Академический Документы
Профессиональный Документы
Культура Документы
Plan du cours
Introduction gnrale Cryptographie
Cryptographie cl secrte ou symtrique
Description + Premier exemples dapplications
Cryptographie cl publique
Principaux cryptosystmes + protocoles Signature + protocoles
Conclusion
Novembre 2005 Sminaire 5IF 2
Introduction
Tout dabord
Menace gnrale Cryptographie symtrique
Novembre 2005
Sminaire 5IF
Menaces et historique
Novembre 2005
Sminaire 5IF
Charlie Menace contre la confidentialit de linformation : une information sensible parvient une personne autre que son destinataire lgitime.
Novembre 2005 Sminaire 5IF 5
Novembre 2005
Sminaire 5IF
Assurer la confidentialit :
Chiffrement du message :
Utilisation dalgorithmes de chiffrement paramtrs par des cls
Deux mthodes :
Cryptographie symtrique ou cl secrte Cryptographie asymtrique ou cl publique
Novembre 2005
Sminaire 5IF
Alice
Bob
Novembre 2005
Sminaire 5IF
Alice
Charlie
Novembre 2005
Sminaire 5IF
12
=> Complexit de ces attaques > la recherche exhaustive (essayer toutes les cls)
Novembre 2005
Sminaire 5IF
13
Cryptographie symtrique
Novembre 2005
Sminaire 5IF
14
Cryptographie symtrique
La cl K doit tre partage par Alice et Bob Algorithmes tudis
Algorithme de chiffrement par blocs Algorithme de chiffrement flot Fonction de Hashage
Novembre 2005
Sminaire 5IF
15
Novembre 2005
Sminaire 5IF
16
Mode ECB :
Novembre 2005
Sminaire 5IF
17
Mode CBC :
IV = Valeur dinitialisation publique
Novembre 2005
Sminaire 5IF
18
K1 K2
f
X1
. . .
f
X2
r tages
Xr-1 Kr
f
Y bloc chiffr (n bits)
Novembre 2005
Sminaire 5IF
19
Le DES (1/3)
Description : algorithme de chiffrement par blocs
Entre : bloc de 64 bits Sortie : bloc de 64 bits Cl : 64 bits dont 56 sont utiliss (le dernier bit de chaque octet = bit de parit) Algorithme entirement symtrique : chiffrement = dchiffrement Nombre de tours : 16 tours
Novembre 2005 Sminaire 5IF 21
Le DES (2/3)
Fonction dtage f :
Schma de Feistel f:
f
P S
Ki E
E : expansion de 32 vers 48 bits Xor avec une sous cl Ki de 48 bits S : boites S (permutations non linaires) de 48 bits vers 32 bits (8.6 vers 8.4 bits) P : permutation de 32 bits vers 32 bits
Novembre 2005
Sminaire 5IF
22
Le DES (3/3)
Le schma de Feistel est une permutation :
L0 L1
f
R0 R1 2.1er bit + dernier
Sminaire 5IF
23
1983 1985 1987 1990 1993 1996 1999 2005 256 Kb/s 1 4 16 64 256 1 2 Mb/s Mb/s Mb/s Mb/s Mb/s Gb/s Gb/s
Novembre 2005
Sminaire 5IF
24
Changement de taille de cl : 128 bits minimum 97 : Appel doffre du NIST pour choisir un nouvel algorithme de chiffrement par blocs pour le 21me sicle
Nom : AES 15 propositions, 5 finalistes choix de Rijndael en octobre 00.
Novembre 2005
Sminaire 5IF
25
Novembre 2005
Sminaire 5IF
26
LAES (1/3)
Rijndael, cr par V. Rijmen et J. Daemen, choisi comme AES en octobre 2000.
Algorithme de chiffrement par blocs utilisant une structure parallle. Taille des blocs : 128, 192 ou 256 bits. Longueurs des cls : 128, 192, ou 256 bits. Le nombre de tours varie entre 10 et 14 selon la taille des blocs et la longueur des cls.
