
• Bourrage de flux
• Contrôle de routage
• Notarisation (X509)

Synthèse

Mécanisme de chiffrement

• Architectures

• Chiffrement en couche 2
• Chiffrement en couche 6

• Principes

• Algorithme secret
• obsolète
• Algorithme public avec élément secret (une clé)
• symétrique: à clé secrète
• asymétrique: à clé publique / clé privée

• Echange de la clé

Chiffrement en couche 2

Chiffrement en couche 6

Encryptage symétrique : DES

Encryptage asymétrique : +/-

• Avantages

• Rapide
• Sûre

• Inconvénient

• Comment s’échanger la clé ?

Encryptage asymétrique : RSA

Encryptage symétrique : +/-

• Avantages

• Pas besoin de distribuer les clés

• Inconvénient

• 100 à 1000 fois plus lent que l’encryptage symétrique ?

Faiblesses réel et utopique

• Réalité

• Man-In-The-Middle au cours de l’échange d’authentification

• Mythe

• Cassage de clés

Cassage des clés (et des mythes!)

• Hypothèse sur le contenu encrypté

• Astuce: image JPG, début message est l'entête standard JPG.

• Recherche exhaustive

• Générique et parallélisable
• Contre-exemple : Algorithme à clés structurées (RSA, …)

• Ordre de grandeur

• Machines classique : 1 millions de clé par secondes
• Soit 42 jours en parallélisant sur 10 000 machines pour une clé DES de 56 bits
• Machines spécialisées : Deep Crack (3 jrs) ; 250 k$.

• Mais attention à la loi de Moore quand même !

MITM

Echange clé

• Mécanismes complémentaires

• Condensé (digest)
• Code d'authentification de message (MAC)
• Chiffrement asymétrique et certifcats
• Notarisation (certification)

• Rappel

• ASN.1, BER et DER

• Risques

• MITM

Condensé (message digest)

• Principe
• Transforme un message d’une longueur quelconque en une chaîne de longueur fixe (ie 1024 octets, …)
• Propriétés
• Résistance aux collisions
• Irréversibilité
• Preuve de la possession d’un contenu sans le dévoiler
• Exemple: MD5, SHA-1

Code d'authentification de message (MAC)

• Principe
• Condensé (digest) prenant une clé pour paramètre ou Chiffrement (symétrique) donnant un résultat condensé
• Propriétés
• Résistance aux collisions encore plus grande
• Exemple
• HMAC (dans SSL et TLS)
• A ne pas confondre
• Pas de clé public / privé. Le destinataire peut vérifier l’intégrité d’un contenu en reproduisant le condensé avec la clé

Certificat

• Principe
• Fiche d’identité comprenant une partie en clair et une empreinte
• L’empreinte est générée en calculant un condensé sur la partie en clair et en encodant ce denier par chiffrement asymétrique avec la clé de l’AC
• Exemple
• X509

S/MIME, PGP, PEM

• Processus envoi

• Processus réception

Processus Envoi

Processus Réception