Académique Documents
Professionnel Documents
Culture Documents
Ipsec Tech PDF
Ipsec Tech PDF
Ghislaine Labouret
Herv Schauer Consultants (HSC)
142, rue de Rivoli
75001 Paris
FRANCE
http://www.hsc.fr/
Introduction
Introduction
Le terme IPsec (IP Security Protocol) dsigne un ensemble de mcanismes destins protger le
trafic au niveau dIP (IPv4 ou IPv6). Les services de scurit offerts sont lintgrit en mode non
connect, lauthentification de lorigine des donnes, la protection contre le rejeu et la
confidentialit (confidentialit des donnes et protection partielle contre lanalyse du trafic). Ces
services sont fournis au niveau de la couche IP, offrant donc une protection pour IP et tous les
protocoles de niveau suprieur. Optionnel dans IPv4, IPsec est obligatoire pour toute
implmentation de IPv6. Une fois IPv6 en place, il sera ainsi possible tout utilisateur dsirant des
fonctions de scurit davoir recours IPsec.
IPsec est dvelopp par un groupe de travail du mme nom lIETF (Internet Engineering Task
Force), groupe qui existe depuis 1992. Une premire version des mcanismes proposs a t publie
sous forme de RFC en 1995, sans la partie gestion des clefs. Une seconde version, qui comporte en
plus la dfinition du protocole de gestion des clefs IKE, a t publie en novembre 1998. Mais IPsec
reste une norme non fige qui fait en ce moment mme lobjet de multiples Internet drafts,
notamment sur la protection des accs distants. Cette prsentation couvre uniquement les RFC de
novembre 1998.
1. Vue densemble
Cette partie prsente le principe de fonctionnement dIPsec, les diffrents lments qui le composent,
la faon dont ils interagissent et les diffrentes utilisations possibles.
Architecture dIPsec
sur lesquels les tiers communicants doivent se mettre daccord. Afin de grer ces paramtres, IPsec a
recours la notion dassociation de scurit (Security Association, SA).
Une association de scurit IPsec est une connexion simplexe qui fournit des services de scurit
au trafic quelle transporte. On peut aussi la considrer comme une structure de donnes servant
stocker lensemble des paramtres associs une communication donne.
Une SA est unidirectionnelle ; en consquence, protger les deux sens dune communication
classique requiert deux associations, une dans chaque sens. Les services de scurit sont fournis par
lutilisation soit de AH soit de ESP. Si AH et ESP sont tous deux appliqus au trafic en question,
deux SA (voire plus) sont cres ; on parle alors de paquet (bundle) de SA.
Chaque association est identifie de manire unique laide dun triplet compos de :
Ladresse de destination des paquets.
Lidentifiant dun protocole de scurit utilis (AH ou ESP).
Un index des paramtres de scurit (Security Parameter Index, SPI).
Un SPI est un bloc de 32 bits inscrit en clair dans len-tte de chaque paquet chang ; il est choisi
par le rcepteur.
Pour grer les associations de scurit actives, on utilise une base de donnes des associations de
scurit (Security Association Database, SAD). Elle contient tous les paramtres relatifs chaque
SA et sera consulte pour savoir comment traiter chaque paquet reu ou mettre.
Vue densemble
lensemble des informations disponibles par le biais des en-ttes des couches IP et transport. Ils
permettent de dfinir la granularit selon laquelle les services de scurit sont applicables et
influencent directement le nombre de SA correspondante. Dans le cas o le trafic correspondant une
rgle doit se voir attribuer des services de scurit, la rgle indique les caractristiques de la SA (ou
paquet de SA) correspondante : protocole(s), modes, algorithmes requis
Alertes
DOI
Configure
Oakley
SKEME
ISAKMP
Ngocie,
modifie,
supprime
Protocole applicatif
(HTTP, FTP, POP,
SMTP,)
IKE
Demande
cration SA
Pointe
vers
Application
Sockets
Transport (TCP, UDP)
SPD
Consulte
SAD
Consulte
Liaison
Dans le cas o le paquet reu est un paquet IP classique, la SPD permet de savoir sil a nanmoins
le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traits par IKE, qui
peut envoyer des alertes administratives en cas de tentative de connexion infructueuse.
IPsec
Rseau de
confiance
Rseau
non fiable
Passerelle de scurit
IPsec
Passerelle de scurit
IPsec
Rseau
non fiable
Rseau de
confiance
Passerelle de scurit
quipement terminal
IPsec
IPsec
Rseau
non fiable
quipement terminal
quipement terminal
- Figure 2. Diffrentes configurations possibles suivant lquipement mettant IPsec en uvre La premire situation est celle o lon dsire relier des rseaux privs distants par lintermdiaire dun
rseau non fiable, typiquement Internet. Les deux passerelles de scurit permettent ici dtablir un
rseau priv virtuel (en anglais Virtual Private Network, VPN).
La deuxime situation correspond au cas o lon dsire fournir un accs scuris au rseau interne
pour des postes nomades. Le rseau non fiable peut tre Internet, le rseau tlphonique
Enfin, dans la troisime situation, deux tiers dsirent communiquer de faon scurise mais nont
aucune confiance dans le rseau qui les spare.
On peut galement imaginer des configurations plus complexes o plusieurs associations de scurit,
apportant ventuellement des services de scurit diffrents, se succderaient ou se superposeraient
partiellement :
Vue densemble
Association de scurit 2
Association de scurit 1
Rseau
non fiable
Rseau de
confiance
IPsec
IPsec
IPsec
Association de scurit 2
Association de scurit 1
Rseau
non fiable
IPsec
Rseau de
confiance
IPsec
IPsec
- Figure 3. Exemples de double utilisation dIPsec Dans les exemples ci-dessus, la premire association peut servir assurer les services de scurit
requis par la politique de scurit externe (authentification et confidentialit par exemple), et la
seconde assurer les services requis par la politique de scurit interne (authentification vis--vis de
lhte final par exemple).
Rsum et bibliographie
Ipsec est un systme de scurisation des changes au niveau IP qui repose sur deux
mcanismes (ou protocoles), AH (Authentication Header) et ESP (Encapsulating Security
Payload). Les paramtres ncessaires lutilisation de ces protocoles sont grs laide
dassociations de scurit (Security Association, SA), une association regroupant les paramtres
servant protger une partie donne du trafic. Les SA sont stockes dans la base de donne des
associations de scurit (Security Association Database, SAD) et gres laide du protocole IKE
(Internet Key Exchange). Les protections offertes par IPsec sont bases sur des choix dfinis dans
la base de donnes de politique de scurit (Security Policy Database, SPD). Cette liste de rgles
permet de dcider, pour chaque paquet, sil se verra apporter des services de scurit, sil sera
autoris passer outre ou sera rejet.
IPsec peut tre utilis au niveau dquipements terminaux ou au niveau de passerelles de scurit,
permettant ainsi des approches de scurisation lien par lien comme de bout en bout. IPsec peut
donc tre utilis, notamment, pour la cration de rseaux privs virtuels ou la scurisation des
accs distants. Enfin, IPsec comporte deux modes, le mode transport qui protge juste les
donnes transportes et le mode tunnel qui protge en plus len-tte IP.
Le document de base pour comprendre le fonctionnement dIPsec et le document intitul Security
Architecture for the Internet Protocol", dont la version la plus rcente est la [RFC 2401].
10
protection contre lanalyse du trafic lorsquon tente dempcher lanalyse du trafic en cachant les
adresses source et destination, la taille des paquets, la frquence des changes...
11
diffrencie la signature des codes dauthentification de message, et a pour consquence que la plupart
des algorithmes de signature utilisent la cryptographie clef publique. Dans le cadre de la protection
dchanges rseau, on utilise toujours, pour des raisons de performance, un mcanisme de scellement.