Novembre 2005
K0
Texte clair (128, 192, 256 bits) Matrice doctets 4x4, 4x6, 4x8 initial Key addition Byte Sub Shift Row Mix Column
tour 1
K1
Key Addition Byte Sub Shift Row Mix Column Key Addition Byte Sub Shift Row Key Addition
K9 K10
Texte chiffr (128, 192, 256 bits) Matrice doctets 4x4, 4x6, 4x8
28
Sminaire 5IF
Shift Row
a00 a10 a20 a30 a01 a11 a21 a31 a02 a12 a22 a32 a03 a13 a23 a33 1 2 3
(8x8 S-box S)
S(a00) S(a01) S(a01) S(a00) S(a13) S(a12) S(a11) S(a10) S(a23) S(a22) S(a21) S(a20) S(a33) S(a32) S(a31) S(a30)
Novembre 2005
Key Addition
a02 a12 a22 a32 a03 a13 a23 a33 a00 a10 a20 a30 a01 a11 a21 a31 a02 a12 a22 a32 a03 a13 a23 a33
02 01 01 03
03 02 01 01
01 03 02 01
Ki (128 bits)
b02 b12 b22 b32 b03 b13 b23 b33
Sminaire 5IF
m = m 0 m1 m2 m3 s = s0 s1 s2 s3 = c = c0 c1 c2 c3
message mi
Lala est remplac par un gnrateur pseudo alatoire (ou chiffrement flot)
Initialis par la cl commune K Scurit repose sur les qualits du gnrateur (grande priode, trs bon ala,)
Novembre 2005
Sminaire 5IF
32
Chiffrement flot :
Pourquoi des chiffrements flot ?
Utilisation pour le software : chiffrement trs rapide Utilisation en hardware avec des ressources restreintes Ne propage pas les erreurs (souvent utilis en tlphonie mobile) ( la diffrence du chiffrement par blocs)
Novembre 2005 Sminaire 5IF 33
Conceptions classiques :
En gnral, trois phases :
Un tat initial de longueur L (L 2k o k est la longueur de cl) Une fonction de remise jour de ltat Une fonction de filtrage pouvant dissimuler les proprits de la fonction prcdente
Novembre 2005
Sminaire 5IF
34
st+1 st
sortie
c1 c2
c3
cL-1 cL
P(X) = 1 + c1X + c2X + + cLXL Choisi pour tre primitif P*(X)= XL + c1XL-1 + c2XL- + + cL
Novembre 2005
Sminaire 5IF
35
Utilisation de LFSRs :
Le registre filtr :
f
squence pseudoalatoire s = (si)
La combinaison de registres :
Initialis laide de la cl K LFSR 1 LFSR 2 bit X1 X2 fonction f de combinaison squence pseudoalatoire s = (si)
. . .
LFSR n
Xn
Novembre 2005
Sminaire 5IF
36
Gnration de lala :
i = (i+1) mod 256, j = (j + Sj) mod 256 changer Si et Sj t = (Si + Sj) mod 256 => sortir St
Novembre 2005
Sminaire 5IF
37
Comparaison de performances :
En hardware (2003)
DES : 1,1 Gbits/ seconde AES : 1,95 Gbits/s. RC4 : 0,685 Gbits/s. (vieil algorithme)
Novembre 2005
Sminaire 5IF
38
Fonctions de hachage
Calcul dun condens h dun message M : h = H(M) Proprit : rsistance aux collisions Il doit tre trs difficile de trouver un couple de messages (M, M) qui ont le mme condens. ( one way hash function ). On part dun message de taille quelconque et on construit un condens de taille N bits
N > 160 bits pour viter la recherche exhaustive et les attaques par collisions
Novembre 2005
Sminaire 5IF
39
Cas du hachage : si le hach fait 128 bits, alors il faut essayer environ 264 messages pour obtenir une collision => N > 160 bits
Novembre 2005
Sminaire 5IF
40
Mthode de constructions :
Construites partir dune fonction de compression f :
M = M1 H0 = IV Hi = f(Mi, Hi-1) f H1 M2 f H2 M3 f Mt f Sortie h = Ht = f(Mt, Ht-1) (t blocs de taille n)
Exemples :
MD4 [Rivest 92] , MD5 [Rivest 92]
MD5 : entre de 512 bits -> hash de 128 bits
SHA-0, SHA-1, SHA-256 ou 384 ou 512 propos par la NSA (National Security Agency)
SHA-1 : entre de 512 bits -> hash de 160 bits
Novembre 2005
Sminaire 5IF
42
MD5 :
Compos de la rptition de 64 oprations regroupes en 4 fois 16 oprations c
4 mots de 32 bits
Une opration
Novembre 2005 Sminaire 5IF 43
SHA-1 :
Compos de la rptition de 80 oprations regroupes en 4 fois 20 oprations
Kt = constante Wt = valeur dpendant des blocs Mi du message
5 mots de 32 bits
Une opration
Novembre 2005
Sminaire 5IF
44
Novembre 2005
Sminaire 5IF
45
Seul SHA-1 peut encore tre utilise On parle dun ventuel appel doffre du NIST
Novembre 2005 Sminaire 5IF 46
Novembre 2005
Sminaire 5IF
47
MACs :
Message authentication Algorithms = Fonction de hachage avec cl Exemple :
