A PCRE internal error occured. This might be caused by a faulty plugin
Piste: architecture crypto
 
Vous êtes ici: start » audit » crypto


====== Plan du site ======

Voici un plan du site de toutes les pages disponibles, triées par [[doku>fr:namespaces|catégories]].

Créateur de livres
 Ajouter cette page à votre livre

 Voir ou modifier le livre ( 0 pages)
 Aide


===== Mécanismes cryptographiques =====

Besoins sécurité :

* Disponibilité
* FIXME


==== Algorithme asymétrique ====

=== Définition ===

=== Cheminement ===

{{ :audit:crypto-images-chiffrement.gif |}}


message en clair -> chiffrement -> cryptogramme -> déchiffrement -> message en clair

clé de chiffrement clé de déchiffrement

cryptanalyse décryptage

=== Propriétés ===

* Chiffrement et déchiffrement avec la même clé !

* ** Impose le partage d'une même clé entre l’émetteur et le récepteur **

* Quid oit être gardée secrète !

* ** Bonnes performances /rapidité **

* Clé de session

* clé symétrique générée suite à une phrase d'authentification à base de cryptographie asymétrique

* Longueur de clés faisant l'objet de réglementations

* 128, 192 ou 256 bits

=== Exemple d’algorithme à clé symétrique ===

* AES, 3DES, Twofish, Blowfish

* DES (obsolète, ne pas utiliser en production !)

3 DES = 3 fois l’algorithme DES

==== Algorithme asymétrique ====

{{ :audit:assymetrie_-_signature_vs_chiffrement.png |}}

=== Propriétés ===

* Bi clés

* clé publique => chiffrement

* clé privée => Déchiffrement

* impossible de trouver une clé privée à partir de sa clé publique

* mauvais rendement

* RSA nécessite des clés chiffrement dur de très grand entiers (2018 ou 4096 bits recommandée)

* Chiffrement FIXME

==== Fonction de hachage ====

* fonction de hachage h()

* MDC manipulation détection code

* h(M) = haché, condensat, empreinte du message M

* Exemples de fonction de hachage

* MD5 - RFC 1321 et SHA-1, issus des travaux de la NSA

* RIPEMD-160, européen satisfait à la norme ISO/CEI 10118-3

<code=shell>
openssl dgst -rmd160 -c -out fic_destination fic_source
</code>

=== Propriétés ===

{{ :audit:hachage_m.jpg |}}

* Deux messages différents ont deux empreintes ** TRES ** différentes

* Connaissant l'empreinte, il est ** IMPOSSIBLE ** de trouver le message

==== Signature électronique ====

{{ :audit:crypto-images-scellement.gif |}

FIXME

==== Clé de session ====

* Le chiffrement asymétrique (peu rapide)

{{:audit:crypto-images-session.gif| }}{{ :audit:ic73218.gif|}}

FIXME

==== Attaques cryptographiques ====

* Par force brute

* Essai exhaustif de toutes les combinaisons d'une clé

* Interpréteur (Man in the middle -MITM)

{{ :audit:mitm-steps.gif |}}

certificat de google.corée du nord

BOB -> proxy -> google.corée du nord

crypté clair crypté

* Se substitue à une entité, placé sur le chemin des échanges

* Erreurs logiques dans les protocoles

* Peuvent être vérifiées, cf cours Ahmed Bouabdallah

* DPA (Differential Power Analysis)

* Analyse différentielle des signaux à l'entrée d'une carte à puce pour en déduire sa clé privée

==== Identification/Authentification simple ====

{{ :audit:neel-neel_simple.jpg |}}

==== Authentification simple avec partage de clé secrète ====

* NI : Nonce (valeur utilisée

* PPP : FIXME

{{ :audit:architecture.gif |}}

* CHAP : FIXME

==== Authentification mutuelle avec partage de clé secrète ====

FIXME

==== Authentification mutuelle avec partage de clé publique avec RSA ====

FIXME


===== Gestion des clés =====

==== Problématique de la gestion des clés de chiffrement ====

* Génération, distribution

* carte à puce

* Jeton USB

* Calculettes: secureID

* Fichier chiffré

FIXME

==== Jeton cryptographique ====

* Problème à résoudre

*

FIXME

==== Certificat ====

FIXME

==== Autorité de certification ====

* Garantit l'authentification d'une clé par rapport à son propriétaire

* Certification de la clé publique

* Certifier l'association (Identité, clé publique, profil de l'utilisateur,...)