Enfin, la protection contre le rejeu est une forme partielle dintgrit en mode connect qui permet
de contrer les attaques au cours desquelles un adversaire envoie un message intercept prcdemment,
en esprant quil sera accept comme valide par le destinataire. Elle est gnralement assure par
lutilisation dun numro de squence.
Rsum et bibliographie
Dans le cadre de la protection des changes rseau, les principaux services de scurit sont :
assure
par
lajout
dun
code
Les diffrents services et mcanismes intervenant dans la scurit des rseaux sont rfrencs de
faon formelle dans la norme [ISO 7498-2].
Pour plus de dtails sur les notions cryptographiques mentionnes ici, on pourra se rfrer la
bibliographie sur la cryptologie.
longueur
Rserv
- Figure 4. Format de AH Lexpditeur calcule les donnes dauthentification partir de lensemble des champs
invariants du datagramme IP final, AH compris, ce qui permet dtendre lauthentification au SPI
et au numro de squence notamment. Les champs variables (TTL, routage...) et le champ destin
recevoir les donnes dauthentification sont considrs comme gaux zro pour le calcul. Les
12
donnes dauthentification sont alors adjointes au paquet IP par le biais de len-tte dauthentification
(AH). Le rcepteur vrifie lexactitude de ces donnes la rception.
Les figures ci-dessous indiquent la position de AH et le service apport en fonction du mode choisi
(transport ou tunnel).
- Avant application de AHEn-tte IP
dorigine
Donnes
(protocole de niveau suprieur)
- Aprs application de AH AH
En-tte IP
dorigine
Donnes
(protocole de niveau suprieur)
Authentifi
(except pour les champs variables de len-tte)
Donnes
(protocole de niveau suprieur)
AH
En-tte IP
dorigine
Donnes
(protocole de niveau suprieur)
Authentifi
- Figure 6. Position de AH en mode tunnel (IPv4) Les algorithmes par dfaut que doit fournir toute ralisation de IPsec pour AH sont, au moment o ce
document est rdig, HMAC-MD5 et HMAC-SHA-1. Les autres algorithmes prvus sont KPDKMD5, DES-MAC et HMAC-RIPE-MD.
Rsum et bibliographie
AH assure lauthenticit des donnes transportes et de len-tte IP par lajout dun code
dauthentification de message (HMAC-MD5, HMAC-SHA-1) au paquet protg. En configuration
dynamique via IKE, AH peut galement fournir une protection contre le rejeu.
AH est dcrit dans le document intitul IP Authentication Header, dont la dernire version est la
[RFC 2402].
Les algorithmes dauthentification utilisables avec AH sont lists dans le DOI IPsec [RFC 2407] et
font lobjet de divers documents (voir bibliographie page 47).
13
intgrit des donnes en mode non connect et authentification de lorigine des donnes,
protection contre le rejeu.
La confidentialit peut tre slectionne indpendamment des autres services, mais son utilisation
sans intgrit/authentification (directement dans ESP ou avec AH) rend le trafic vulnrable certains
types dattaques actives qui pourraient affaiblir le service de confidentialit. Comme dans AH,
authentification et intgrit sont deux services qui vont de pair et que lon dsigne souvent sous le
terme authentification ; ils sont fournis par lutilisation dune ICV (en pratique, un MAC). La
protection contre le rejeu ne peut tre slectionne que si lauthentification la t et que IKE est
utilis. Elle est fournie par un numro de squence que le destinataire des paquets vrifie.
Contrairement AH, o lon se contentait dajouter un en-tte supplmentaire au paquet IP, ESP
fonctionne suivant le principe de lencapsulation : les donnes originales sont chiffres puis
encapsules entre un en-tte et un trailer. Voici lorganisation de ESP :
Index des paramtres de scurit (SPI)
En-tte ESP
Numro de squence
Charge utile
(vecteur d'initialisation ventuel + donnes chiffres)
Bourrage
Charge utile
Trailer ESP
Longueur de bourrage
En-tte suivant
Authentification
ESP
Donnes d'authentification
- Figure 7. Format de ESP Le champ bourrage peut tre ncessaire pour les algorithmes de chiffrement par blocs ou pour aligner
le texte chiffr sur une limite de 4 octets.
Les donnes dauthentification ne sont prsentes que si ce service a t slectionn.
Voyons maintenant comment est applique la confidentialit dans ESP. Lexpditeur :
Encapsule, dans le champ charge utile de ESP, les donnes transportes par le datagramme
original et ventuellement len-tte IP (mode tunnel).
Ajoute si ncessaire un bourrage.
Chiffre le rsultat (donnes, bourrage, champs longueur et en-tte suivant).
Ajoute ventuellement des donnes de synchronisation cryptographiques (vecteur dinitialisation)
au dbut du champ charge utile.
Si elle a t slectionne, lauthentification est toujours applique aprs que les donnes ne soient
chiffres. Cela permet, la rception, de vrifier la validit du datagramme avant de se lancer
dans la coteuse tche de dchiffrement. Contrairement AH, lauthentification dans ESP est
applique uniquement sur le paquet (en-tte + charge utile + trailer) ESP et ninclut ni len-tte IP
ni le champ dauthentification.
14
Les figures ci-dessous indiquent la position de ESP et les services apports en fonction du mode
choisi (transport ou tunnel).
- Avant application de ESPEn-tte IP
dorigine
Donnes
(protocole de niveau suprieur)
En-tte
ESP
Donnes
(protocole de niveau suprieur)
Trailer
ESP
Donnes
dauthentification
Chiffr (confidentialit)
Authentifi
- Figure 8. Position de ESP en mode transport (IPv4) - Avant application de ESPEn-tte IP
dorigine
Donnes
(protocole de niveau suprieur)
En-tte En-tte IP
ESP
dorigine
Donnes
(protocole de niveau suprieur)
Trailer
ESP
Donnes
dauthentification
Chiffr (confidentialit)
Authentifi
- Figure 9. Position de ESP en mode tunnel (IPv4) Les algorithmes prvus pour tre utiliss avec ESP sont, au moment o ce document est rdig :
Confidentialit : DES triple (obligatoire), DES, RC5, CAST, IDEA, IDEA triple, Blowfish, RC4 et
NULL pour le cas ou le chiffrement nest pas souhait.
Authentification : HMAC-MD5 (obligatoire), HMAC-SHA-1 (obligatoire), DES-MAC, HMACRIPE-MD, KPDK-MD5 et NULL pour le cas o lauthenticit nest pas slectionne.
Rsum et bibliographie
ESP peut assurer, au choix, la confidentialit et/ou lauthenticit des donnes.
ESP est dcrit dans le document intitul "IP Encapsulating Security Payload (ESP)", dont la
dernire version est la [RFC 2406].
Les algorithmes dauthentification utilisables avec ESP sont dcrits dans les mmes documents
que pour AH.
Les algorithmes de chiffrement utilisables avec ESP sont lists dans le DOI IPsec [RFC 2407] et
font lobjet de divers documents (voir bibliographie page 47).
15
16
3.1.5. Diffie-Hellman
Invent en 1976 par DIFFIE et HELLMAN, ce protocole permet deux tiers de gnrer un secret
partag sans avoir aucune information pralable lun sur lautre. Il est bas sur la cryptologie
clef publique (dont il est dailleurs lorigine), car il fait intervenir des valeurs publiques et des
valeurs prives. Sa scurit dpend de la difficult de calculer des logarithmes discrets sur un corps
fini. Le secret gnr laide de ce protocole peut ensuite tre utilis pour driver une ou plusieurs
clefs (clef secrte, clef de chiffrement de clefs...).