H(k,p,m,k) : application de deux fonctions de hachage avec une cl k p = padding = on complte le message m avec des 0, des 1 ou une valeur alatoire
Novembre 2005 Sminaire 5IF 48
Protocoles ddis :
Cryptographie = algorithmes + protocoles La solidit dune communication dpend la fois de :
La solidit des algorithmes cryptographiques Des protocoles utilises
Novembre 2005
Sminaire 5IF
49
Alice
Connexions suivantes :
Alice
Problme ? PA passe en clair sur la ligne et est stock en clair
Novembre 2005 Sminaire 5IF
Vrifie si P= PA
50
Alice
Connexions suivantes :
Alice
Problme ? PA passe toujours en clair sur la ligne
Novembre 2005 Sminaire 5IF
51
Protocole 2bis :
Premire connexion :
terminal envoie PA Stocke cA = hash(PA) terminal Envoie h(P)
Alice
Connexions suivantes :
Alice
Calcule h(P) Vrifie si cA=h(P)
Novembre 2005
Sminaire 5IF
52
Protocole ala/retour :
Premire connexion : comme prcedemment Puis
terminal Ala (ou dfi) r
Alice
Calcule : c = EPA(r) c
A stock PA
Vrifie si c = EPA(r)
Novembre 2005
Sminaire 5IF
53
Alice
Alice
c Vrifie si h(c) = cA Stocke (999, c)
Novembre 2005 Sminaire 5IF 54
Novembre 2005
Sminaire 5IF
55
WEP (1/3)
Il prsuppose lexistence dune cl secrte entre les parties communicantes (la cl WEP) pour protger le corps des frames transmises Lutilisation du WEP est optionnel Il ny a pas de protocoles de gestion de cl => Une seule cl partage par plusieurs utilisateurs
Novembre 2005
Sminaire 5IF
56
WEP (2/3)
Pour chiffrer un message M
Checksum : calcule de c(M), P=(M, c(M)) code linaire CRC-32 (intgrit) Chiffrement : P est chiffr avec RC4 (confidentialit) Un vecteur dinitialisation (IV) v est choisi et est concatn k : C =P+RC4(v,k) Transmission de v et C
CRC-32
57
Novembre 2005
Sminaire 5IF
Novembre 2005
Sminaire 5IF
58
WEP : pourquoi un IV ?
Pourquoi un IV ?
Si pas dIV : C1=P1+RC4(k) et C2=P2+RC4(k) => C1 + C2 = P1 + P2 Si on connat P1 => dduit P2 En chiffrant avec un IV, on change dIV chaque message => cette attaque est vite
Novembre 2005
Sminaire 5IF
59
Novembre 2005
Sminaire 5IF
60
Novembre 2005
Sminaire 5IF
61
Novembre 2005
Sminaire 5IF
62
Novembre 2005
Sminaire 5IF
63
Novembre 2005
Sminaire 5IF
64
Changements
Utiliser 802.1x pour lauthentification EAP (Extensive Authentication Protocol RFC 2284) centralise Utiliser WPA pour la confidentialit
Changement de cl de chiffrement de faon priodique Cl de 128 bits IV de 48 bits Impossibilit de rutiliser un mme IV avec la mme cl Utilisation dun contrle dintgrit du message (MIC) avec SHA-1 Malheureusement : pas encore lAES => WPA 2 ! WPA 2 intgre des protocoles standards dans toutes les couches
Intgration de IP-Sec, https,TCP protg par TLS,
Novembre 2005
Sminaire 5IF
65
Novembre 2005
Sminaire 5IF
66
Conclusion partielle
Les algorithmes de chiffrement cl secrte ne permettent pas de garantir la non rpudiation Problme de transmission de la cl partage Quand bcp dutilisateurs => problme de gestion de cl Problme de renouvellement des cls => Solution : cryptographie cl publique !
Novembre 2005
Sminaire 5IF
67
Cryptographie cl publique
Novembre 2005
Sminaire 5IF
68
Cryptographie cl publique
Pour chiffrer un message, Alice utilise la cl publique de Bob et seul lui peut dchiffrer le message laide de sa cl secrte Je ne donnerai pas ici les preuves permettant de garantir ces algorithmes
Novembre 2005 Sminaire 5IF 69
Plan
Principaux systmes de chiffrement
RSA
Les piges viter Records de factorisation de nombre RSA
ElGamal
Shmas de signature
RSA, RSA-PSS, ElGamal, DSS, DSA, ECDSA
Novembre 2005
Sminaire 5IF
70
Systmes de chiffrement
Novembre 2005
Sminaire 5IF
71
Problmes mathmatiques
Vue en 3IF Deux grands problmes
La factorisation de grands nombres Le problme du logarithme discret
Novembre 2005
Sminaire 5IF
72
Rappel
Le modulo :
a = b mod n a+k.n = b+k.n Lensemble des lments 0,n-1 dfini par la relation modulo se note Z/nZ Z/nZ est un anneau et un corps si n premier.
