Professional Documents
Culture Documents
Introduction
Un premier exemple
Dpartement dinformatique,
SSL Protocole scuris
Universit de Nice - Sophia Antipolis
Firewalls
80% des pertes des des fraudes faites par des employs. faux clients,
escroquerie
Explication Ettercap
Attaque passive
Vol dinformation
Malveillance
Possible avec :
telnet
pop
imap
http
http://fr.wikipedia.org/wiki/Packet_sniffer
Plan de lexpos Historique
Introduction
Un premier exemple
Firewalls
dchiffrement
T R A N S P O S I T I O N S I M P L E
18 14 1 8 15 12 10 16 3 19 4 11 9 17 5 7 13 6 2
18 14 1 8 15 12 10 16 3 19 4 11 9 17 5 7 13 6 2
l e c h i f f r e m e n t e s t l o p
r a t i o n q u i c o n s i s t e
t r a n s f o r m e r u n t e x t e c
l a i r o u l i b e l l e n u n a u
t r e t e x t e i n i n t e l l i g i
b l e a p p e l t e x t e c h i f f
r o u c r y p t o g r a m m e
Ci = g(Ci1 , Ki ) i = 1, . . . , r
Ennemi
P C C
Source Emetteur Rcepteur
K K
Source de cl
Un premier exemple
Invention de Diffie et Hellman [1] ; phrase prophtique :
Chiffres cl secrte
Nous sommes aujourdhui laube dune rvolution en
Chiffres cl publique cryptographie.
Firewalls
Bruno.Martin@unice.fr
Attaque passive
Vol dinformation
Malveillance
{m} c c {c}
m PKB DKB m Plus possible
Distribution cls par
PKB PKC
PKB DKB
Le chiffrement
A disadvantage of asymmetric ciphers over symmetric garantit la confidentialit
ciphers is that they tend to be about "1000 times
pas lauthentification
slower." By that, I mean that it can take about 1000
times more CPU time to process an asymmetric dautres attaques possibles
encryption or decryption than a symmetric encryption
or decryption. Empcher lattaque MIM...
Assurer lauthentification...
Plan de lexpos Objectif des signatures
Introduction
Un premier exemple
Seul lexpditeur doit pouvoir signer
Chiffres cl secrte
Nimporte qui peut vrifier la signature
Chiffres cl publique La signature dpend uniquement :
de lidentit de lexpditeur
Signatures & certificats du message
Garantit :
Identification et authentification
authentification de lexpditeur
SSL Protocole scuris integrit du message
Firewalls
Signature Inconvnients
z = h(M)
Bob envoie m sign. Nimporte qui :
M de taille arbitraire, Cls : (pk , sk ) reoit (M, s)
z empreinte de taille fixe. M hachage
h
M Il calcule
1 h(M)
rcupre pk de Bob
vrifie :
h est sens unique, i.e. 2 s = {h(M)}sk 1 z = h(M)
h(M) rapide calculer 2 s signe M z = {s}pk
Il envoie (m, s).
z difficile inverser.
h connue de tout le monde (md5, SHA-1).
Rappel Principe
Comment faire ?
IdA,clA
AC Cl de A
IdA,clA certifie par AC SignAC(h(IdA,clA))
Comment connat-on lalgorithme de vrification
de lautorit de certification ?
oui/non
ACr
IdACr,KACr
DOS
Ce quon sait faire pour le moment :
empcher la communication
Transmettre une cl publique
transmettre des CertAC (S) errons
Transmettre une cl secrte
client passe son temps faire des vrifications inutiles
Scuriser un canal
Un premier exemple
authentification : procdure qui consiste vrifier
Chiffres cl secrte lidentit dune entit (personne, ordinateur...) afin
dautoriser laccs de cette entit des ressources
Chiffres cl publique (systmes, rseaux, applications...).
Signatures & certificats identification permet de connatre lidentit dune entit
authentification permet de vrifier cette identit.
Identification et authentification
Firewalls
Un premier exemple
Chiffres cl publique
Identification et authentification
Sans calcul de lempreinte du msg-ala, ce protocole peut
subir des attaques (msg-ala/{msg-ala}SK ). SSL Protocole scuris
Alice connat la cl publique de Bob au pralable. Firewalls
Authentification Authentification
AB "Bonjour"
BA "Bonjour, je suis Bob. Voici mon certificat" certB SMTP HTTP
AB "Prouve-le". Protocoles pour scuriser TCP :
Transport Layer Security
BA m = "Alice, cest bien Bob" Secure Socket Layer (SSL, TLS)
c = {h(m)}sk
Transport Layer Security
AB "Ok Bob, voici notre secret :" TCP (Transmission Control Protocol)
s = {secret}pk standardis par lIETF
BA m0 = {message de Bob}secret IP (Internet Protocol)
M = h(message de Bob, secret)
On a vu comment :
Problme principal des rseaux privs conect Internet
construire des services de scurit
composer ces services
solution : utiliser des coupe-feux (firewall) avec :
les utiliser pour scuriser un protocole (donc un service filtres de paquets
rseau) proxy
mcanismes cryptographiques
Mthodes pour scuriser un (ensemble de) serveur(s)
tout en diminuant le nombre de points dentre
Comment scuriser un rseau ?
Un premier exemple
toutes les communications doivent passer par le pare-feu Chiffres cl secrte
le pare-feu doit tre convenablement configur
Chiffres cl publique
viter le contournement (modem, gsm...)
viter lutilisation de cls usb, ordinateurs portables Signatures & certificats
tenir un journal (logs)
Identification et authentification
dtecter les anomalies et/ou les intrusions
SSL Protocole scuris
Firewalls