17
Bibliographie
Pour plus de dtails sur la scurit des changes, on pourra consulter [OPP98].
Pour plus de dtails sur les notions cryptographiques mentionnes ici, on pourra se rfrer la
bibliographie sur la cryptologie page 45.
18
Dans le cadre des protocoles dchange de clef dvelopps pour la scurisation des changes sous IP,
une distinction supplmentaire simpose entre les protocoles orients connexion et ceux sans
connexion. Dans le premier cas, on a recours un protocole dtablissement de clef de session
authentifie, hors bande, avant la communication. La clef rsultante est ensuite utilise pour
scuriser le trafic IP. Linconvnient de cette approche est quelle ncessite ltablissement et la
gestion dune pseudo couche session sous IP, alors quIP est un protocole sans connexion. Dans le
second cas, on a recours une gestion des clefs sans tat (stateless), qui ne ncessite donc pas de
connexion. Ceci est ralisable travers un systme en bande, o la clef ayant servi chiffrer le
paquet est transmise avec celui-ci, chiffre avec la clef publique du destinataire par exemple.
Linconvnient de ce systme est quil ajoute des donnes chaque paquet transmis.
Dautre part, DIFFIEHELLMAN est trs utilis dans tous les protocoles prsents ici, les diffrences
venant de la dure de vie des valeurs publiques utilises et de la faon dont elles sont authentifies et
changes.
3.2.1. SKIP
SKIP (Simple Key management for Internet Protocols) est un exemple de protocole qui ne se base
pas sur ltablissement dune connexion. En effet, aucun change pralable de messages nest
ncessaire avant de pouvoir envoyer un paquet chiffr et chaque paquet transporte linformation
qui permettra de le dchiffrer. Au niveau des couches rseau, cela se traduit par le fait que SKIP se
situe au niveau IP, et non au-dessus de TCP ou UDP comme la plupart des protocoles de gestion de
clefs.
Dautre part, SKIP se base sur une gnration de secret partag DIFFIEHELLMAN avec valeurs
publiques authentifies, donc le seul prrequis est que chaque participant doit tre en possession
dune valeur publique DIFFIEHELLMAN authentifie.
a/ Historique
SKIP a t cr en 1994 par Ashar AZIZ et Whitfield DIFFIE de SUN MICROSYSTEMS. Un brevet fut
dpos par SUN MICROSYSTEMS en juin 1994 puis plac dans le domaine public peu de temps aprs.
SKIP fut propos comme protocole de gestion des clefs standard pour IPsec, et un certain nombre
dInternet drafts furent publis dans ce sens jusquen aot 1996. cette poque, les deux standards
possibles pour la gestion des clefs avec IPsec taient SKIP et ISAKMP/Oakley. Un choix simposait,
et la question fut tranche en faveur de ISAKMP/Oakley en septembre 1996. Si ISAKMP/Oakley a
t choisi pour tre le protocole impos dans toute implmentation, lutilisation de SKIP nest pas
exclue. Cependant, la publication dInternet drafts son sujet a cess depuis cette date. SUN
MICROSYSTEMS continue dvelopper ce protocole et lintgrer dans un certain nombre de produits,
notamment SunScreen SKIP.SKIP est galement utilisable pour la gestion des clefs IPsec dans le
produit Firewall-1 de CHECK POINT.
b/ Principe
SKIP est bas sur le principe de gnration de secret partag DIFFIEHELLMAN, avec authentification
pour viter une possible attaque de lintercepteur. Les deux tiers possdant chacun une valeur
publique DIFFIEHELLMAN authentifie, ils peuvent, partir de la connaissance de la valeur
publique de linterlocuteur et de leur propre valeur prive, gnrer un secret partag.
Pour implmenter SKIP, chaque tiers doit donc possder une valeur publique DIFFIEHELLMAN
authentifie. Cette authentification peut tre obtenue de diffrentes faons : certificat X.509, DNS
scuris, clef PGP signe... D'autre part, pour communiquer avec un interlocuteur choisi, un tiers doit
obtenir sa valeur publique. Une faon de raliser cela est de distribuer les valeurs publiques laide
dun service dannuaire (directory service) ou laide du protocole de dcouverte de certificats
(Certificate Discovery Protocol, CDP).
19
Soient I et J les deux tiers. Les valeurs prives sont respectivement i et j et les valeurs publiques gi
mod p et gj mod p. Chaque tiers obtient le secret partag en levant la valeur publique de son
interlocuteur la puissance sa valeur prive : (gj mod p)i = (gi mod p)j. gij mod p est appel secret
partag long terme et sert driver une clef secrte Kij. En effet, gij mod p sera typiquement de
longueur 1024 bits ou plus, alors que Kij est une clef secrte de longueur 40 256 bits typiquement.
Dans SKIP, Kij est constitue des bits de poids faible de gij mod p.
Voil pour la partie change de clef proprement dite. SKIP va plus loin en prcisant comment cette
clef est ensuite utilise pour protger les changes entre I et J. Kij est en fait une clef de chiffrement de
clef, cest--dire quelle est utilise exclusivement pour chiffrer des clefs de dure de vie beaucoup
plus faible. En effet, Kij est utilise pour chiffrer une clef Kp, appele clef de paquet, qui est ellemme utilise pour gnrer deux clefs, servant respectivement au chiffrement et
lauthentification dun paquet IP ou dun ensemble rduit de paquets.
Le mode de fonctionnement de SKIP, sil ne requiert pas dchange pralable lenvoi de paquet
chiffr, implique en revanche une augmentation de la taille de chaque paquet. En effet, un en-tte
supplmentaire, dit en-tte SKIP, est adjoint au datagramme IP ; il sert notamment transmettre la
clef Kp (chiffre avec Kij) et indiquer les algorithmes utiliss.
Rsum et bibliographie
SKIP est un protocole de gestion des clefs en ligne spcifiquement prvu pour scuriser des
protocoles sans connexion comme IP. Il utilise une gnration de clef DIFFIEHELLMAN, base de
valeurs publiques authentifies. Le secret partag ainsi gnr sert de clef de chiffrement de clef
pour des clefs de session. Il ny a donc pas de perfect forward secrecy (PFS). Une extension de
SKIP a t dfinie qui fournit la proprit de PFS et la protection de lanonymat, au prix dchange
de certificats supplmentaires entre les entits.
La bibliographie sur SKIP se trouve page 48.
3.2.2. Photuris
a/ Contexte
Dvelopp depuis 1995 par Phil KARN de chez QUALCOMM et William Simpson de chez
DayDreamer, Photuris utilise le mme principe que le protocole STS (Station-To-Station) cr par
DIFFIE, VAN OORSCHOT et WIENER [DOW92]. Il a fait lobjet dInternet drafts puis de RFC
indpendants de tout groupe de travail, et est utilisable avec IPsec. Quelques implmentations
l'utilisent d'ailleurs actuellement, mme si IKE est bien plus rpandu.
20
b/ Principe
Photuris est bas sur la gnration dun secret partag selon le principe de DIFFIEHELLMAN. Ce
secret partag a une dure de vie faible : il sert gnrer les clefs de session ncessaires pour
protger la suite des changes. Afin de contrer lattaque de lintercepteur laquelle est vulnrable
DIFFIEHELLMAN, lchange des valeurs servant gnrer le secret partag est suivi dune
authentification de ces valeurs laide des secrets long terme. Ces secrets servant uniquement
lauthentification, Photuris fournit la proprit de perfect forward secrecy.