Novembre 2005
Sminaire 5IF
73
Novembre 2005
Sminaire 5IF
74
Novembre 2005
Sminaire 5IF
76
Car
On a des algorithmes pour faciliter la factorisation des grands nombres
Mthode de Fermat Crible quadratique, sur corps premiers, Mthode rho de Pollard,
Novembre 2005
Sminaire 5IF
78
70 39
83 50
86 80
Chausse-trappe
Mme message avec lexposant public 3 vers trois destinataires :
c1=m3 mod n1 c2=m3 mod n2 c3=m3 mod n3
Principe de El Gamal
Repose sur le problme du log discret :
Soit p un grand nombre premier et g une racine primitive modulo p, il sagit de retrouver a connaissant A et g / ga = A mod p avec 0 a p-2
Le cryptosystme El Gamal
On choisit p premier (public) et g (public) La cl publique dAlice est y=gx / cl secrte x Bob veut envoyer un message m Alice :
Il tire un ala r Calcule yr Transmet (A=myr, B=gr)
Alice dchiffre
Bx = gxr = (gx)r = yr Calcule A(yr)-1 = m
Novembre 2005 Sminaire 5IF 82
Recommandations
Ne pas utiliser deux fois le mme nombre alatoire r p-1 doit avoir un grand facteur premier p doit tre grand (pareil que pour RSA)
> 512 bits On recommande 768 ou 1024 bits
Novembre 2005 Sminaire 5IF 83
The two computations were done using different computers. For the first one, we used a single 1.15GHz 16-processors HP AlphaServer GS1280 computer during one month. For the second one, we used four 16-processors nodes of the itanium 2 based Bull computer Teranova during 17 days (1.3GHz CPUs).
Novembre 2005
Sminaire 5IF
84
Novembre 2005
Sminaire 5IF
85
Protocoles hybrides
Cryptographie asymtrique pour transmettre des cls symtriques Ksym Cryptographie symtrique pour chiffrer
Alice
Choisit Ksym
RSAKPB(Ksym) =
Bob
KpB
Alice
Choisit Ksym Calcule : K1=EKpB(Ksym) K2=EKpC(Ksym) K3=EKpD(Ksym) Cl commune : Ksym
Novembre 2005 Sminaire 5IF
Bob
Transmet K1 ||K2 ||K3 Charlie
Daphn
87
Novembre 2005
Sminaire 5IF
88
Signatures
Sur chacun des cryptosystmes prcdents, on peut construire des schmas de signatures En faisant videmment attention !
Novembre 2005
Sminaire 5IF
89
Bob
Bob vrifie si m?=Sign-1KpA(Sign))
A cause de Charlie qui pourrait changer m en m, on signe HASH(m) pour garantir lintgrit du message
Novembre 2005 Sminaire 5IF 90
support lectronique, S doit dpendre du message M sinon copie et remploi Signer nest pas chiffrer !
Novembre 2005
Sminaire 5IF
91
Signature RSA
Publique : n et e, Secret : exposant Alice d Alice signe le message m en calculant : S=md mod n Bob vrifie en calculant : m=Se mod n Performance : quelques centaines de signature par seconde
Novembre 2005 Sminaire 5IF 92
Problme ?
Fraude existentielle : s alatoire alors m=se mod n => (m,s) couple (message,signature) valide ! Dautres fraudes Solution ajouter de la redondance (un condens de m la fin) => norme ISO-9796 Mais pas encore sr de sa solidit
Novembre 2005
Sminaire 5IF
93
Novembre 2005
Sminaire 5IF
94
Alice :
secret : a public : A=ga mod p
Novembre 2005 Sminaire 5IF 95
HASH = SHA1
Novembre 2005
Sminaire 5IF
96
Problme encore !
