Vous êtes sur la page 1sur 25

Plan du cours

Notions fondamentales de scurit


Introduction et motivation Vulnrabilits et attaques Cryptographie PKI

Scurit des systmes d'exploitation et du logiciel


Contrle daccs Scurit des systmes Aperu darchitectures matrielles Scurit du logiciel

Scurit des applications client-serveur et Web Bases de la Scurit des rseaux


Notions de bases sur les rseaux Dtection d'intrus (IDS) Protocoles scuritaires de rseaux

Gestion de la scurit informatique


12/10/2012 1

1
12/10/2012

Introduction et motivation Vulnrabilits et attaques Cryptographie PKI

NOTIONS FONDAMENTALES DE SCURIT


Maher SELLAMI
2

Sommaire
La cryptographie asymtrique. Infrastructure Cl publique (PKI).

Modle de Confiance.
Structure du Certificat numrique.

Conclusion

12/10/2012

Cryptographie asymtrique et gestion des cls

Problmes:
Distribution des cls

Obtenir la cl publique dune autre entit Distribuer sa propre cl publique

Rvocation

Rvoquer une cl publie Dterminer si une cl publie est valide ou non

12/10/2012

Distribution des cls publiques


1.
Alice envoie sa cl publique Bob

Alice 2.

Bob

Mallet intercepte la cl et la remplace avec sa propre cl

Alice 3.
12/10/2012

Mallet

Bob

Mallet peut dcrypter tout le trafic et gnrer des signatures falsifies


5

Distribution des cls publiques

(suite)

Une autorit de certification (CA) rsout ce problme:


Alice envoie sa cl publique au CA Alice prouve quelle dtient la cl prive correspondant la cl publique envoye

Le CA vrifie lidentit dAlice


Le CA signe lensemble: cl publique et identit dAlice avec sa cl prive, le document sign est appel certificat

Quand Bob reoit le certificat dAlice, il est sr que la cl qui y est certifie est celle dAlice

12/10/2012

Cest quoi un certificat numrique ?

Structure de donnes liant diffrents lments au moyen de la signature dune autorit de confiance Deux standards : Groupe SPKI : se focalise sur lautorisation une cl publique, le dteneur est identif par le hash de la cl publique. Standard X509

12/10/2012

Infrastructure cl publique (PKI)


Daprs le standard X.509:
Publie / Publie la rvocation

CA

Rpertoire

Demande / met

Utilisateur final
Mais: Le CA doit vrifier les dtails de chaque utilisateur Risques pour la scurit du CA

12/10/2012

Infrastructure cl publique
CA
Demande / met Publie / Publie la rvocation

(suite)

Rpertoire

RA

Utilisateurs finaux
Autorit denregistrement (RA)
Intermdiaire

entre dtenteur de cl et CA Vrifie les requtes des utilisateurs et les transmet au CA Le niveau de vrification dpend de la politique de certification (CPS) mise en uvre
12/10/2012 9

Composants dune PKI


Principaux
Autorit de certification CA Autorit denregistrement RA Annuaire de publication Administrateurs

Complmentaires
Base de donnes Serveur dhorodatage. Serveur HTTP, SMTP, POP.

12/10/2012

10

Modle de confiance dans X.509


Infrastructure Possibilit

hirarchique

de certification entre 2 CAs appartenant des arbres diffrents, cest la co-certification


CA1
1

CA1 co-certifie CA2

CA2
1

CA Utilisateur final

12/10/2012

11

Certificats X.509
Principal format utilis pour les certificats Norme:

ITU-T X.509, ou ISO/IEC 9594-8

Versions successives:

1988 : v1 1993 : v2 = v1 + 2 nouveaux champs 1996 : v3 = v2 + extensions

12/10/2012

12

Structure dun certificat X.509


Version (V1) Serial Number (V1) Signature Algorithm Identifier (V1) (pour la signature de lmetteur du certificat) Issuer (V1) (Nom X500 du CA)

Cl prive du CA

Validity (V1) (Dates dbut et fin du certificat)


Subject (V1) (Nom X500 du dtenteur) SubjectPublicKeyInformation (V1) (Identificateur de lalgorithme et cl publique) IssuerUniqueIdentifier (V2) SubjectUniqueIdentifier (V2) Extensions (V3)

