====== Différences ======
Cette page vous affiche les différences entre la révision choisie et la version actuelle de la page.
|
audit:crypto [2014/11/19 15:00] r.doiteau [Clé de session] |
audit:crypto [2019/05/11 14:35] (Version actuelle) |
||
|---|---|---|---|
| Ligne 55: | Ligne 55: | ||
| * Bi clés | * Bi clés | ||
| + | |||
| * clé publique => chiffrement | * clé publique => chiffrement | ||
| + | |||
| * clé privée => Déchiffrement | * clé privée => Déchiffrement | ||
| + | |||
| * impossible de trouver une clé privée à partir de sa clé publique | * impossible de trouver une clé privée à partir de sa clé publique | ||
| + | |||
| * mauvais rendement | * mauvais rendement | ||
| + | |||
| * RSA nécessite des clés chiffrement dur de très grand entiers (2018 ou 4096 bits recommandée) | * RSA nécessite des clés chiffrement dur de très grand entiers (2018 ou 4096 bits recommandée) | ||
| - | * Chiffrement FIXME | ||
| + | * Chiffrement FIXME | ||
| ==== Fonction de hachage ==== | ==== Fonction de hachage ==== | ||
| Ligne 76: | Ligne 81: | ||
| * RIPEMD-160, européen satisfait à la norme ISO/CEI 10118-3 | * RIPEMD-160, européen satisfait à la norme ISO/CEI 10118-3 | ||
| + | |||
| <code=shell> | <code=shell> | ||
| openssl dgst -rmd160 -c -out fic_destination fic_source | openssl dgst -rmd160 -c -out fic_destination fic_source | ||
| </code> | </code> | ||
| + | |||
| === Propriétés === | === Propriétés === | ||
| Ligne 155: | Ligne 162: | ||
| * Génération, distribution | * Génération, distribution | ||
| + | |||
| * carte à puce | * carte à puce | ||
| + | |||
| * Jeton USB | * Jeton USB | ||
| + | |||
| * Calculettes: secureID | * Calculettes: secureID | ||
| + | |||
| * Fichier chiffré | * Fichier chiffré | ||
| Ligne 165: | Ligne 176: | ||
| * Problème à résoudre | * Problème à résoudre | ||
| + | |||
| * | * | ||
| Ligne 176: | Ligne 188: | ||
| * Garantit l'authentification d'une clé par rapport à son propriétaire | * Garantit l'authentification d'une clé par rapport à son propriétaire | ||
| + | |||
| * Certification de la clé publique | * Certification de la clé publique | ||
| + | |||
| * Certifier l'association (Identité, clé publique, profil de l'utilisateur,...) | * Certifier l'association (Identité, clé publique, profil de l'utilisateur,...) | ||
| - | * Certification -> Signature du certificat + clé publique associée | + | |
| + | * Certification -> Signature du certificat + clé publique associée | ||
| * FIXME | * FIXME | ||
| Ligne 184: | Ligne 200: | ||
| * Public Key Infrastructure (PKI) | * Public Key Infrastructure (PKI) | ||
| + | |||
| * Enregistrement | * Enregistrement | ||
| + | |||
| * Distribution | * Distribution | ||
| + | |||
| * Révocation | * Révocation | ||
| + | |||
| * Publication | * Publication | ||
| + | |||
| * Certification | * Certification | ||
| + | |||
| * Mécanismes de certification de clés publique qui propose | * Mécanismes de certification de clés publique qui propose | ||
| + | |||
| * La cohabitation de plusieurs autorisés | * La cohabitation de plusieurs autorisés | ||
| + | |||
| * FIXME | * FIXME | ||
| + | |||
| * Exemples de solutions logiciel | * Exemples de solutions logiciel | ||
| + | |||
| * FIXME | * FIXME | ||
| Ligne 202: | Ligne 228: | ||
| FIXME | FIXME | ||
| + | |||
| * Limitations | * Limitations | ||
| + | |||
| * La sécurit | * La sécurit | ||
| + | FIXME | ||
| + | |||
| + | ===== Mécanismes cryptographiques des protocoles ===== | ||
| + | |||
| + | VPN, 802.1X/AAA,IPsec | ||
| + | |||
| + | ==== Quel intérêt à utiliser des mécanismes cryptographiques ? ==== | ||
| + | |||
| + | * Avec les mécanismes de filtrage, l'usurpation d'adresse (MAC,IP,port) est toujours possible | ||
| + | |||
| + | * Pas d'authentification | ||
| + | |||
| + | * Les mécanismes cryptographiques des protocoles | ||
| + | |||
| + | ==== 802.1X Objectifs du protocole ==== | ||
| + | |||
| + | * Authentification de l’accès au réseau lors de l’accès physique | ||
| + | |||
| + | * Appartient à la famille IEEE 802 (réseaux locaux) | ||
