Académique Documents
Professionnel Documents
Culture Documents
cryptographie
Copyright © 2015 – 2019 FortiGate Niveau 1 1
La cryptographie
• Plan :
• Les fonctions de cryptographie.
• Chiffrement symétrique.
• Chiffrement asymétrique.
• Hachage.
• HMAC ou scellement.
• Certificats.
• Signature numérique.
• Les algorithmes de chiffrement dans FortiGate
• 2^16 = 65536
• 2^24 = 16 Millions
• 2^32 = 4 Milliards
• 2^40 = 2^16*2^24=65536*16Millions 4 Milliards
d’@ IPv4
= 1000 Milliards
• 2^56 = 1000 Milliards *65536
• 2^64 = infinie Humain
• 2^128 = infinie Humain * infinie Humain
Copyright © 2015 – 2019 FortiGate Niveau 1 4
La cryptographie
– DSA (Digital Signature Algorithm) : cet algorithme est basé sur le calcul
de logarithmes discrets.
– Contrairement à RSA, cet algorithme sert uniquement à la génération
des clés, signature du document et à la vérification du document signé.
• Synthèse :
2 GRANDES FAMILLES D’ALGORITHMES
- La clé est commune des 2 côtés - Le chiffrement se fait avec une clé (publique ou privée) ;
- La clé permet de chiffrer et de déchiffrer le déchiffrement se fait avec l’autre (son contraire, privée
- Le chiffrement est symétrique ou publique)
- Une des deux clés est diffusée librement : c ’est la clé
publique
- L ’autre clé est ultra confidentielle : c ’est la clé privée
- Le chiffrement est asymétrique
Remarque : Remarque :
- Force : rapidité - Force : pas de problème de « cassure » lié à la
- Faiblesse : l’échanger de la clé au moins une fois propagation des clés
- Adaptée aux échanges on line synchrones - Faiblesse : les algorithmes sont lourds
- Adaptée aux échanges asynchrones (off line)
– Chacune des deux parties échange sa clé publique avec l’autre partie.
L’algorithme combine cette clé obtenue avec la clé privée de chaque
partie pour aboutir à une clé identique de chaque côté.
• Algorithmes de Hashing :
• MD5 (Message Digest) : l’algorithme MD5 dérive de MD4 (qui à son tour
dérive de MD2). Il a été conçu par la société RSA et est libre de droit. Il
produit un digest de 128 bits.
– Une faille a été découverte en 1996 sur possibilité de créer des collisions à
la demande. Ce n’est qu’à partir de 2004 qu’une équipe chinoise découvre
des collisions complètes.
• SHA-1 (Secure Hashing Algorithm) : conçu par le NIST et le NSA. Il
produit un digest de 160 bits => obsolète dans tous les navigateurs
depuis Juin 2018.
– Il existe des versions SHA produisant des digests de 224, 256, 384 et 512
bits.
– En Aout 2005, une équipe chinoise (la même qui a découvert la faille sur
MD5) révèle qu’elle aurait découvert une faiblesse dans l’algorithme SHA-1.
– Cette découverte a permis de diminuer la complexité d’une attaque (280
269).
• NIST préconise d’utiliser SHA-256 et SHA-512 à la place de SHA-1.
• Méthode de scellement :
• Signature Numériques
• Une signature numérique est le résultat du chiffrement d’un
condensat (digest) par une clé privée (chiffrement asymétrique).
• IKEv1 Phase1
– Par défaut : aes128-sha256, aes256-sha256, aes128-sha1, aes256-sha1
• IKEv2 Phase1
– Par défaut : aes128-sha256, aes256-sha256, aes128gcm-prfsha256, aes256gcm-
prfsha384, chacha20poly1305-prfsha256
• Disponibles en Phase1 pour IKEv1 et IKEv2 : des, 3des, aes128-256,
aria128-256, seed128, suite-b
• IKEv1 Phase2
– Par défaut : aes128-sha1, aes256-sha1, aes128-sha256, aes256-sha256,
aes128gcm, aes256gcm, chacha20poly1305
• IKEv2 Phase2
– Par défaut : aes128-sha1, aes256-sha1, aes128-sha256, aes256-sha256,
aes128gcm, aes256gcm, chacha20poly1305
• Disponibles en Phase2 pour IKEv1 et IKEv2 : null, des, 3des, aes128-256,
aesgcm, aria128-256, seed