Académique Documents
Professionnel Documents
Culture Documents
6 Ceram
6 Ceram
Introduction
Un premier exemple
Département d’informatique,
SSL Protocole sécurisé
Université de Nice - Sophia Antipolis
Firewalls
80% des pertes dûes à des fraudes faites par des employés. faux clients,
escroquerie
Explication Ettercap
Attaque passive
Vol d’information
Malveillance
Possible avec :
telnet
pop
imap
http
http://fr.wikipedia.org/wiki/Packet_sniffer
Plan de l’exposé Historique
Introduction
Un premier exemple
Firewalls
déchiffrement
T R A N S P O S I T I O N S I M P L E
18 14 1 8 15 12 10 16 3 19 4 11 9 17 5 7 13 6 2
18 14 1 8 15 12 10 16 3 19 4 11 9 17 5 7 13 6 2
l e c h i f f r e m e n t e s t l o p
é r a t i o n q u i c o n s i s t e à
t r a n s f o r m e r u n t e x t e c
l a i r o u l i b e l l é e n u n a u
t r e t e x t e i n i n t e l l i g i
b l e a p p e l é t e x t e c h i f f
r é o u c r y p t o g r a m m e
Ci = g(Ci−1 , Ki ) i = 1, . . . , r
Ennemi
P C C
Source Emetteur Récepteur
K K
Source de clé
Un premier exemple
Invention de Diffie et Hellman [1] ; phrase prophétique :
Chiffres à clé secrète
Nous sommes aujourd’hui à l’aube d’une révolution en
Chiffres à clé publique cryptographie.
Firewalls
Bruno.Martin@unice.fr
Attaque passive
Vol d’information
Malveillance
{m} c c {c}
m PKB DKB m Plus possible
Distribution clés par
PKB PKC
PKB DKB
Le chiffrement
A disadvantage of asymmetric ciphers over symmetric garantit la confidentialité
ciphers is that they tend to be about "1000 times
pas l’authentification
slower." By that, I mean that it can take about 1000
times more CPU time to process an asymmetric d’autres attaques possibles
encryption or decryption than a symmetric encryption
or decryption. Empêcher l’attaque MIM...
Assurer l’authentification...
Plan de l’exposé Objectif des signatures
Introduction
Un premier exemple
Seul l’expéditeur doit pouvoir signer
Chiffres à clé secrète
N’importe qui peut vérifier la signature
Chiffres à clé publique La signature dépend uniquement :
de l’identité de l’expéditeur
Signatures & certificats du message
Garantit :
Identification et authentification
authentification de l’expéditeur
SSL Protocole sécurisé integrité du message
Firewalls
Signature Inconvénients
z = h(M)
Bob envoie m signé. N’importe qui :
M de taille arbitraire, Clés : (pk , sk ) reçoit (M, s)
z empreinte de taille fixe. M hachage
h
M Il calcule
1 h(M)
récupère pk de Bob
vérifie :
h est à sens unique, i.e. 2 s = {h(M)}sk 1 z = h(M)
h(M) rapide à calculer 2 s signe M ⇔ z = {s}pk
Il envoie (m, s).
z difficile à inverser.
h connue de tout le monde (md5, SHA-1).
Rappel Principe
Comment faire ?
IdA,cléA
AC Clé de A
IdA,cléA certifiée par AC SignAC(h(IdA,cléA))
Comment connaît-on l’algorithme de vérification
de l’autorité de certification ?
oui/non
ACr
IdACr,KACr
DOS
Ce qu’on sait faire pour le moment :
empêcher la communication
Transmettre une clé publique
transmettre des CertAC (S) erronés
Transmettre une clé secrète
client passe son temps à faire des vérifications inutiles
Sécuriser un canal
Un premier exemple
authentification : procédure qui consiste à vérifier
Chiffres à clé secrète l’identité d’une entité (personne, ordinateur...) afin
d’autoriser l’accès de cette entité à des ressources
Chiffres à clé publique (systèmes, réseaux, applications...).
Signatures & certificats identification permet de connaître l’identité d’une entité
authentification permet de vérifier cette identité.
Identification et authentification
Firewalls
Un premier exemple
Identification et authentification
Sans calcul de l’empreinte du msg-aléa, ce protocole peut
subir des attaques (msg-aléa/{msg-aléa}SK ). SSL Protocole sécurisé
Alice connaît la clé publique de Bob au préalable. Firewalls
Authentification Authentification
A→B "Bonjour"
B→A "Bonjour, je suis Bob. Voici mon certificat" certB SMTP HTTP
A→B "Prouve-le". Protocoles pour sécuriser TCP :
Transport Layer Security
B→A m = "Alice, c’est bien Bob" Secure Socket Layer (SSL, TLS)
c = {h(m)}sk
Transport Layer Security
A→B "Ok Bob, voici notre secret :" TCP (Transmission Control Protocol)
s = {secret}pk standardisé par l’IETF
B→A m0 = {message de Bob}secret IP (Internet Protocol)
M = h(message de Bob, secret)
On a vu comment :
Problème principal des réseaux privés conecté à Internet
construire des services de sécurité
composer ces services
solution : utiliser des coupe-feux (firewall) avec :
les utiliser pour sécuriser un protocole (donc un service filtres de paquets
réseau) proxy
mécanismes cryptographiques
Méthodes pour sécuriser un (ensemble de) serveur(s)
tout en diminuant le nombre de points d’entrée
Comment sécuriser un réseau ?
Un premier exemple
toutes les communications doivent passer par le pare-feu Chiffres à clé secrète
le pare-feu doit être convenablement configuré
Chiffres à clé publique
éviter le contournement (modem, gsm...)
éviter l’utilisation de clés usb, ordinateurs portables Signatures & certificats
tenir un journal (logs)
Identification et authentification
détecter les anomalies et/ou les intrusions
SSL Protocole sécurisé
Firewalls