cryptosec

Une OpenPKI

Linux-Expo2002, 30.01.02 Les PKI Open Source : Historique, implémentations industrielles, devenir. Sebastien Abdi et Mathias Brossard, de la société Idealx La conférence commence par une présentation de Idealx. Cette société à développé une PKI en GPL. Site de IDX-PKI : http://idx-pki.idealx.org La PKI Pourquoi ? Les PKI (Public Key Infrastructure, ICP en français) assurent des fonctions de sécurité. En particulier des services : d’authentification de confidentialité d’intégrité de non-répudiation Et ce en gérant de façon centralisée des certificats de clés publiques. La PKI c’est quoi ? C’est avant tout un cadre organisationnel, qui représente peut-être 80% de l’effort contre 20% de technique. (...)

 
 

Les PKI

Généralités : Suite à l’invention de la cryptographie à clés publiques, qui permettait de s’affranchir du problème de la distribution et de la gestion des clés symétriques, s’est posé le problème de la gestion des paires de clés. J’ai des amis qui ont d’énormes trousseaux de clés (des vraies, en métal), et j’ai pu constater que c’est tout un art de bien les gérer : se souvenir laquelle correspond à quelle serrure, faire en sorte que le trousseau ne déchire pas les poches, être en bons termes avec son serrurier, avoir des doubles pour les refaire en cas de perte, ne pas les oublier dans un bar au petit matin... etc. La notion de PKI (ICP, Infrastructure à Clés Publiques en français) prend tout son sens (...)

 
 

RSA

Généralités : C’est l’algorithme à clé publique le plus répandu, et le plus populaire. Il a été inventé en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman (le GCHQ anglais aurait eu en fait un peu d’avance). Cet algorithme peut être utilisé pour : - la confidentialité - la signature électronique - l’échange de clés symétriques. Sa sécurité repose sur la difficulté de factoriser les grands nombres (bien que ça ne soit pas mathématiquement prouvé, ce n’est qu’une conjecture). Une longueur de clé de 512 bits n’est aujourd’hui plus vraiment suffisante, on lui préférera du 1024 ou du 2048 bits. A vrai dire, même le 1024 commence à vieillir... Mais des longueurs de clé telles que 2048 mettent probablement RSA à (...)

 
 

Certificats X509 v3

Généralités : L’objet d’un certificat est de certifier une clé publique. Pour utiliser une clé publique il faut être sûr de l’identité de son détenteur. La première méthode est d’avoir une relation de confiance directe avec son détenteur, comme dans le modèle "web of trust" associé à PGP ou GPG. La deuxième méthode repose sur le principe que tous les interlocuteurs ont confiance en un tiers, qui certifiera les clés en les signant. X509 est un standard définissant le format des certificats émis par ces tiers, ou émetteurs de certificats (Certificate Authority, CA ne anglais). Il est à noter que l’utilisation de certificats ne fait que reporter la question de la confiance (en bout de chaîne, il y a forcément un (...)

 
 

Exemples de certificats

Quelques exemples de certificats X.509. Le premier est simplement l’apparence d’un certificat en base-64. Le formats DER et PKCS#7 ne sont pas très lisibles... En bas de page, on peut voir à quoi ressemble un certificat de l’intérieur. Certificat en base-64 : -----BEGIN CERTIFICATE----- MIICejCCAeOgAwIBAgIEN6WQeDANBgkqhkiG9w0BAzUJk QUFADAbMQswCQYDVQQGEwJGUjEMMAoGA1UEChMDQ1BFMB 4XDTk5MDgwMjEyMTA0OFoXDTAyMDgwMjEyNDA0OFowMjE LMAkGA1UEBhMCRlIxDDAKBgNVBAoTA0NQRTEVMBMGA1UE AxMMWXZlcyBMZSBSb3V4MIGdMA0GCSqGSIb3DQEBAQUAA 4GLADCBhwKBgQDWIb6MHRZTc1zUJKPZdBVnintsVc6/+2 ztftItA/+9HZVC4ybwSnn/73vj3MgXsckH7c8dWTDNxBj Zl/SjwrCc7YqZzvZe738Pr0HhzZbctDS97uVKqZsLgbFM (...)

 
 

Attaques et failles

Généralités : Il est difficile de dresser un panorama de la cryptanalyse ou des attaques sur les logiciels. Ce sont des domaines très éclectiques, qui bougent très rapidement. Chaque attaque est en général très liée au sujet de l’attaque : l’algorithme, le protocole, le logiciel... Ca ressemble plus à de l’artisanat qu’à de l’industrie, dans le sens que l’on refait rarement deux fois la même chose. Il n’y aura donc sur cette page que le principe de quelques attaques présentées de façon succincte, pour donner une idée. Dans tous les cas on n’examine que les systèmes qui se conforment aux principes de Kerckhoff, qui stipulent que l’attaquant connaît tous les détails de l’algorithme : ils peuvent être considérés (...)

 
 

IPSec

Généralités : C’est un protocole développé par l’IETF qui a pour but de sécuriser TCP/IP, de façon standardisée et donc intéropérable (c’est du moins un des buts du standard). Par l’authentification et le chiffrement des paquets IP, IPSec permet de sécuriser toute transmission de données reposant sur TCP/IP (contrairement à SSL, il n’est pas nécessaire de lancer des processus particuliers, sur des ports particuliers... https sur 443 et ftps 990 par exemple, correspondant aux couches supérieures). IPSec est un protocole particulièrement complexe. Les principales implémentations d’IPSec se retrouvent dans les logiciels et matériels de VPN (Virtual Private Network). De plus en plus de logiciels et d’OS (...)

 
 

SSL-TLS

Généralités : SSL (Secure Socket Layer) est un protocole à négociation (on parle du " handshake " SSL), développé à l’origine par Netscape. Il a pour but de sécuriser les transactions Internet, par authentification du client (un navigateur la plupart du temps) et du serveur, et par chiffrement de la session. La sécurisation des connexions à l’aide du protocole SSL doit assurer que : - La connexion assure la confidentialité des données transmises - La connexion assure que les données transmises sont intègres - L’identité des correspondants peut être authentifiée - La connexion est fiable La version 2.0 vient de Netscape et la version 3.0, qui est actuellement la plus répandue, à reçu les contributions de (...)

 
 

0 | 8 | 16 | 24 | 32

Creative Commons - BY - NC - ND

Tous les textes, images et sons de cryptosec sont publiés selon les termes de la licence Creative Commons - Attribution - Pas d’Utilisation Commerciale - Pas de Modification - 3.0