Ce processus reste trs lent pour un message long. Cest pour cela que dans la version prsente, on signe un hach du message m et pas le message dans son entier ! Cest ce qui se passe dans la vraie vie Il existe une version plus rapide de cette signature appele EC DSA qui utilise les courbes elliptiques. -
Novembre 2005
Sminaire 5IF
97
Identification
Vue dans le cas de la cl symtrique appel protocole une passe En cryptographie asymtrique, protocoles deux passes ou plus
Novembre 2005
Sminaire 5IF
98
Novembre 2005
Sminaire 5IF
99
C= EncKPA(r)
Novembre 2005
Sminaire 5IF
100
Bob
Novembre 2005
Sminaire 5IF
102
Novembre 2005
Sminaire 5IF
103
Alice
Choisit a au hasard Calcule A=ga mod p B Calcule C=Ba mod p A
Bob
Choisit b au hasard Calcule B=gb mod p
Secret commun C
Novembre 2005 Sminaire 5IF 104
m2 <g> r2
Novembre 2005
Sminaire 5IF
105
Applications de la cryptographie
Vient de voir
Principaux algorithmes en cl symtrique Principaux algorithmes en cl asymtrique Principaux protocoles
La certification(1/2)
Pourquoi a-t-on besoin dune certification ?
Charlie
KPA KPC
Alice Charlie
EncKPA(m) EncKPC(m)
Bob
Alice
Novembre 2005 Sminaire 5IF
Bob
107
La certification (2/2)
Garantir que la cl publique dAlice est bien la cl publique dAlice => Garantir lauthentification Annuaire de cls publiques garanti par une autorit qui signe lidentit dAlice et la cl publique de Alice
Novembre 2005 Sminaire 5IF 108
109
Novembre 2005
Sminaire 5IF
110
Novembre 2005
Sminaire 5IF
111
Novembre 2005
Sminaire 5IF
112
Novembre 2005
Sminaire 5IF
113
Novembre 2005
Sminaire 5IF
114
Novembre 2005
Sminaire 5IF
CE = CA de lINRIA
INRIA CA de Alice
Alice
Novembre 2005
Cl publique dAlice
Bob
116
Sminaire 5IF
Conclusion partielle
Cl publique lent mais permet de garantir
Chiffrement sans change de cl pralable La Signature Lidentification Lauthentification par certification Permet dchanger une cl symtrique partage
Cl symtrique
Rapide pour le chiffrement Garantit lintgrit (fonction de hachage)
Novembre 2005
Sminaire 5IF
117
En pratique
La cryptographie est une boite outils Il suffit de lutiliser correctement Quelques applications :
OpenSSL SSH et ses drivs PGP et le Web of Trust PKI et exemples dutilisation
Novembre 2005
Sminaire 5IF
118
Client
Alice vrifie auprs du CA lidentit de Bob
Serveur
Bob vrifie auprs du CA lIdentit dAlice Choisit un algo symtrique et une cl K
Envoie le choix de lalgo et la cl K chiffre avec KPA et sign avec KSB (chiffKPA(K), signKSB(hash chiffKPA(K))) Tunnel scuris
Novembre 2005 Sminaire 5IF
119
OpenSSL : gnralits
SSL : Secure Socket Layer
Dveloppe par Netscape pour que les applications client/serveur communiquent de faon scuris TLS : volution de SSL ralis par lIETF SSL v3 support par Netscape et IE Protocole de scurisation TCP/IP qui opre au niveau session du modle OSI Opre au dessus du protocole de transport (niveau 4) de donnes fiable (TCP RFC 793) Deux temps :
Une poigne de main (handshake) identification client/serveur (par certificats X.509) avec dfinition du systme de chiffrement et dune cl pour la suite. Phase de communication : les donnes changes sont compresses, chiffres et signes.
Novembre 2005
Sminaire 5IF
120
OpenSSL : scurit
OpenSSL : date de 98, 60.000 lignes de C
Boite outils cryptographiques implmentant SSLv2 et v3 et TLSv1 (RFC 2246) Nombreuses applications : openssh, Apache, idx-pki, stunnel
Garantit :
Authentification (peut tre mutuelle) certificat X.509 Authenticit et confidentialit des donnes (sans non-rpudiation) Standards cryptographiques supports dans ssl et tls
Algorithmes symtriques : DES, 3DES, dans plusieurs modes Asymtriques : RSA, DSA, Echange de cls : Diffie Hellman Certificats X.509 Standards PKCS (Public Key Cryptographic Standard) : PKCS#1,, PKCS#12 Fonctions de Hachage : MD4, MD5, SHA-1,
Novembre 2005 Sminaire 5IF 121
Deux bibliothques
Bibliothque SSL/TLS (libssl.a) Bibliothque cryptographique (libcrypto.a)
Novembre 2005
Sminaire 5IF
123
Novembre 2005
Sminaire 5IF
124
Autres commandes
chiffret/dchiffret Exportation cl public