Un problme de DIFFIEHELLMAN est que ce protocole requiert des oprations coteuses en
ressources systme, ce qui le rend vulnrable des attaques en dni de service appeles attaques par
inondation (flooding attacks). Afin de rendre de telles attaques plus difficiles, Photuris a recours
un change de cookies avant de procder lchange de valeurs DIFFIEHELLMAN. La valeur du
cookie dpend des tiers en prsence, en particulier par lintermdiaire de ladresse IP et du port UDP,
ceci afin dempcher un attaquant dobtenir un cookie valable puis de lutiliser pour inonder la
victime de requtes provenant dadresses IP et/ou de ports arbitraires. Dautre part, il ne doit pas tre
possible, pour un attaquant, de gnrer des cookies qui seront accepts par une entit comme gnrs
par elle-mme. Ceci implique que lentit mettrice utilise une information locale secrte dans la
gnration de ses cookies et dans leur vrification ultrieure.
Le protocole Photuris est compos des trois tapes suivantes :
1. Un change de cookies permet de contrer certaines attaques simples en dni de service. Chaque
tiers en prsence gnre un cookie, et les cookies sont rpts dans chaque message transmis.
2. Un change de valeurs publiques pour la gnration dun secret partag.
3. Un change didentits afin que les tiers sidentifient lun lautre et vrifient lauthenticit des
valeurs changes durant la phase prcdente. Cet change est protg en confidentialit grce
des clefs prives drives du secret partag et des cookies entre autres.
Dautres messages peuvent tre changs ultrieurement pour changer les clefs de session ou les
paramtres de scurit. Ces messages seront protgs en confidentialit de la mme faon que les
messages de lchange 3.
En parallle aux changes exposs ci-dessus, les tiers communicants se mettent daccord sur la
mthode de gnration du secret partag, puis sur un certain nombre de paramtres de scurit utiles
lassociation de scurit mise en place.
Rsum et bibliographie
Photuris est un protocole orient connexion qui utilise une gnration de secret partag DIFFIE
HELLMAN, suivie dune authentification des valeurs publiques utilises, pour tablir une clef de
session. Photuris introduit le concept de cookie, mcanisme qui permet de contrer certaines
attaques en dni de service. Le protocole comporte trois phases : change de cookies, change
de valeurs publiques et change didentits.
La bibliographie sur Photuris se trouve page 48.
3.2.3. SKEME
a/ Contexte
Dvelopp spcifiquement pour IPsec, SKEME est une extension de Photuris propose en 1996 par
Hugo KRAWCZYK de lIBM T. J. WATSON RESEARCH CENTER. Contrairement Photuris, qui impose
un droulement prcis du protocole, SKEME fournit divers modes dchange de clef possibles.
21
b/ Principe
De la mme faon que les protocoles STS et Photuris, le mode de base de SKEME repose sur
lutilisation de clefs publiques et sur une gnration de secret partag DIFFIEHELLMAN. SKEME
nest cependant pas restreint lutilisation de clefs publiques, mais permet galement lutilisation
dune clef prcdemment partage. Cette clef peut avoir t obtenue par distribution manuelle ou
par lintermdiaire dun centre de distribution de clef (Key Distribution Center, KDC), comme pour
Kerberos. Le KDC permet aux entits communiquantes de partager un secret par lintermdiaire dun
tiers de confiance. Lutilisation de ce secret pour lauthentification du secret DIFFIEHELLMAN et non
directement en tant que clef de session diminue la confiance requise en le KDC. Enfin, SKEME
permet galement deffectuer des changes plus rapides en omettant dutiliser DIFFIEHELLMAN
lorsque la proprit de perfect forward secrecy nest pas requise.
En rsum, SKEME comporte quatre modes distincts :
Le mode de base, qui fournit un change de clef bas sur des clefs publiques et prsentant la
proprit de PFS grce DIFFIEHELLMAN.
Un change de clef bas sur lutilisation de clefs publiques, mais sans DIFFIEHELLMAN.
Un change de clef bas sur lutilisation dune clef partage prcdemment et sur DIFFIE
HELLMAN.
Un mcanisme de changement de clef rapide bas uniquement sur des algorithmes symtriques.
Dautre part, SKEME se dcompose en trois phases : SHARE, EXCH et AUTH.
Durant la phase de partage (SHARE), les tiers changent des demi-clefs, chiffres avec la clef
publique lun de lautre. Ces deux demi-clefs permettent de gnrer une clef secrte K. Si lon
dsire protger lanonymat des tiers en prsence, leur identit est galement chiffre. Dans le cas
o lon possde dj un secret partag, cette phase est saute.
La phase dchange (EXCH) est utilise, suivant le mode choisi, pour changer des valeurs
publiques DIFFIEHELLMAN ou des nombres alatoires. Le secret partag DIFFIEHELLMAN ne
sera calcul quaprs la fin des changes.
Les valeurs publiques ou nombres alatoires prcdents sont authentifies pendant la phase
dauthentification (AUTH), laide de la clef secrte tablie durant la phase SHARE.
Il va de soi que les messages correspondant ces trois phases ne se suivent pas ncessairement de la
faon dcrite ci-dessus, mais sont en pratique combin pour minimiser le nombre de messages
changer.
Une autre phase, dite phase COOKIES, peut tre ajoute avant la phase SHARE afin de protger
contre les attaques en dni de service en ayant recours au mcanisme des cookies introduit par
Photuris.
Rsum et bibliographie
SKEME est un protocole orient connexion qui propose quatre modes dchange de clefs distincts
et se compose de trois phases : partage, change et authentification. SKEME peut galement
utiliser le mcanisme de cookies de Photuris.
La bibliographie sur SKEME se trouve page 48.
3.2.4. Oakley
a/ Contexte
Initialement propos par Hilarie ORMAN du dpartement informatique de luniversit dArizona,
Oakley a fait lobjet dune RFC dans le cadre du groupe IPsec et est, avec ISAKMP et SKEME, la
base de lchange de clef pour IPsec.
22
b/ Principe
Oakley est un protocole dchange de clef qui ressemble beaucoup SKEME, en ce sens quil
possde galement plusieurs modes, a recours aux cookies et ne ncessite pas le calcul du secret
partag DIFFIEHELLMAN avant la fin du protocole. Il se distingue des protocoles prsents jusqu
prsent par le fait quil permet explicitement aux tiers en prsence de se mettre daccord sur les
mcanismes dchange de clef, de chiffrement et dauthentification utiliss.
De fait, le but dOakley est de permettre le partage, de faon sre entre les tiers, dun ensemble
dinformations relatives au chiffrement : nom de la clef, clef secrte, identits des tiers, algorithmes
de chiffrement, dauthentification et fonction de hachage.
Plusieurs options sont disponibles dans Oakley. En plus du classique DIFFIEHELLMAN, Oakley peut
tre utilis pour driver une nouvelle clef dune clef ancienne ou pour distribuer une clef en la
chiffrant. Ces options se traduisent par lexistence de plusieurs modes.
Le principe gnral dOakley est que linitiateur de lchange commence par spcifier autant
dinformation quil le dsire dans un premier message. Son interlocuteur lui rpond en fournissant
galement autant dinformation quil le dsire. La conversation se poursuit jusqu ce que ltat
recherch soit atteint. Le choix de la quantit dinformation inclure dans chaque message dpend
des options slectionnes (utilisation de cookies sans tat, protection de lidentit, PFS, nonrpudiation...).
Les trois composants du protocole sont :
1. change de cookies (ventuellement sans tat),
2. change de valeurs publiques DIFFIEHELLMAN (optionnel),
3. authentification (options : anonymat, PFS sur les identits, non-rpudiation).
Rsum et bibliographie
Oakley ressemble beaucoup SKEME, et permet en plus la ngociation dun ensemble de
paramtres.
Oakley est dcrit dans la [RFC 2412].
