Chapitre V : Introduction à la

cryptographie
Copyright © 2015 – 2019 FortiGate Niveau 1 1
 La cryptographie

• Plan :
• Les fonctions de cryptographie.
• Chiffrement symétrique.
• Chiffrement asymétrique.
• Hachage.
• HMAC ou scellement.
• Certificats.
• Signature numérique.
• Les algorithmes de chiffrement dans FortiGate

Copyright © 2015 – 2019 FortiGate Niveau 1 2

 La cryptographie

• Les fonctions de la cryptographie

» chiffrement : transformation à l'aide d'une clé d'un message en

clair (dit clair) en un message incompréhensible (dit texte chiffré)
Bonjour pour celui qui ne dispose pas de la clé de déchiffrement (en
test de = anglais encryption key ou private key pour la cryptographie
chiffrement asymétrique).

» Authentification : consiste, à vérifier l'identité d’un équipement

ou d’une personne afin d'autoriser l'accès. L'authentification
permet donc de valider l'authenticité de l'entité en question.

» Identification : permet donc de connaître l'identité d'une entité

alors que l'authentification permet de vérifier cette identité.

» Intégrité : des données désignant l'état de données qui, lors de

leur traitement, de leur conservation ou de leur transmission, ne
subissent aucune altération, volontaire ou accidentelle.

Copyright © 2015 – 2019 FortiGate Niveau 1 3

 La cryptographie

• Cryptographie - les grands nombres :

• 2^8 = 256

• 2^16 = 65536

• 2^24 = 16 Millions

• 2^32 = 4 Milliards
• 2^40 = 2^16*2^24=65536*16Millions 4 Milliards
d’@ IPv4
= 1000 Milliards
• 2^56 = 1000 Milliards *65536
• 2^64 = infinie Humain
• 2^128 = infinie Humain * infinie Humain
Copyright © 2015 – 2019 FortiGate Niveau 1 4
 La cryptographie

• Méthode de chiffrement Symétrique :

– Ce système utilise la même clé pour chiffrer et déchiffrer l’information. Bien
que rapides et fiables, ces systèmes nécessitent un canal confidentiel entre
les 2 parties pour l’échange des clés.

Copyright © 2015 – 2019 FortiGate Niveau 1 5

 La cryptographie

• Algorithmes de chiffrement Symétriques :

• DES (Data Encryption Standard ) clé de 56 bits.

• 3DES (Data Encryption Standard ) (comparable à un algorithme à clé
de 112 bits) .
• RC2 (Rivest Cipher) clé de 128 bits (obsolète).
• RC4 (Rivest Cipher) clé de 40 bits (obsolète, n’est plus présent dans
FortiOS depuis la version 6.0.6).
• AES (Advanced Encryption Standard) clé de 128 à 512 bits.

• SEED (RFC 4269 de 2005) clé de 128 bits.

• ARIA (RFC 8269 de 2017) clé de 128 à 256 bits.
• CHACHA20 et Poly1305 (RFC 8439 de 2018) cl » de 256 bits.

Copyright © 2015 – 2019 FortiGate Niveau 1 6

 La cryptographie

• Méthode de chiffrement Asymétrique :

– Ce système utilise une clé publique pour chiffrer le message, et une clé
privée pour le déchiffrer. La clé publique est connue de tous, tandis que
la clé privée est tenue secrète.
– Cette méthode permet un échange d ’informations sécurisées à travers
un canal insécurisé, mais se révèle environ 1000 fois plus lente à taille
de message identique.

Copyright © 2015 – 2019 FortiGate Niveau 1 7

 La cryptographie

• Algorithmes de chiffrement Asymétriques :

– RSA (River Shamir Adleman) : développé par la société du même nom.

Il s’agit d’un système standard utilisé par la plupart des protocoles
Internet tel SSL.
– En 2008, c'est le système à clef publique le plus utilisé (carte bancaire
française, de nombreux sites web commerciaux…).

– DSA (Digital Signature Algorithm) : cet algorithme est basé sur le calcul
de logarithmes discrets.
– Contrairement à RSA, cet algorithme sert uniquement à la génération
des clés, signature du document et à la vérification du document signé.

