===== Mécanismes cryptographiques =====
Besoins sécurité :
* Disponibilité
* FIXME
==== Algorithme asymétrique ====
=== Définition ===
=== Cheminement ===
{{ :audit:crypto-images-chiffrement.gif |}}
message en clair -> chiffrement -> cryptogramme -> déchiffrement -> message en clair
clé de chiffrement clé de déchiffrement
cryptanalyse décryptage
=== Propriétés ===
* Chiffrement et déchiffrement avec la même clé !
* ** Impose le partage d'une même clé entre l’émetteur et le récepteur **
* Quid oit être gardée secrète !
* ** Bonnes performances /rapidité **
* Clé de session
* clé symétrique générée suite à une phrase d'authentification à base de cryptographie asymétrique
* Longueur de clés faisant l'objet de réglementations
* 128, 192 ou 256 bits
=== Exemple d’algorithme à clé symétrique ===
* AES, 3DES, Twofish, Blowfish
* DES (obsolète, ne pas utiliser en production !)
3 DES = 3 fois l’algorithme DES
==== Algorithme asymétrique ====
{{ :audit:assymetrie_-_signature_vs_chiffrement.png |}}
=== Propriétés ===
* Bi clés
* clé publique => chiffrement
* clé privée => Déchiffrement
* impossible de trouver une clé privée à partir de sa clé publique
* mauvais rendement
* RSA nécessite des clés chiffrement dur de très grand entiers (2018 ou 4096 bits recommandée)
* Chiffrement FIXME
==== Fonction de hachage ====
* fonction de hachage h()
* MDC manipulation détection code
* h(M) = haché, condensat, empreinte du message M
* Exemples de fonction de hachage
* MD5 - RFC 1321 et SHA-1, issus des travaux de la NSA
* RIPEMD-160, européen satisfait à la norme ISO/CEI 10118-3
<code=shell>
openssl dgst -rmd160 -c -out fic_destination fic_source
</code>
=== Propriétés ===
{{ :audit:hachage_m.jpg |}}
* Deux messages différents ont deux empreintes ** TRES ** différentes
* Connaissant l'empreinte, il est ** IMPOSSIBLE ** de trouver le message
==== Signature électronique ====
{{ :audit:crypto-images-scellement.gif |}
FIXME
==== Clé de session ====
* Le chiffrement asymétrique (peu rapide)
{{:audit:crypto-images-session.gif| }}{{ :audit:ic73218.gif|}}
FIXME
==== Attaques cryptographiques ====
* Par force brute
* Essai exhaustif de toutes les combinaisons d'une clé
* Interpréteur (Man in the middle -MITM)
{{ :audit:mitm-steps.gif |}}
certificat de google.corée du nord
BOB -> proxy -> google.corée du nord
crypté clair crypté
* Se substitue à une entité, placé sur le chemin des échanges
* Erreurs logiques dans les protocoles
* Peuvent être vérifiées, cf cours Ahmed Bouabdallah
* DPA (Differential Power Analysis)
* Analyse différentielle des signaux à l'entrée d'une carte à puce pour en déduire sa clé privée
==== Identification/Authentification simple ====
{{ :audit:neel-neel_simple.jpg |}}
==== Authentification simple avec partage de clé secrète ====
* NI : Nonce (valeur utilisée
* PPP : FIXME
{{ :audit:architecture.gif |}}
* CHAP : FIXME
==== Authentification mutuelle avec partage de clé secrète ====
FIXME
==== Authentification mutuelle avec partage de clé publique avec RSA ====
FIXME
===== Gestion des clés =====
==== Problématique de la gestion des clés de chiffrement ====
* Génération, distribution
* carte à puce
* Jeton USB
* Calculettes: secureID
* Fichier chiffré
FIXME
==== Jeton cryptographique ====
* Problème à résoudre
*
FIXME
==== Certificat ====
FIXME
==== Autorité de certification ====
* Garantit l'authentification d'une clé par rapport à son propriétaire
* Certification de la clé publique
* Certifier l'association (Identité, clé publique, profil de l'utilisateur,...)
* Certification -> Signature du certificat + clé publique associée
* FIXME
==== Infrastructure de gestion des clés ====
* Public Key Infrastructure (PKI)
* Enregistrement
* Distribution
* Révocation
* Publication
* Certification
* Mécanismes de certification de clés publique qui propose
* La cohabitation de plusieurs autorisés
* FIXME
* Exemples de solutions logiciel
* FIXME
==== Architecture d'une IGC ====
FIXME
==== Limitations d'une IGC ====
FIXME
* Limitations
* La sécurit
FIXME
===== Mécanismes cryptographiques des protocoles =====
VPN, 802.1X/AAA,IPsec
==== Quel intérêt à utiliser des mécanismes cryptographiques ? ====
* Avec les mécanismes de filtrage, l'usurpation d'adresse (MAC,IP,port) est toujours possible
* Pas d'authentification
* Les mécanismes cryptographiques des protocoles
==== 802.1X Objectifs du protocole ====
* Authentification de l’accès au réseau lors de l’accès physique
* Appartient à la famille IEEE 802 (réseaux locaux)
* Se déroule avant tout protocole d'auto-configuration comme PXE ou DHCP
* Offre généralement un service Ethernet
* Offre généralement FIXME
==== 802.1X Modèle ====
{{ :audit:802.1x_wired_protocols.png |}}
EAP : Extensible authentication protocol
* EAP TLS : certificat pour authentifier
* EAP Sim : sim pour authentifier le client
==== 802.1X Conclusion ====
* La bonne solution pour authentifier au niveau 2
* Peut également offrir la confidentialité et l'intégrité
* Disponible sur les commutateurs 802.3 pour les réseaux filaires
* Disponible dur les bornes d'accès Wifi 802.11
* WPA2 basé sur EAP/TLS
* Compatible AAA
* Authentification
* Authorization
* Accounting
==== Risque de traversée de réseaux OUVERTS ====
==== VPN Réseau Privé Virtuel ====
* Besoin de définir des **chemins sécurisés** pour relier les réseaux/sites amis
* Réseau Privé Virtuel (RPV) = Virtuel Private Network
* Principalement IPsec, SSL, MPLS
==== IPsec ====
=== Présentation ===
* Architecture permettant d'offrir des mécanismes de sécurité au niveau IP entre :
* 2 stations
* 2 routeurs
* 1 station et un gare barriére ou un routeur d'accès
* FIXME
=== Mécanismes de sécurité offerts per IPsec ===
* Au niveau réseau, sur le flux utilisateurs
* chiffrement des données
* contrôle d'intégrité
* dissimulation des identités
* protection contre le rejeu
* protection contre l'insertion
* authentification des entités
* Ces mécanismes dont fournis au moyen de
* un protocole de gestion IKE/ISAKMP
* deux extensions du protocole IP: AH et ESP et deux modes : transport et tunnel
* Mais peut provoquer une fragmentation IP car augmentation de la taille
=== AH Authentification Header ===
FIXME
* Service de sécurité offerts
* Intégrité du datagramme et de l'entête (anti-rejeu et anti-insertion)
* authentification de l'émetteur
* FIXME
=== ESP Encapsulating Secutity Payload ===
FIXME
* Service de sécurité offerts
* confidentialité et/ou intégrité du datagramme (sans l'entête)
* secret du flux par dissimulation des identités (mode tunnel)
* Algorithmes de hachage possibles : MD5, SHA-1
* Algorithmes de signature : RSA, secret partagé
<note warning>il est préférable de configuré un IPsec sur deux même équipements</note>
=== Mode transport/mode mode tunnel ===
FIXME
* En mode transport, l'entête IP reste inchangée
* En mode tunnel, un nouvel entête IP est ajouté
=== IKE Internet Key Exchange ===
* IKE permet l'établissement de VPN IPsec de manière sécurisé et automatisée
* Soit en utilisant un secret partagé (Pre shared key)
* Soit FIXME
=== SCEP ===
* SCEP -SECURE Certificat et Enrollment Protocol
* FIXME
==== TLS ====
* Fonctions de sécurité offertes à deux applications (client/serveur)
* conçues pour s'appuyer sur un support