3.3.1. ISAKMP
Nous avons vu au dbut de cette prsentation que lapport de services de scurit passait par
lutilisation dassociations de scurit qui permettent de dfinir les paramtres (clefs, protocoles)
ncessaires la scurisation dun flux donn. ISAKMP (Internet Security Association and Key
Management Protocol) a pour rle la ngociation, ltablissement, la modification et la
suppression des associations de scurit et de leurs attributs.
23
Ceci est possible grce la faon dont les ngociations ont lieu. Tout dabord, ISAKMP est prvu
pour fonctionner indpendamment des mcanismes pour lesquels il travaille : les donnes relatives
la gestion des clefs seront transportes part. ISAKMP peut tre implment directement au-dessus
dIP, ou au-dessus de tout protocole de la couche transport. Il sest notamment vu attribuer le port 500
sur UDP par lIANA.
Ensuite, ISAKMP dfinit un cadre pour ngocier les associations de scurit, mais nimpose rien
quant aux paramtres qui les composent. Un document appel domaine dinterprtation
(Domain of Interpretation, DOI) doit dfinir les paramtres ngocis et les conventions relatives
lutilisation de ISAKMP dans un cadre prcis. Un identificateur de DOI est utilis pour
interprter le contenu des messages ISAKMP. La [RFC 2407] dfinit le DOI pour lutilisation de
ISAKMP avec IPsec. Nous reviendrons sur ce document dans le chapitre suivant.
Enfin, ISAKMP comporte deux phases, qui permettent une sparation nette de la ngociation des
SA pour un protocole donn et de la protection du trafic propre ISAKMP :
Durant la premire phase, un ensemble dattributs relatifs la scurit est ngoci, les identits
des tiers sont authentifies et des clefs sont gnres. Ces lments constituent une premire
association de scurit, dite SA ISAKMP. Contrairement aux SA IPsec, la SA ISAKMP est
bidirectionnelle. Elle servira scuriser lensemble des changes ISAKMP futurs.
La seconde phase permet de ngocier les paramtres de scurit relatifs une SA tablir pour
le compte dun mcanisme de scurit donn (par exemple AH ou ESP). Les changes de cette
phase sont scuriss (confidentialit, authenticit...) grce la SA ISAKMP. Celle-ci peut bien sr
tre utilise pour ngocier plusieurs SA destines dautres mcanismes de scurit.
Les paramtres de la SA ISAKMP peuvent tre propres ISAKMP seulement, ou comporter
galement des lments propres un protocole de scurit donn et dfinis dans le DOI
correspondant. Dans le premier cas, on parlera de Generic ISAKMP SA, et celle-ci pourra servir pour
la ngociation de SA pour nimporte quel protocole de scurit. Dans le second cas, la SA ISAKMP
ne pourra tre utilise que pour ngocier une SA dpendant du mme DOI.
24
Sigle
SA
P
T
KE
ID
CERT
CR
HASH
SIG
NONCE
N
D
VID
Le bloc Security Association (SA) est utilis pour ngocier les attributs de scurit.
En lui-mme, il contient des champs qui indiquent le contexte de la ngociation (DOI et situation).
La situation est un paramtre qui dpend du DOI et qui permet dindiquer quel type de politique
de scurit on dsire utiliser. Une valeur de 0 pour le DOI pendant la phase 1 indique que lon
ngocie une SA ISAKMP gnrique. Une valeur de 1 indique le DOI IPsec.
Un bloc SA est toujours suivi dun ou plusieurs blocs Proposal, qui permettent de faire des
propositions (prsentes par ordre de prfrence) linterlocuteur.
Chaque bloc Proposal constitue une proposition dun ensemble dattributs relatifs une
association de scurit.
En lui-mme, le bloc Proposal indique le mcanisme de scurit que lon dsire utiliser (AH,
ESP) ainsi que le SPI associer la SA si cette proposition est retenue. Comme il est possible
de laisser le choix linterlocuteur en lui faisant plusieurs propositions, chaque bloc Proposal est
numrot. Lorsque plusieurs propositions constituent un tout (par exemple si lon veut ngocier
une protection par AH + ESP), elles portent le mme numro et rsulteront en la cration dun
paquet de SA.
Un bloc P est toujours suivi dun ou plusieurs blocs Transform, qui permettent de prciser les
attributs choisis pour la SA en question.
Chaque bloc Transform indique une transformation (algorithme de chiffrement, fonction de
hachage) et ses attributs. Ces lments dpendent bien sr du DOI et du mcanisme de scurit
slectionn dans les blocs prcdents.
Comme pour les blocs Proposal, les blocs Transform sont numrots : si deux blocs portent le
mme numro, ils forment un tout et doivent tre slectionns ensemble ; des blocs de numros
diffrents indiquent une possibilit de choix.
Ces trois premiers types de blocs ne sont pas indpendants et on peut considrer quils sont embots.
On dsigne donc souvent par le bloc SA seul lensemble des blocs SA, P et T.
SA
P1
T1.1
T1.2
T1.3
P2
T2.1
T2.2
! DOI
! Mcanisme ! Transfo. ! Transfo. ! Transfo. ! Mcanisme ! Transfo. ! Transfo.
! Situation ! SPI
! Attributs ! Attributs ! Attributs ! SPI
! Attributs ! Attributs
25
26
Le bloc Vendor ID peut tre utilis par un programmeur pour permettre deux instances de
son implmentation de se reconnatre et de pouvoir ensuite utiliser des lments propres cette
implmentation.
ISAKMP Header
Security Association Payload
Key Exchange Payload
Identity Payload
Authentication Payload (HASH ou SIG)
Nonce Payload
Signifie que le message est chiffr
- Figure 11. Notations pour les changes ISAKMP Lchange de base (Base Exchange) est conu pour permettre le transfert simultan des donnes
didentification et des donnes servant la gnration de la clef, ce qui permet de rduire le
nombre total de messages ncessaires, au dtriment de la protection de lanonymat des tiers en
prsence. En effet ; les identits sont changes avant quun secret partag ne soit tabli et ne
permette de les chiffrer.
Initiator
Responder
HDR, SA, NONCE
1
Vrifie lauthenticit
27
Responder
HDR, SA
1
HDR, SA
2
Attributs de la SA ngocis
HDR, KE, NONCE
3
HDR, KE, NONCE
4
Clef calcule par les deux tiers
HDR*, IDi, AUTH
5
Vrifie lauthenticit
Vrifie lauthenticit
Lchange dauthentification seule (Authentication Only Exchange) est conu pour aboutir
uniquement lauthentification des tiers, vitant ainsi le temps de calcul engendr par la
gnration de clef lorsque celle-ci nest pas ncessaire. Cet change est particulirement utile
durant la seconde phase, o il sera protg par les services de scurit ngocis au cours de la
premire phase.
Initiator
Responder
HDR, SA, NONCE
1
Vrifie
lauthenticit
28
Vrifie lauthenticit
Responder
HDR, SA, KE, NONCE, IDi
1
Vrifie
lauthenticit
Vrifie lauthenticit
Lchange dinformation (Informational Exchange) est constitu dun seul message et sert
transmettre une information relative la gestion des SA : message derreur, information dtat,
annonce de suppression de SA Il utilise soit un bloc Notification, soit un bloc Delete. Ce
message est protg par la SA ISAKMP si celle-ci a dj t tablie, sinon il nest pas protg.