Copyright © 2015 – 2019 FortiGate Niveau 1 8

 La cryptographie

• Synthèse :
2 GRANDES FAMILLES D’ALGORITHMES

UTILISATION DE CLE SECRETE UTILISATION DE CLE PUBLIQUE ET PRIVEE

- La clé est commune des 2 côtés - Le chiffrement se fait avec une clé (publique ou privée) ;
- La clé permet de chiffrer et de déchiffrer le déchiffrement se fait avec l’autre (son contraire, privée
- Le chiffrement est symétrique ou publique)
- Une des deux clés est diffusée librement : c ’est la clé
publique
- L ’autre clé est ultra confidentielle : c ’est la clé privée
- Le chiffrement est asymétrique

Remarque : Remarque :
- Force : rapidité - Force : pas de problème de « cassure » lié à la
- Faiblesse : l’échanger de la clé au moins une fois propagation des clés
- Adaptée aux échanges on line synchrones - Faiblesse : les algorithmes sont lourds
- Adaptée aux échanges asynchrones (off line)

Convient au chiffrement ON LINE Chiffrement OFF LINE ou chiffrement

du transfert à clés secrètes et signatures
REMARQUE Une bonne combinaison : le chiffrement asymétrique à clé publique et
privée pour véhiculer une clé secrète
Copyright © 2015 – 2019 FortiGate Niveau 1 9
 La cryptographie

• L’algorithme de Diffie Hellman :

– L’algorithme de Diffie-Hellman est une méthode pour l’échange d’une
clé symétrique à travers un média non sécurisé.

– Chacune des deux parties échange sa clé publique avec l’autre partie.
L’algorithme combine cette clé obtenue avec la clé privée de chaque
partie pour aboutir à une clé identique de chaque côté.

Copyright © 2015 – 2019 FortiGate Niveau 1 10

 La cryptographie

• Méthode des fonctions de Hachage :

– Les avantages spécifiques des fonctions de hachage :

• Elles sont faciles à générer, mais il est extrêmement difficile
connaissant le digest de générer un message correspondant.
• Elles servent avant tout à vérifier l’intégrité des données. En
conjonction avec des signatures émanant d’une clé privée, elles
jouent un rôle d’authentification (signatures numériques) et
également de non répudiation.
Copyright © 2015 – 2019 FortiGate Niveau 1 11
 La cryptographie

• Algorithmes de Hashing :

• MD5 (Message Digest) : l’algorithme MD5 dérive de MD4 (qui à son tour
dérive de MD2). Il a été conçu par la société RSA et est libre de droit. Il
produit un digest de 128 bits.
– Une faille a été découverte en 1996 sur possibilité de créer des collisions à
la demande. Ce n’est qu’à partir de 2004 qu’une équipe chinoise découvre
des collisions complètes.
• SHA-1 (Secure Hashing Algorithm) : conçu par le NIST et le NSA. Il
produit un digest de 160 bits => obsolète dans tous les navigateurs
depuis Juin 2018.
– Il existe des versions SHA produisant des digests de 224, 256, 384 et 512
bits.
– En Aout 2005, une équipe chinoise (la même qui a découvert la faille sur
MD5) révèle qu’elle aurait découvert une faiblesse dans l’algorithme SHA-1.
– Cette découverte a permis de diminuer la complexité d’une attaque (280
269).
• NIST préconise d’utiliser SHA-256 et SHA-512 à la place de SHA-1.

Copyright © 2015 – 2019 FortiGate Niveau 1 12

 La cryptographie

• Méthode de scellement :

Copyright © 2015 – 2019 FortiGate Niveau 1 13

 La cryptographie

• Signature Numériques
• Une signature numérique est le résultat du chiffrement d’un
condensat (digest) par une clé privée (chiffrement asymétrique).

• Le destinataire récupère le digest, le déchiffre avec la clé publique

de l’expéditeur, et le compare au digest du message qu’il extrait.

Copyright © 2015 – 2019 FortiGate Niveau 1 14

 La cryptographie

• Les algorithmes de chiffrement pour IKEv1 et IKEv2 dans FortiGate –

FortiOS 6.2

• IKEv1 Phase1
– Par défaut : aes128-sha256, aes256-sha256, aes128-sha1, aes256-sha1
• IKEv2 Phase1
– Par défaut : aes128-sha256, aes256-sha256, aes128gcm-prfsha256, aes256gcm-
prfsha384, chacha20poly1305-prfsha256
• Disponibles en Phase1 pour IKEv1 et IKEv2 : des, 3des, aes128-256,
aria128-256, seed128, suite-b

• IKEv1 Phase2
– Par défaut : aes128-sha1, aes256-sha1, aes128-sha256, aes256-sha256,
aes128gcm, aes256gcm, chacha20poly1305
• IKEv2 Phase2
– Par défaut : aes128-sha1, aes256-sha1, aes128-sha256, aes256-sha256,
aes128gcm, aes256gcm, chacha20poly1305
• Disponibles en Phase2 pour IKEv1 et IKEv2 : null, des, 3des, aes128-256,
aesgcm, aria128-256, seed

Copyright © 2015 – 2019 FortiGate Niveau 1 15