Novembre 2005 Sminaire 5IF 125
OpenSSL : signature
On signe lempreinte dun document :
Cration de lempreinte par sha1
Signature de lempreinte
Novembre 2005
Sminaire 5IF
126
En .pem =>
Novembre 2005 Sminaire 5IF 127
Novembre 2005
Sminaire 5IF
128
Novembre 2005
Sminaire 5IF
129
Plus dinfos : http://www.openssl.org/ Permet de scuriser le protocole http mais aussi des connexions ftp, pop, imap,
Novembre 2005
Sminaire 5IF
130
Novembre 2005
Sminaire 5IF
Authentification du serveur au niveau applicatif par sa cl publique Ajout de la cl publique du client dans les cls autorises par le serveur K Dcide quel algorithme de chiffrement symtrique va tre utilis puis le serveur envoie la cl secrte partage chiffre au client (chiffKPA(K), signKSB(hash chiffKPA(K))) Tunnel scuris
Novembre 2005 Sminaire 5IF
serveur
132
Permet galement la communication entre des serveurs Peut remplacer telnet, rlogin, Extensions : sftp,
Novembre 2005 Sminaire 5IF 133
Novembre 2005
Sminaire 5IF
134
Novembre 2005
Sminaire 5IF
135
Principe : je signe avec ma cl secrte la cl publique des personnes dont je suis sre
Novembre 2005
Sminaire 5IF
136
PGP 9.0 V9 keys RSA (encryption & signature) Diffie-Hellman/DSS (encryption & sign) AES (cipher) IDEA Triple-DES CAST5 Blowfish (cipher) MD5, RIPEMD-160 SHA-1, SHA-256 SHA-384, SHA-512 ZIP, BZip2, zlib
137
Symmetric algorithms
IDEA
Hash algorithms
MD5
Compression alg.
Novembre 2005
ZIP
Novembre 2005
Sminaire 5IF
138
Envoi de la cl publique ou publication sur le net De mme, on peut importer la cl publique de quelquun avec son empreinte
Novembre 2005
Sminaire 5IF
139
PGP
On peut chiffrer ses messages, les certifier (RSA), construire des certificats, chiffrer (cl secrte), signer les cls publiques des autres, Je signe avec ma cl priv le hach de mon message (intgrit) -----BEGIN PGP SIGNED MESSAGE----Hash: SHA1 message -----BEGIN PGP SIGNATURE----Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFDOFB+dwFvtd4oNA0RAoTGAKCKT 4iQaIbCAqNXkW8WeaLXyaTw1gCePxlFOBGf 90NCJqooWZJj7LTVr24==jh7d -----END PGP SIGNATURE----Novembre 2005 Sminaire 5IF 140
https
Rappel : http : HyperText Transfert Protocol
protocole client-serveur dvelopp pour le Web. utilis pour transfrer les documents (HTML, etc.) entre le serveur HTTP et le navigateur Web lorsqu'un visiteur consulte un site Web. Port 80
Novembre 2005
Sminaire 5IF
141
https : authentification
Authentification du serveur : certificat X.509 Authentification du client par certificat X.509 (TLS)
PKCS#12 pour importer le certificat (TLS seulement) Suivi de session authentifie + gestions par le serveur des autorisations (selon pays, horaires,) Puis choix par le serveur dun algorithme de chiffrement cl secrte et par le client dune cl K transmise laide de la cl publique du serveur
Configuration:
Exemple :serveur Apache + Mod_SSL openSSL pour la gnration des certificats
Novembre 2005
Sminaire 5IF
142
https
Quelques limitations :
Notamment entre ssl/tls et http/1.1
Hbergement de plusieurs sites sur une mme instance de serveur web Problme de validation de certificat (entre le nom de domaine FQDN et le nom donn dans le certificat)
Novembre 2005
Sminaire 5IF
143
IP-Sec : introduction
Internet Security protocol, intgr IPv6 Objectifs : scuriser les trames IP :
Confidentialit des donnes et protection partielle contre l'analyse du trafic Authentification des donnes et contrle d'accs continu Protection contre le rejeu
Principe :
ajout de champs dauthentification dans len-tte IP chiffrement des donnes
Avantage : scurisation niveau rseau Inconvnients : cot, interfaces avec les autres protocoles standardiser
Novembre 2005 Sminaire 5IF 144
Novembre 2005
Sminaire 5IF
145
IP-Sec
Fonctionne avec deux protocoles possibles : AH (juste authentificat ESP (chiffrement) )
Novembre 2005
Sminaire 5IF
146
Novembre 2005
Sminaire 5IF
147
Avantages
transparence securit cot Accessible depuis internet
Novembre 2005
Sminaire 5IF
152
IPsec et VPN
IPSec mode transport: En mode transport, la session IPSec est tablie entre deux hosts