Initiator
Responder
HDR*, N/D
1
Rsum et bibliographie
ISAKMP pose les bases permettant de construire divers protocoles de gestion des clefs (et plus
gnralement des associations de scurit). Il comporte trois aspects principaux :
Il dfinit une faon de procder, en deux tapes appeles phase 1 et phase 2 : dans la
premire, un certain nombre de paramtres de scurit propres ISAKMP sont mis en place,
afin dtablir entre les deux tiers un canal protg ; dans un second temps, ce canal est utilis
pour ngocier les associations de scurit pour les mcanismes de scurit que lon
souhaite utiliser (AH et ESP par exemple)
Il dfinit des formats de messages, par lintermdiaire de blocs ayant chacun un rle prcis et
permettant de former des messages clairs.
Il prsente un certain nombre dchanges types, composs de tels messages, qui permettant
des ngociations prsentant des proprits diffrentes : protection ou non de lidentit, perfect
forward secrecy,
a/ Bloc SA : situation
Utilis dans le bloc SA de ISAKMP, le champ situation permet de prciser la situation laquelle doit
tre rattache la ngociation. Le DOI IPsec dfinit trois situations diffrentes :
29
Identity only, qui impose une identification des tiers par le biais dun bloc ID.
Secrecy, qui permet lutilisation dindicateurs de niveaux de confidentialit.
Integrity, qui permet lutilisation dindicateurs ne niveaux pour lintgrit.
Le DOI IPsec dfinit galement des champs supplmentaires dans le bloc SA pour transporter les
donnes relatives la situation : niveau de confidentialit, niveau dintgrit
d/ Bloc ID
Le DOI IPsec ajoute au bloc ID les champs Protocol ID (UDP, TCP...) et Port, et dfinit les modes
didentification suivants :
Adresse IPv4, adresse IPv6
Sous rseau IPv4 ou IPv6 (adresse / masque de sous-rseau)
Plage dadresses IPv4 ou IPv6 (adresse de dbut, adresse de fin)
FQDN (foo.bar.com)
User FQDN (user@foo.bar.com)
Binary DER encoding of an ASN.1 X.500 Distinguished Name [X.501]
binary DER encoding of an ASN.1 X.500 General Name [X.509]
KEY ID : information propre un fournisseur et permettant d'identifier le secret partag pralable
utiliser
30
e/ Bloc N
3 nouveaux messages de statut sont introduits :
RESPONDER-LIFETIME
REPLAY-STATUS
INITIAL-CONTACT
Rsum et bibliographie
Le DOI IPsec est un document qui dfinit les paramtres ngocis et les conventions relatives
lutilisation de ISAKMP dans le cadre dIPsec.
Le domaine dinterprtation IPsec fait lobjet de la [RFC 2407].
3.3.3. IKE
Si le DOI IPsec prcise la contenu des blocs ISAKMP dans le cadre de IPsec, IKE en revanche utilise
ISAKMP, pour construire un protocole pratique. Le protocole de gestion des clefs associ ISAKMP
dans ce but est inspir la fois dOakley et de SKEME. Plus exactement, IKE utilise certains des
modes dfinis par Oakley et emprunte SKEME son utilisation du chiffrement clef publique pour
lauthentification et sa mthode de changement de clef rapide par change dalas. Dautre part, IKE
ne dpend pas dun DOI particulier mais peut utiliser tout DOI.
IKE comprend quatre modes : le mode principal (Main Mode), le mode agressif (Aggressive Mode), le
mode rapide (Quick Mode) et le mode nouveau groupe (New Group Mode). Main Mode et Aggressive
Mode sont utiliss durant la phase 1, Quick Mode est un change de phase 2. New Group Mode est un
peu part : ce nest ni un change de phase 1, ni un change de phase 2, mais il ne peut avoir lieu
quune fois une SA ISAKMP tablie ; il sert se mettre daccord sur un nouveau groupe pour de
futurs changes DIFFIEHELLMAN.
- Figure 12. Main Mode : exemple de premier change Les quatre mthodes dauthentification possibles sont la signature numrique, deux formes
dauthentification par chiffrement clef publique et lutilisation dun secret partag pralable.
31
Les deux seconds messages permettent ltablissement dun secret partag via lutilisation de
lchange de valeurs publiques DIFFIEHELLMAN.
- Figure 13. Main Mode : second change Le secret partag sert driver des clefs de session, deux dentre elles tant utilises pour
protger la suite des changes avec les algorithmes de chiffrement et de hachage ngocis
prcdemment.
Les deux derniers messages servent lauthentification de des valeurs publiques.
- Figure 14. Main Mode : troisime et dernier change Aggressive Mode est une instance de lchange ISAKMP Aggressive Exchange : il combine les
changes dcrits ci-dessus pour Main Mode de faon ramener le nombre total de messages trois.
Dans ces deux cas, la mthode choisie pour lauthentification influence le contenu des messages et la
mthode de gnration de la clef de session. La [RFC 2409] dtaille les messages changs dans
chaque cas et les formules de calcul des signatures et empreintes.
32
- Figure 15. Quick Mode Ou, en terme de composition des messages par blocs :
Initiator
Responder
HDR*, HASH, SA, NONCE [, KE] [, IDi, IDr]
1
HDR*, HASH, SA, NONCE [, KE] [, IDi, IDr]
2
Clef calcule, attributs de la SA ngocis
HDR*, HASH
3
33
d/ Phases et modes
Au final, le droulement d'une ngociation IKE suit le diagramme suivant :
Rsum et bibliographie
Combinaison d'ISAKMP, Oakley et SKEME, IKE (Internet Key Exchange), est le protocole de
gestion de paramtres de scurit utilis par IPsec.
IKE comporte diffrents modes et options :
Durant la phase 1, la ngociation d'une SA ISAKMP peut se faire soit avec Main Mode (6
messages), soit avec Aggressive Mode (3 messages). L'authentification des tiers peut se faire
par secret partag pralable, chiffrement clef publique ou signature.
Durant la phase 2, la ngociation de SA pour IPsec utilise Quick Mode, avec ou sans option de
Perfect Forward Secrecy.
IKE est dcrit dans la [RFC 2409].
34
AFNOR
AH
CAM
CBC
DES
DH
DOI
ESP
FAQ
GSS-API
HMAC
IANA
ICMP
ICV
IDEA
IETF
IKE
IP
IPng
IPPCP
IPsec
IPv4
IPv6
ISAKMP
ISO
IV
MAC
MDn
OSI
PFS
RACE
RCn
RFC
RIPE
RIPE-MD
RSA
35
36
SA
SAD
SHA
SKEME
SKIP
SPD
SPI
SSH
SSL
Security Association
Security Association Database
Secure Hash Algorithm
a Versatile Secure Key Exchange Mechanism for Internet
Simple Key management for Internet Protocols
Security Policy Database
Security Parameter Index
Secure SHell
Secure Socket Layer
TCP
TLS
TTL
UDP
VPN
Annexe B Glossaire
Algorithme cryptographique ou de chiffrement
Procd ou fonction mathmatique utilise pour le chiffrement et le dchiffrement. Dans la
cryptographie moderne, lalgorithme est souvent public et le secret du chiffre dpend dun
paramtre appel clef.
Analyse du trafic
Observation des caractristiques extrieures du trafic transitant sur un rseau afin de tenter den
tirer des informations : frquence des transmissions, identits des tiers communicants, quantits
de donnes transfres. Associes des informations de nature diffrente (date de rendez-vous,
actualit...) ces lments peuvent permettre aux adversaires de faire des dductions
intressantes.
Association de scurit (Security Association, SA)
Connexion simplexe (unidirectionnelle) cre pour scuriser des changes. Tout le trafic qui
traverse une SA se voit appliquer les mmes services de scurit. Une SA correspond donc un
ensemble de paramtres, qui caractrisent les services fournis au travers de mcanismes de
scurit comme AH et ESP.
# Voir les chapitres La notion dassociation de scurit page 5 et La gestion des clefs pour
IPsec : ISAKMP et IKE page 23.