| + | |||
| + | * Se déroule avant tout protocole d'auto-configuration comme PXE ou DHCP | ||
| + | |||
| + | * Offre généralement un service Ethernet | ||
| + | |||
| + | * Offre généralement FIXME | ||
| + | |||
| + | ==== 802.1X Modèle ==== | ||
| + | |||
| + | {{ :audit:802.1x_wired_protocols.png |}} | ||
| + | |||
| + | EAP : Extensible authentication protocol | ||
| + | |||
| + | * EAP TLS : certificat pour authentifier | ||
| + | |||
| + | * EAP Sim : sim pour authentifier le client | ||
| + | |||
| + | |||
| + | |||
| + | ==== 802.1X Conclusion ==== | ||
| + | |||
| + | * La bonne solution pour authentifier au niveau 2 | ||
| + | |||
| + | * Peut également offrir la confidentialité et l'intégrité | ||
| + | |||
| + | * Disponible sur les commutateurs 802.3 pour les réseaux filaires | ||
| + | |||
| + | * Disponible dur les bornes d'accès Wifi 802.11 | ||
| + | |||
| + | * WPA2 basé sur EAP/TLS | ||
| + | |||
| + | * Compatible AAA | ||
| + | |||
| + | * Authentification | ||
| + | |||
| + | * Authorization | ||
| + | |||
| + | * Accounting | ||
| + | |||
| + | ==== Risque de traversée de réseaux OUVERTS ==== | ||
| + | |||
| + | ==== VPN Réseau Privé Virtuel ==== | ||
| + | |||
| + | * Besoin de définir des **chemins sécurisés** pour relier les réseaux/sites amis | ||
| + | |||
| + | * Réseau Privé Virtuel (RPV) = Virtuel Private Network | ||
| + | |||
| + | * Principalement IPsec, SSL, MPLS | ||
| + | |||
| + | ==== IPsec ==== | ||
| + | |||
| + | === Présentation === | ||
| + | |||
| + | * Architecture permettant d'offrir des mécanismes de sécurité au niveau IP entre : | ||
| + | * 2 stations | ||
| + | * 2 routeurs | ||
| + | * 1 station et un gare barriére ou un routeur d'accès | ||
| + | * FIXME | ||
| + | |||
| + | === Mécanismes de sécurité offerts per IPsec === | ||
| + | |||
| + | * Au niveau réseau, sur le flux utilisateurs | ||
| + | |||
| + | * chiffrement des données | ||
| + | |||
| + | * contrôle d'intégrité | ||
| + | |||
| + | * dissimulation des identités | ||
| + | |||
| + | * protection contre le rejeu | ||
| + | |||
| + | * protection contre l'insertion | ||
| + | |||
| + | * authentification des entités | ||
| + | |||
| + | * Ces mécanismes dont fournis au moyen de | ||
| + | |||
| + | * un protocole de gestion IKE/ISAKMP | ||
| + | |||
| + | * deux extensions du protocole IP: AH et ESP et deux modes : transport et tunnel | ||
| + | |||
| + | * Mais peut provoquer une fragmentation IP car augmentation de la taille | ||
| + | |||
| + | === AH Authentification Header === | ||
| FIXME | FIXME | ||
| + | * Service de sécurité offerts | ||
| + | * Intégrité du datagramme et de l'entête (anti-rejeu et anti-insertion) | ||
| + | * authentification de l'émetteur | ||
| + | * FIXME | ||
| + | |||
| + | === ESP Encapsulating Secutity Payload === | ||
| + | |||
| + | FIXME | ||
| + | |||
| + | * Service de sécurité offerts | ||
| + | * confidentialité et/ou intégrité du datagramme (sans l'entête) | ||
| + | * secret du flux par dissimulation des identités (mode tunnel) | ||
| + | * Algorithmes de hachage possibles : MD5, SHA-1 | ||
| + | * Algorithmes de signature : RSA, secret partagé | ||
| + | |||
| + | <note warning>il est préférable de configuré un IPsec sur deux même équipements</note> | ||
| + | |||
| + | === Mode transport/mode mode tunnel === | ||
| + | |||
| + | FIXME | ||
| + | |||
| + | * En mode transport, l'entête IP reste inchangée | ||
| + | * En mode tunnel, un nouvel entête IP est ajouté | ||
| + | |||
| + | === IKE Internet Key Exchange === | ||
| + | |||
| + | * IKE permet l'établissement de VPN IPsec de manière sécurisé et automatisée | ||
| + | * Soit en utilisant un secret partagé (Pre shared key) | ||
| + | * Soit FIXME | ||
| + | |||
| + | === SCEP === | ||
| + | |||
| + | * SCEP -SECURE Certificat et Enrollment Protocol | ||
| + | * FIXME | ||
| + | |||
| + | |||
| + | ==== TLS ==== | ||
| + | |||
| + | * Fonctions de sécurité offertes à deux applications (client/serveur) | ||
| + | * conçues pour s'appuyer sur un support | ||