Avantage: la session est scurise de bout en bout Inconvnient: ncessit dune implmentation de IPSec sur tous les hosts; autant de sessions IPSec que de couples de hosts
IPSec mode tunnel: En mode tunnel, la session IPSec est tablie entre deux passerelles IPSec, ou un host et une passerelle
Avantage: lensemble des communications traversant les passerelles VPN peuvent tre scurises; pas de modification des hosts Inconvnient: ncessite des passerelles VPN
P rint S erver
Power/T X Link/Rx L PT 1 LP T2 COM P ower/TX Link/Rx LPT1 LPT 2 COM
Print Server
Novembre 2005
Sminaire 5IF
153
Novembre 2005
Sminaire 5IF
154
Commande APDU
Alice possde une carte puce lie elle par une ID (ex.: un code PIN)
Novembre 2005 Sminaire 5IF
Cellule cryptographique (DES, AES, RSA) et gnrateur de nb al. Dtecteur de scurit, registres, timer, IO interface,
Novembre 2005 Sminaire 5IF 156
Novembre 2005
Sminaire 5IF
157
Diffrentes cartes
Algorithmes de chiffrement implments diffrents selon les cartes
Carte de tlphone : compteur et algorithmes propritaires inconnus Carte SIM de tlphone portable : un MAC pour authentification
Novembre 2005
Sminaire 5IF
158
Le lecteur (de cartes) vrifie que la carte nest pas blacklister Le lecteur authentifie la carte (3-DES) La carte authentifie le lecteur Le lecteur enlve le montant de faon sre (MAC) au compte Et il augmente de faon sre (MAC) le compte du commercant
Novembre 2005 Sminaire 5IF 159
Les attaques physiques sur les cls contenues dans les cartes
Principe :
Dpackager la carte Puis accder aux diffrents niveaux du composants Accder aux informations
Contenu dans la mmoire ou les bus
Puis, attaque,
Novembre 2005 Sminaire 5IF 160
Novembre 2005
Sminaire 5IF
161
Fault Attack : attaque par injection de fautes Attaque par champs lectromagntiques
Novembre 2005
Sminaire 5IF
162
Timing Attack :
Principe : introduit en 96 par P. Kocher et mise en pratique en 98 Ralisation pratique :
Des secrets sont contenus dans la carte Quand ils sont utiliss, le temps dxcution dpend
De la valeur du secret Fait fuir de linformation sur le secret Peut tre mesur
Exemple : attaque sur la vrification dun code PIN par une carte (possde un algorithme Verif_PIN pour cela)
Novembre 2005 Sminaire 5IF 163
Power Analysis :
Plusieurs types : SPA, DPA, Principe :
Mme chose que timing attack sauf que ici, on regarde la consommation de courant On dduit statistiquement de linformation sur le secret : consommation puissance =f(algo,donnes,secret) Part de reverse ingenieering pour trouver
Lalgorithme utilis La structure de lalgorithme
Novembre 2005
Sminaire 5IF
164
Matriel utilis :
Analyse des rsultats Lecture des rsultats
5V Mesure de courant
Novembre 2005 Sminaire 5IF 165
Novembre 2005
Sminaire 5IF
167
On choisit un autre bout de la cl et on recommence avec un test statistique Jusqu obtenir toute la cl
Novembre 2005
Sminaire 5IF
168
Hypothse fausse
Novembre 2005
Sminaire 5IF
169
FA : Fault Attack
Injection de faute sur la carte
Intrt particulier des industriels : car une faute peut se produire rellement et involontairement => Cration de protection contre cela ou pour dtecter la faute (redondance,)
Variante : la DFA => injection de faute particulire qui permettent dobtenir de linformation sur les secrets.
Novembre 2005
Sminaire 5IF
170
Contre-mesures possibles
produit recherche recherche
contre-mesures
attaques recherche
Amlioration de limplmentation
Faire disparaitre la conduite lectrique par dsynchronisation, utilisation dun cryptoprocesseur (bus chiffr),...
Cration des certificats Diffusion des certificats avec publication des cls publiques
Novembre 2005
Sminaire 5IF
172
Novembre 2005
Sminaire 5IF
173
Principaux problmes
Suspension de certificats : pas de standard Cration et publication des listes de rvocation des certificats
Pas de standard pour rvocation automatique Moyens administratifs : implments de faon scurise
Le propritaire de la cl doit prouver que sa cl est inutilisable
Novembre 2005
Sminaire 5IF
174
Problme de gestion !