Authenticit
Terme utilis dans ce document pour dsigner le service de scurit qui consiste assurer la
fois lintgrit et lauthentification de lorigine des donnes.
Authentification
On distingue deux types dauthentification :
Authentification dun tiers.
Cest laction qui consiste prouver son identit.
Ce service est gnralement rendu par lutilisation dun change dauthentification qui
implique un certain dialogue entre les tiers communicants.
Authentification de lorigine des donnes
Elle sert prouver que les donnes reues ont bien t mises par lmetteur dclar.
Dans ce cas, lauthentification dsigne souvent la combinaison de deux services :
authentification et intgrit en mode non connect. Ces deux services nont en effet pas de
sens sparment et sont souvent fournis conjointement.
Bump-in-the-stack
Une implmentation est dite de type bump-in-the-stack si elle sintercale entre deux couches de
la pile de protocole (par exemple, entre PPP et le modem). La logique ainsi insre est perue
par la couche de rang n comme tant celle de rang n-1 et rciproquement.
CAM - Voir Code dauthentification de message
Certificat
Document lectronique qui renferme la clef publique dune entit, ainsi quun certain nombre
dinformations la concernant, comme son identit. Ce document est sign par une autorit de
certification ayant vrifi les informations quil contient.
37
Chiffrement, chiffrer
Application dun algorithme cryptographique un ensemble de donnes appeles texte en clair
afin dobtenir un texte chiffr.
Le chiffrement est un mcanisme de scurit permettant dassurer la confidentialit des
donnes.
Clef (secrte, publique, prive)
Paramtre dun algorithme de chiffrement ou de dchiffrement, sur lequel repose le secret.
On distingue deux types de clefs :
les clefs secrtes, utilises par les algorithmes symtriques, pour lesquels la clef de
chiffrement et de dchiffrement sont gales.
les couples (clef publique, clef prive), utiliss par les algorithmes asymtriques, pour
lesquels clef de chiffrement et de dchiffrement sont distinctes.
Clef de chiffrement de clefs
Clef utilise exclusivement pour chiffrer dautres clefs, afin de les faire parvenir un interlocuteur. Une clef de chiffrement de clef a gnralement une dure de vie assez longue, par
opposition aux clefs quelle sert chiffrer.
# Voir le chapitre Types de clefs page 16.
Clef de session
Clef ayant une dure de vie trs limite, gnralement une session.
Les clefs de session sont gnralement des clefs secrtes, utilises pour chiffrer les donnes
transmises, et que les tiers communicants gnrent en dbut de communication.
# Voir le chapitre Types de clefs page 16.
Clef matresse
Clef servant gnrer dautres clefs.
# Voir le chapitre Types de clefs page 16.
Code dauthentification de message (CAM)
Rsultat dune fonction de hachage sens unique clef secrte. Lempreinte dpend la fois
des donnes et de la clef ; elle nest donc calculable que par les personnes connaissant la clef.
Adjointe aux donnes sur lesquelles elle a t calcule, elle permet de vrifier leur authenticit
(authentification + intgrit).
Confidentialit
Service de scurit qui consiste sassurer que seules les personnes autorises peuvent prendre
connaissance dun ensemble de donnes.
Le mcanisme qui permet dobtenir ce service est gnralement le chiffrement des donnes
concernes laide dun algorithme cryptographique.
On parle aussi de confidentialit du trafic lorsquon dsire empcher lanalyse du trafic en
cachant les adresses source et destination, la taille des paquets, la frquence des changes...
Connexion
Relation logique tablie entre deux entits.
Chaque couche rseau fournit aux couches suprieures un certain nombre de services dont
certains sont dits sans connexion et dautres orients connexion. Dans un service sans
connexion, chaque message est considr comme totalement indpendant des autres et peut tre
envoy tout moment, sans procdure pralable et sans que le destinataire final soit
38
ncessairement prsent ce moment. Cest le cas par exemple de IP, qui noffre quun service
de type remise de datagrammes. Dans un service orient connexion, linitiateur de la
communication doit dabord tablir un lien logique avec lentit avec laquelle il dsire
communiquer. Cette procdure est appele ouverture de la connexion et implique gnralement
de se mettre daccord sur un certain nombre doptions.
Contrle daccs
Service de scurit permettant de dterminer, aprs avoir authentifi un utilisateur, quels sont
ses privilges et de les appliquer. Ce service a pour but dempcher lutilisation dune ressource
(rseau, machine, donnes...) sans autorisation approprie.
Cryptage, crypter
Termes drivs de langlais to encrypt et souvent employs incorrectement la place de
chiffrement et chiffrer. En toute rigueur, ces termes nexistent pas dans la langue franaise.
Si le cryptage existait, il pourrait tre dfini comme linverse du dcryptage, cest--dire
comme laction consistant obtenir un texte chiffr partir dun texte en clair sans connatre la
clef. Un exemple concret pourrait tre de signer un texte choisi en reproduisant un chiffrement
avec la clef prive de la victime. Mais on prfre parler dans ce cas de contrefaon.
Cryptanalyse ou analyse cryptographique
Science qui tudie la scurit des procds cryptographiques pour tenter de trouver des
faiblesses et pouvoir en particulier effectuer un dcryptement avec succs.
Analyse dun systme cryptographique, et/ou de ses entres et sorties, pour en dduire des
variables confidentielles et/ou des donnes sensibles (y compris un texte en clair). [ISO
7498-2]
Cryptogramme
Aussi appel texte chiffr. Donnes obtenues par application dun algorithme de chiffrement.
Le contenu smantique de ces donnes nest pas comprhensible.
Cryptographie
tude du chiffrement et du dchiffrement, ainsi que des procds permettant dassurer
lintgrit, lauthentification...
Discipline incluant les principes, moyens et mthodes de transformation des donnes, dans le
but de cacher leur contenu, dempcher que leur modification passe inaperue et/ou dempcher
leur utilisation non autorise. [ISO 7498-2]
Cryptologie
tude scientifique de la cryptographie et de la cryptanalyse.
Datagramme
Les datagrammes sont des paquets totalement indpendants les uns des autres et circulant en
mode non connect. Par exemple, les paquets dIP et ceux dUDP sont des datagrammes.
Chaque paquet de type datagramme transite travers le rseau avec lensemble des informations ncessaires son acheminement, et notamment les adresses de lexpditeur et du
destinataire. Le routage tant effectu sparment pour chaque datagramme, deux datagrammes
successifs peuvent donc suivre des chemins diffrents et tre reus par le destinataire dans un
ordre diffrent de celui dmission. De plus, en cas de problme dans le rseau, des
datagrammes peuvent tre perdus. Le destinataire doit donc rordonner les datagrammes pour
reconstituer les messages et contrler quaucun datagramme nest perdu.
39
Dchiffrement
Action inverse du chiffrement, lorsque celui-ci est rversible : laide dun algorithme
cryptographique et dune clef, on reconstruit le texte en clair partir du texte chiffr.
Dcryptement, dcryptage
Action qui consiste casser le chiffrement dun texte de faon retrouver le texte en clair
sans connatre la clef qui permet son dchiffrement normal.
Dni de service
Impossibilit daccs des ressources pour des utilisateurs autoriss ou introduction dun
retard pour le traitement doprations critiques. [ISO 7498-2]
Disponibilit
Service de scurit qui assure une protection contre les attaques visant dgrader ou rendre
impossible laccs un service.
Empreinte (digest)
Aussi appel condens.
Chane de taille fixe obtenue par application dune fonction de hachage un ensemble de
donnes.