* Certification -> Signature du certificat + clé publique associée

* FIXME

==== Infrastructure de gestion des clés ====

* Public Key Infrastructure (PKI)

* Enregistrement

* Distribution

* Révocation

* Publication

* Certification

* Mécanismes de certification de clés publique qui propose

* La cohabitation de plusieurs autorisés

* FIXME

* Exemples de solutions logiciel

* FIXME

==== Architecture d'une IGC ====

FIXME

==== Limitations d'une IGC ====

FIXME


* Limitations

* La sécurit

FIXME

===== Mécanismes cryptographiques des protocoles =====

VPN, 802.1X/AAA,IPsec

==== Quel intérêt à utiliser des mécanismes cryptographiques ? ====

* Avec les mécanismes de filtrage, l'usurpation d'adresse (MAC,IP,port) est toujours possible

* Pas d'authentification

* Les mécanismes cryptographiques des protocoles

==== 802.1X Objectifs du protocole ====

* Authentification de l’accès au réseau lors de l’accès physique

* Appartient à la famille IEEE 802 (réseaux locaux)

* Se déroule avant tout protocole d'auto-configuration comme PXE ou DHCP

* Offre généralement un service Ethernet

* Offre généralement FIXME

==== 802.1X Modèle ====

{{ :audit:802.1x_wired_protocols.png |}}

EAP : Extensible authentication protocol

* EAP TLS : certificat pour authentifier

* EAP Sim : sim pour authentifier le client



==== 802.1X Conclusion ====

* La bonne solution pour authentifier au niveau 2

* Peut également offrir la confidentialité et l'intégrité

* Disponible sur les commutateurs 802.3 pour les réseaux filaires

* Disponible dur les bornes d'accès Wifi 802.11

* WPA2 basé sur EAP/TLS

* Compatible AAA

* Authentification

* Authorization

* Accounting

==== Risque de traversée de réseaux OUVERTS ====

==== VPN Réseau Privé Virtuel ====

* Besoin de définir des **chemins sécurisés** pour relier les réseaux/sites amis

* Réseau Privé Virtuel (RPV) = Virtuel Private Network

* Principalement IPsec, SSL, MPLS

==== IPsec ====

=== Présentation ===

* Architecture permettant d'offrir des mécanismes de sécurité au niveau IP entre :
* 2 stations
* 2 routeurs
* 1 station et un gare barriére ou un routeur d'accès
* FIXME

=== Mécanismes de sécurité offerts per IPsec ===

* Au niveau réseau, sur le flux utilisateurs

* chiffrement des données

* contrôle d'intégrité

* dissimulation des identités

* protection contre le rejeu

* protection contre l'insertion

* authentification des entités

* Ces mécanismes dont fournis au moyen de

* un protocole de gestion IKE/ISAKMP

* deux extensions du protocole IP: AH et ESP et deux modes : transport et tunnel

* Mais peut provoquer une fragmentation IP car augmentation de la taille

=== AH Authentification Header ===

FIXME

* Service de sécurité offerts
* Intégrité du datagramme et de l'entête (anti-rejeu et anti-insertion)
* authentification de l'émetteur
* FIXME

=== ESP Encapsulating Secutity Payload ===

FIXME

* Service de sécurité offerts
* confidentialité et/ou intégrité du datagramme (sans l'entête)
* secret du flux par dissimulation des identités (mode tunnel)
* Algorithmes de hachage possibles : MD5, SHA-1
* Algorithmes de signature : RSA, secret partagé

<note warning>il est préférable de configuré un IPsec sur deux même équipements</note>

=== Mode transport/mode mode tunnel ===

FIXME

* En mode transport, l'entête IP reste inchangée
* En mode tunnel, un nouvel entête IP est ajouté

=== IKE Internet Key Exchange ===

* IKE permet l'établissement de VPN IPsec de manière sécurisé et automatisée
* Soit en utilisant un secret partagé (Pre shared key)
* Soit FIXME

=== SCEP ===

* SCEP -SECURE Certificat et Enrollment Protocol
* FIXME


==== TLS ====

* Fonctions de sécurité offertes à deux applications (client/serveur)
* conçues pour s'appuyer sur un support

 
audit/crypto.txt · Dernière modification: 2019/05/11 14:35 (modification externe)     Haut de page
Get Firefox! Recent changes RSS feed Creative Commons License Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki