audit:crypto [wiki.doiteau.fr]

====== Différences ======

Cette page vous affiche les différences entre la révision choisie et la version actuelle de la page.

Lien vers cette vue comparative

--- audit:crypto [2014/11/19 14:57]
r.doiteau créée
+++ audit:crypto [2019/05/11 14:35] (Version actuelle)
@@ Ligne 55: / Ligne 55: @@
   * Bi clés
     * clé publique => chiffrement
     * clé privée => Déchiffrement
   * impossible de trouver une clé privée à partir de sa clé publique
   * mauvais rendement
     * RSA nécessite des clés chiffrement dur de très grand entiers (2018 ou 4096 bits recommandée)
-    * Chiffrement FIXME
+    * Chiffrement FIXME
 ==== Fonction de hachage ====
@@ Ligne 76: / Ligne 81: @@
     * RIPEMD-160, européen satisfait à la norme ISO/CEI 10118-3
 <code=shell>
 openssl dgst -rmd160 -c -out fic_destination fic_source
 </code>
 === Propriétés ===
@@ Ligne 97: / Ligne 104: @@
   * Le chiffrement asymétrique (peu rapide)
-{{ :audit:crypto-images-session.gif |}}
+{{:audit:crypto-images-session.gif| }}{{ :audit:ic73218.gif|}}
 FIXME
@@ Ligne 155: / Ligne 162: @@
   * Génération, distribution
   * carte à puce
   * Jeton USB
   * Calculettes: secureID
   * Fichier chiffré
@@ Ligne 165: / Ligne 176: @@
   * Problème à résoudre
     *
@@ Ligne 176: / Ligne 188: @@
   * Garantit l'authentification d'une clé par rapport à son propriétaire
   * Certification de la clé publique
     * Certifier l'association (Identité, clé publique, profil de l'utilisateur,...)
-    * Certification -> Signature du certificat + clé publique associée
+   * Certification -> Signature du certificat + clé publique associée
   * FIXME
@@ Ligne 184: / Ligne 200: @@
   * Public Key Infrastructure (PKI)
     * Enregistrement
     * Distribution
     * Révocation
     * Publication
     * Certification
   * Mécanismes de certification de clés publique qui propose
     * La cohabitation de plusieurs autorisés
     * FIXME
   * Exemples de solutions logiciel
     * FIXME
@@ Ligne 202: / Ligne 228: @@
 FIXME
   * Limitations
     * La sécurit
+FIXME
+===== Mécanismes cryptographiques des protocoles =====
+VPN, 802.1X/AAA,IPsec
+==== Quel intérêt à utiliser des mécanismes cryptographiques ? ====
+  * Avec les mécanismes de filtrage, l'usurpation d'adresse (MAC,IP,port) est toujours possible
+    * Pas d'authentification
+  * Les mécanismes cryptographiques des protocoles
+==== 802.1X Objectifs du protocole ====
+  * Authentification de l’accès au réseau lors de l’accès physique
+  * Appartient à la famille IEEE 802 (réseaux locaux)
+  * Se déroule avant tout protocole d'auto-configuration comme PXE ou DHCP
+  * Offre généralement un service Ethernet
+  * Offre généralement FIXME
+==== 802.1X Modèle ====
+{{ :audit:802.1x_wired_protocols.png |}}
+EAP : Extensible authentication protocol
+  * EAP TLS : certificat pour authentifier
+  * EAP Sim : sim pour authentifier le client
+==== 802.1X Conclusion ====
+  * La bonne solution pour authentifier au niveau 2
+    * Peut également offrir la confidentialité et l'intégrité
+  * Disponible sur les commutateurs 802.3 pour les réseaux filaires
+  * Disponible dur les bornes d'accès Wifi 802.11
+    * WPA2 basé sur EAP/TLS
+  * Compatible AAA
+    * Authentification
+    * Authorization
+    * Accounting
+==== Risque de traversée de réseaux OUVERTS ====
+==== VPN Réseau Privé Virtuel ====
+  * Besoin de définir des **chemins sécurisés** pour relier les réseaux/sites amis
+  * Réseau Privé Virtuel (RPV) = Virtuel Private Network
+  * Principalement IPsec, SSL, MPLS
+==== IPsec ====
+=== Présentation ===
+  * Architecture permettant d'offrir des mécanismes de sécurité au niveau IP entre :
+    * 2 stations
+    * 2 routeurs
+    * 1 station et un gare barriére ou un routeur d'accès
+  * FIXME
+=== Mécanismes de sécurité offerts per IPsec ===
+  * Au niveau réseau, sur le flux utilisateurs
+   * chiffrement des données
+    * contrôle d'intégrité
+    * dissimulation des identités
+    * protection contre le rejeu
+    * protection contre l'insertion
+    * authentification des entités
+  * Ces mécanismes dont fournis au moyen de
+    * un protocole de gestion IKE/ISAKMP
+    * deux extensions du protocole IP: AH et ESP et deux modes : transport et tunnel
+    * Mais peut provoquer une fragmentation IP car augmentation de la taille
+=== AH Authentification Header ===
 FIXME
+  * Service de sécurité offerts
+    * Intégrité du datagramme et de l'entête (anti-rejeu et anti-insertion)
+    * authentification de l'émetteur
+    * FIXME
+=== ESP Encapsulating Secutity Payload ===
+FIXME
+  * Service de sécurité offerts
+    * confidentialité et/ou intégrité du datagramme (sans l'entête)
+    * secret du flux par dissimulation des identités (mode tunnel)
+  * Algorithmes de hachage possibles : MD5, SHA-1
+  * Algorithmes de signature : RSA, secret partagé
+<note warning>il est préférable de configuré un IPsec sur deux même équipements</note>
+=== Mode transport/mode mode tunnel ===
+FIXME
+  * En mode transport, l'entête IP reste inchangée
+  * En mode tunnel, un nouvel entête IP est ajouté
+=== IKE Internet Key Exchange ===
+  * IKE permet l'établissement de VPN IPsec de manière sécurisé et automatisée
+    * Soit en utilisant un secret partagé (Pre shared key)
+    * Soit FIXME
+=== SCEP ===
+  * SCEP -SECURE Certificat et Enrollment Protocol
+    * FIXME
+==== TLS ====
+  * Fonctions de sécurité offertes à deux applications (client/serveur)
+    * conçues pour s'appuyer sur un support