Encapsulation, encapsuler
Technique qui consiste inclure un paquet dun protocole lintrieur dun paquet dun autre
protocole afin que ce dernier transporte le premier paquet. Lintrt peut tre soit de rendre
possible lutilisation du protocole encapsul sur une liaison possdant le protocole encapsulant,
soit de faire profiter le protocole encapsul des services rendus par le protocole encapsulant. La
faon la plus logique dutiliser lencapsulation est dencapsuler un protocole de niveau
suprieur dans un protocole de niveau infrieur, mais il est galement possible de faire
linverse.
Fonction sens unique
Une fonction sens unique est une fonction facile calculer mais difficile inverser.
La cryptographie clef publique repose sur lutilisation de fonctions sens unique brche
secrte : pour qui connat le secret (i.e. la clef prive), la fonction devient facile inverser.
Fonction de hachage
Aussi appele fonction de condensation.
Fonction qui convertit une chane de longueur quelconque en une chane de taille infrieure et
gnralement fixe ; cette chane est appele empreinte (digest en anglais) ou condens de la
chane initiale.
Fonction de hachage sens unique
Fonction de hachage qui est en plus une fonction sens unique : il est ais de calculer
lempreinte dune chane donne, mais il est difficile dengendrer des chanes qui ont une
empreinte donne. On demande gnralement en plus une telle fonction dtre sans collision,
cest--dire quil soit impossible de trouver deux messages ayant la mme empreinte.
ICV (Integrity Check Value)
Valeur de vrification dintgrit. Cette valeur est calcule par lexpditeur sur lensemble
des donnes protger. LICV est alors envoye avec les donnes protges. En utilisant le
mme algorithme, le destinataire recalcule lICV sur les donnes reues et la compare lICV
originale. Si elles se correspondent, il en dduit que les donnes nont pas t modifies.
40
Message
Paquet
En-tte
Segment 1
En-tte
Segment 2
En-tte
Segment 3
La taille maximale dun paquet dpend du rseau ; un paquet peut correspondre un message
entier si celui-ci est court, mais en gnral il ne forme pas un tout logique pour le destinataire.
Les paquets sont achemins sparment jusquau destinataire, qui attend la rception de tous les
paquets pour pouvoir reconstituer le message.
41
42
43
Cette bibliographie liste les principaux documents utiliss pour la ralisation de cette prsentation,
classs par thme. Lindex permet de retrouver rapidement un document daprs sa rfrence.
La plupart des documents cits ci-dessous sont disponibles en ligne. Ainsi, on trouvera les RFC sur de
nombreux sites FTP (par exemple ftp://ftp.normos.org/ietf/rfc/) et les Internet Drafts sur le site de
lIETF (http://www.ietf.org/). Ladresse laquelle trouver un article est indique lorsque celui-ci est
accessible en ligne. ce sujet, la page de la compagnie CRYPTOGRAPHY RESEARCH intitule
Cryptography Author Sites (http://www.cryptography.com/resources/authors/) liste les pages web de
nombreux auteurs, permettant ainsi daccder de nombreux articles.
C.1. Cryptographie
C.1.1. Gnralits
[SCH96]
SCHNEIER Bruce, Cryptographie applique - Algorithmes, protocoles et codes source en C - 2me
dition, International Thomson Publishing France, 1997.
Ce livre est une traduction, le titre original est Applied Cryptography - Protocols, Algorithms, and
Source Code in C - 2nd Edition.
# Livre de rfrence sur la cryptographie moderne.
[RSA - FAQ]
RSA LABORATORIES, Frequently Asked Questions About Todays Cryptography - Version 4.1,
2000.
$ http://www.rsasecurity.com/rsalabs/faq/
# Prsentation rapide de nombreux points de cryptographie sous forme de FAQ.
[LAB98]
LABOURET Ghislaine, Introduction la cryptologie, document de synthse personnel, 1998.
$ http://www.multimania.com/labouret/realisations/cryptologie/
45
# Les protocoles dauthentification mutuelle avec change de clef : dfinition dun protocole sr,
les proprits souhaites pour de tels protocoles, prsentation du protocole STS.
C.2. IPsec
La prsentation de IPsec dans ce document est base sur les RFC de novembre 1998 du groupe IPsec
lIETF.
Pour obtenir la liste des Internet drafts relatifs IPsec, je vous conseille de consulter la page web du
groupe de travail sur IPsec lIETF (http://www.ietf.org/html.charters/ipsec-charter.html) ou
directement
la
page
listant
les
relatifs
IPsec
Internet
drafts
(http://www.ietf.org/ids.by.wg/ipsec.html).
[RFC 2411]
THAYER Rodney, DORASWAMY Naganand, GLENN R., IP Security Document Roadmap, RFC
2411, novembre 1998.
# Ce document explicite lorganisation des documents qui servent dcrire IPsec.
Voici une reproduction du schma de cette organisation :
46
C.2.1. Architecture
[RFC 2401]
ATKINSON Randall, KENT Stephen, Security Architecture for the Internet Protocol, RFC 2401,
novembre 1998.
# Prsentation de larchitecture densemble de IPsec et notamment de la notion dassociation de
scurit (Security Association, SA).
C.2.2. Protocole AH
[RFC 2402]
KENT Stephen, ATKINSON Randall, IP Authentication Header, RFC 2402, novembre 1998.
47
[RFC 2451]
ADAMS R., PEREIRA R., The ESP CBC-Mode Cipher Algorithms, RFC 2451, novembre 1998.
# CAST-128, RC5, IDEA, Blowfish, DES triple
[RFC 2410]
KENT Stephen, GLENN R., The NULL Encryption Algorithm and Its Use With IPsec, RFC 2410,
novembre 1998.
b/ PHOTURIS
[RFC 2522]
SIMPSON W. A., KARN Phil, Photuris: Session-Key Management Protocol, RFC 2522, mars 1999.
[RFC 2523]
SIMPSON W. A., KARN Phil, Photuris: Extended Schemes and Attributes, RFC 2523, mars 1999.
c/ SKEME
[KRA96]
KRAWCZYK Hugo, SKEME: A Versatile Secure Key Exchange Mechanism for Internet,
Symposium on Network and Distributed System Security, fvrier 1996.
$ http://info.isoc.org/conferences/ndss96/krawczyk.ps
d/ IKE (ISAKMP/Oakley)
[RFC 2408]
MAUGHAN Douglas, SCHERTLER Mark, SCHNEIDER Mark, TURNER Jeff, Internet Security
Association and Key Management Protocol (ISAKMP), RFC 2408, novembre 1998.
# ISAKMP
48
[RFC 2412]
ORMAN Hilarie, The OAKLEY Key Determination Protocol, RFC 2412, novembre 1998.
# Oakley
[RFC 2409]
HARKINS D., CARREL D., The Internet Key Exchange (IKE), RFC 2409, novembre 1998.
# IKE = ISAKMP/Oakley
e/ Domaine dinterprtation
[RFC 2407]
PIPER Derrell, The Internet IP Security Domain of Interpretation for ISAKMP, RFC 2407,
novembre 1998.
C.2.7. Cryptanalyse
[FS99]
FERGUSON Niels, SCHNEIER Bruce, A Cryptographic Evaluation of IPsec, dcembre 1999.
$ http://www.counterpane.com/ipsec.html
[BEL97]
BELLOVIN Steven M., Probable Plaintext Cryptanalysis of the IP Security Protocols, Proceedings
of the Symposium on Network and Distributed System Security, pp. 155-160, fvrier 1997.
$ http://www.research.att.com/~smb/papers/probtxt.ps
[BEL96]
BELLOVIN Steven M., Problem Areas for the IP Security Protocols, Proceedings of the Sixth
Usenix Unix Security Symposium, pp. 1-16, juillet 1996.
$ http://www.research.att.com/~smb/papers/badesp.ps
49