Gnration de la signature

Signature digitale du CA

12/10/2012

13

Structure dun certificat X.509

IssuerUniqueIdentifie identifie de faon unique la cl utilise par le CA pour signer le certificat (cas o le CA a utilis plusieurs cls depuis sa mise en uvre)

SubjectUniqueIdentifier Diffrencie entre plusieurs cls publiques, issues par le mme CA, appartenant un mme dtenteur

12/10/2012

14

Structure dun certificat X.509

12/10/2012

15

Extensions dun Certificat X.509


Le concept dorigine des certificats X.509 est de relier lidentit dune entit une cl publique
Nouvelles situations: besoin davoir dautres informations que lidentit Solution: Introduction de blocks de donnes pouvant supporter nimporte quel type dinformations pour satisfaire des besoins locaux

12/10/2012

16

Extensions dun Certificat X.509 (suite)


Rajout de nouveaux champs sans la modification de la dfinition ASN.1 dun certificat
Permettre le rajout dextensions selon le besoin des implmentations Lidentificateur dune extension est dfini selon ITU-T Rec. X.660 | ISO/IEC 9834-1

Identificateur Extension1 Identificateur Extension2 Identificateur Extension3

Flag critique (1 ou 0) Flag critique (1 ou 0) Flag critique (1 ou 0)

Valeur Extension1 Valeur Extension2 Valeur Extension3

12/10/2012

17

Extensions dun Certificat X.509

(suite)

Les extensions sont classes en 4 catgories:


Les extensions dinformation sur la cl et la politique de scurit Les extensions dinformations sur le dtenteur et lmetteur Les extensions de contraintes sur le chemin de certification Les extensions de rvocation

12/10/2012

18

Extensions dinformation sur la cl et la politique de scurit


Key Usage:

dfinit lutilisation de la cl certifie

digitalSignature nonRepudiation keyEncipherment keyAgreement keyCertSign/cRLSign

Extended Key Usage:


autres cas dutilisation

ServerAuthentication clientAuthentication codeSigning emailProtection timeStamping

12/10/2012

19

Extensions dinformation sur la cl et la politique de scurit (suite)


Private Key usage Period:

dfinit les dates dbut et fin de validit de la cl prive


Une signature peut tre valide pour 10-20 annes, mais la cl prive doit tre utilise uniquement pour 1 ou 2 annes

12/10/2012

20

Extensions dinformation sur la cl et la politique de scurit (suite)


Certificate Policies

Informations sur la politique du CA sous laquelle le certificat a t mis

X.509 dlgue la politique du CA tout ce qui concerne la smantique de confiance du certificat

Plusieurs politiques servent pour protger le CA de toute responsabilit Verisign disclaims any warranties Varisign makes no representation

that any CA or user to which it has issued a digital ID is in fact the person or the organisation it claims to be Verisign makes no assurances of the accuracy, authenticity, integrity, or reliability of information

12/10/2012

21

Extensions dinformations sur le sujet et lmetteur


Alternative Name (Subject / Issuer) ou General Name

Nom rfc822 (adresse mail) Nom DNS (Nom DNS dune machine) uniformResourceIdentifier (URL)
Adresse IP Adresse X.400 Nom EDI OID Toute autre forme de nom

12/10/2012

22

Extensions dinformations sur le sujet et lmetteur (suite)

Subject directory attributes

Transporte une squence dattributs concernant le sujet du certificat: un rle, une appartenance un groupe, une autorisation, un numro de tlphone

12/10/2012

23

Extensions de contraintes sur le chemin de certification

Basic Constraints Prcise si le certificat mis est un certificat de CA ou pas Si le certificat mis est un certificat de CA, une Distance de certification est dfinie Name Constraints utilis dans les certificats de CAs indique un espace de noms o tous les noms des sujets ultrieurs dans le chemin de certification doivent figurer Policy Constraints Identification explicite de la politique de scurit

12/10/2012

24

Extensions de rvocation

CRL Distribution Points

identifie les points de distribution de la CRL

Freshest CRL

identifie la CRL qui a les informations les plus rcentes

12/10/2012

25