Listes de rvocations doivent
tre protges pour ne pas tre corrompues tre accessibles en permanence et jour => synchronisation des horloges de toutes les pers. concernes
Novembre 2005
Sminaire 5IF
175
Titre de comparaison
Comme une carte didentit national
Preuve de lidentit quand cration de la carte Unique, lie une identit et non falsifiable Dclaration en prfecture quand vol ou perte afin den obtenir une autre et pour ne pas quil y est une mauvaise utilisation de la disparue
Novembre 2005
Sminaire 5IF
176
Conclusion PKI
Important :
tude de faisabilit pralable pour estimer
Besoins (matriels) selon le nombre de personnes concernes La validation par des organismes de confiance Le dploiement
Novembre 2005
Sminaire 5IF
178
Bluetooth : introduction
Protocole de communications sans-fil courtes distances dploy depuis plusieurs annes dans tlphones mobiles, ordinateurs portables, GPS, routeurs, imprimantes, appareils photos, etc. Il fonctionne dans la gamme des 2.4GHz tout comme 802.11. 79 canaux Bluetooth
http://www.secuobs.com/news/05022006 -bluetooth1.shtml
Novembre 2005 Sminaire 5IF 179
Bluetooth : rseau
Un priphrique Bluetooth matre peut communiquer avec 7 autres priphriques esclaves au maximum. =>"rseau" = Piconet Scatternet
= interconnexion de Piconets, grce des "routeurs". Nb max de Piconets = 10
Novembre 2005 Sminaire 5IF 180
Novembre 2005
Sminaire 5IF
181
Novembre 2005
Sminaire 5IF
182
Novembre 2005
Sminaire 5IF
183
Novembre 2005
Sminaire 5IF
185
rfcomm : permet d'tablir une communication de type RFCOMM entre 2 priphriques. => demande de cration pour pairing
Novembre 2005
Sminaire 5IF
187
Attaque sur le pairing = Processus qui autorise la connection dun priphrique un service local
Demande explicite sur le terminal distant par avertissement Ou aucune demande => cas des codes PIN Bluetooth prdfinis par le constructeurs (PIN par dfaut 0000, 1234,) => attaque simple !
Novembre 2005
Sminaire 5IF
188
Novembre 2005
Sminaire 5IF
189
BlueSmack : blocage des priph. (crash pile ou SE) via requte l2ping trop longue ou bcp de requtes
Exple : PDA iPaq
Novembre 2005
Sminaire 5IF
191
Novembre 2005
Sminaire 5IF
192
Propagation :
Propagation :
Apparat dans le menu dinstallation avec le texte suivant :
Installation secutity warning. Unable to verify supplier. Continue anyway ?
Programme non sign => si Yes, Install Caribe => Installation du ver et dans la boite de rception, il y aura : CaribeVZ/29a.
Novembre 2005
Sminaire 5IF
193
Novembre 2005
Sminaire 5IF
194
Le virus Commwarrior.C
Dcouvert en Mars 2006, Utilise Bluetooth ou MMS Envoi un MMS chaque adresse enregistr dans le tlphone.
Pb : cot Mise en panne de tlphones, Changement du logo du tlphone,
Novembre 2005
Sminaire 5IF
195
Le SMiShing
= phishing par SMS. Le SMS se prsente comme un message tel que nous vous confirmons que vous vous tes inscrits pour ce service dont le cot est de 2 dollars par jour, sauf si vous annulez votre inscription Un lien est plac dans ce SMS pour annuler cette commande.
Lusager qui le suivra sera dirig vers un site pig possibilit de tlcharger des malwares en quelques instants.
srieux risques pour la scurit des donnes + dinfecter rseau personnel et celui de lentreprise
Novembre 2005
Sminaire 5IF
196
Et aprs
Un virus peut entraner des surfacturations, la divulgation dinformations, ou encore la suppression, la corruption ou la modification dinformations. => Utilisation danti-virus sur les portables.
Cot : 12 milliards de dollars dans le monde en 2007 Le pire est venir
Novembre 2005
Sminaire 5IF
197
PKCS
Novembre 2005
Sminaire 5IF
198
Novembre 2005
Sminaire 5IF
199
Novembre 2005
Sminaire 5IF
200
Novembre 2005
Sminaire 5IF
201
Conclusion (1/2)
Schma gnral !
Cryptographie symtrique : chiffrement/intgrit Cryptographie asymtrique : signature/change de cl symtrique Mlanger tout cela correctement pour construire des architectures
Novembre 2005
Sminaire 5IF
202
Alice
Alice vrifie auprs du CA lidentit de Bob
Bob
Bob vrifie auprs du CA lIdentit dAlice Choisit un algo symtrique et une cl K
Envoie le choix de lalgo et la cl K chiffre avec KPA et sign avec KSB (chiffKPA(K), signKSB(hash chiffKPA(K))) Tunnel scuris
Novembre 2005 Sminaire 5IF
203