Fonct Pki PDF

HERV SCHAUER CONSULTANTS
Cabinet de Consultants en Scurit Informatique depuis 1989

Spcialis sur Unix, Windows, TCP/IP et Internet
Fonctionnement des
PKI
Franck Davy
<Franck.Davy@hsc.fr>
Fonctionnement des PKI
-1-
Bases de cryptographie
Plan
Introduction Mcanismes
Notions de base Chiffrement

Signature
Algorithmes

clef secrte
En pratique

clef publique Bote outils

Messagerie lectronique
Fonctions de hachage

scurise avec S/MIME
-3- Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Introduction
Vocabulaire et notions
de base
Vocabulaire
Services de scurit
Confidentialit

Intgrit

Authentification

Non rpudiation

Mcanismes
Mcanismes mettant en oeuvre les services prcdents, fonds sur les algorithmes

cryptographiques
Chiffrement

Signature

Chiffrement et signature troitement lis (chiffrement d'un condenst)

Scellement

Algorithmes
Algorithmes symtriques, clef secrte

Algorithmes asymtriques, clef publique


Algorithmes clef
secrte
Algorithmes clef secrte (1/4)
Algorithmes dits symtriques
Caractristiques
Oprations de chiffrement et dchiffrement identiques
Clef identique pour les oprations de chiffrement et dchiffrement

Utilisation pour le chiffrement de donnes

Rapidit, et facilit de mise en oeuvre sur des circuits bon march
Problme de la distribution des clefs
1.Transport scuris de la clef de chiffrement ?
Problmatique de l'change de clef

2.Nombre de clefs changes (en n)

Schma de principe
Transmission de la clef de chiffrement
par un canal scuris
Destinataire n1
zno!
DI/. Message
@ ml en
metteur <;L_am clair
du message lZcY
vB
Message Destinataire n2
en
clair CXi^L-
s7Rs:' Message
V}aI en

clair

#@U#E
@lCtlJ

Algorithmes de chiffrement en continu (stream Cipher)
Chiffrement bit bit
Exemple : RC4 (RSA Security)
Taille de clef variable (128 bits en pratique)

Algorithmes de chiffrement par blocs (Block Cipher)

Chiffrement par blocs de texte clair
64 bits (DES), 128 bits (AES)
Modes ECB, CBC, CFB, OFB
DES (56 bits), 3DES (clef de 168 bits en EDE3, 112 bits en EDE)
RC2 (128 bits), Blowfish (128bits, jusqu' 448 bits), AES (128, 192, 256 bits), IDEA
(128 bits, brevet ASCOM en Europe et USA pour un usage commercial)
- 10 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Principal usage
Service de confidentialit
Subsiste le problme de la distribution des clefs de chiffrement

Peut galement assurer un service d'authentification

Sans service de non rpudiation

L'utilisateur n'est pas le seul pouvoir produire la signature !

Exemple de la Montique :

Cybercomm (systme d'authentification dynamique)

Clef secrte dpendante du porteur (carte puce)

Chiffrement (DES 56 bits) des paramtres suivants :

Montant de la transaction

Identifiant du commerant

Date (contre le rejeu)

Authentification au niveau des DAB

par la piste magntique


Algorithmes clef
publique
Algorithmes clef publique (1/16)
Algorithmes dits asymtriques
Limitation des algorithmes clef secrte :
Problmatique de l'change de la clef de chiffrement
tablissement pralable d'un canal sr pour la transmission de la clef

Systmes clef publique

Clef de chiffrement e, rendue publique
Clef de dchiffrement d, garde secrte
d non dductible modulo la connaissance de e
Par exemple : utilisation d'une fonction sens unique : f(x) = xe [n]

...sous certaines conditions

Chiffrement d'un message l'aide de la clef publique e

Pas de communication pralable entre les tiers communiquants


Chiffrement zno!
Message DI/.
Message
en @ ml
en
clair <;L_am
clair
lZcY
vB
Chiffrement par l'metteur avec Dchiffrement par le destinataire

la clef publique du destinataire avec sa clef prive
Signature
Message Message Message
en en en
clair clair clair
Chiffrement par l'metteur Dchiffrement par les destinataires

avec sa clef prive avec la clef publique de l'metteur

Transport de clef de session
zno!
DI/.
Message @ ml
en <;L_am
clair lZcY
vB
Clef
de session
zno!
DI/.
@ ml Message
Clef publique <;L_am en
lZcY clair
destinataire
vB
Clef prive
destinataire

Algorithme RSA
Publi par Rivest, Shamir et Adelman en 1977
Fond sur la difficult de la factorisation des grands nombres
Scurit dite calculatoire : systme inconditionnellement sr

Schma
1.On choisit p, q deux grands nombres premiers
2.On calcule n=p.q
3.Un entier e est choisi tel que premier avec (p-1) et (q-1)
4.L'entier d tel que ed = 1 [(p-1)(q-1)] est calcul, avec l'algorithme
d'Euclide
le couple d'entier (n, e) reprsente la clef publique

L'entier d reprsente la clef prive


Chiffrement RSA
Soit le message M, M' est le message chiffr obtenu par exponentiation modulaire
M' = Me [n]
Pour le dchiffrement, on calcule M'd [n]
Med = M [n], car ed = 1 [(p-1)(q-1)] par construction
Signature RSA
Opration de chiffrement, en inversant les rles de e et d
Le message mis est le couple (M, Md [n])
Tout le monde peut vrifier la signature par possession de la clef publique

Service de non rpudiation

Scurit calculatoire : repose sur la difficult de factoriser n


Clef RSA principalement sous 2 formats :
Format binaire : encodage de la structure ASN.1 suivant la syntaxe de transfert
distinctive DER (sans ambigut)
Format ASCII imprimable : object binaire prcdent encod au format PEM
Possibilit de conserver la clef prive RSA chiffre

DES, 3DES ou IDEA (en mode CBC) par exemple

Informations concernant les algorithmes dans les en-ttes PEM (IV, notamment)

Format PEM Privacy Enhanced-Mail (RFC1421-1424)

1. Executive Summary
This document defines message encryption and authentication
procedures, in order to provide privacy-enhanced mail (PEM) services
for electronic mail transfer in the Internet. It is intended to
become one member of a related set of four RFCs. The procedures
defined in the current document are intended to be compatible with a
wide range of key management approaches, including both symmetric
(secret-key) and asymmetric (public-key) approaches for encryption of
data encrypting keys.

Format gnral d'un message au format PEM
-----BEGIN PRIVACY-ENHANCED MESSAGE-----

Proc-Type: 4,ENCRYPTED
Content-Domain: RFC822
DEK-Info: DES-CBC,F8143EDE5960C597
Originator-ID-Symmetric: linn@zendia.enet.dec.com,
Recipient-ID-Symmetric: linn@zendia.enet.dec.com,ptf-kmc,3
Key-Info: DES-ECB,RSA-MD2,9FD3AAD2F2691B9A,B70665BB9BF7CBCDA60195DB94F727D3
Recipient-ID-Symmetric: pem-dev@tis.com,ptf-kmc,4
Key-Info: DES-ECB,RSA-MD2,161A3F75DC82EF26,E2EF532C65CBCFF79F83
A2658132DB47LlrHB0eJzyhP+/fSStdW8okeEnv47jxe7SJ/iN72ohNcUk2jHEU
SoH1nvNSIWL9MdXd/H5LMDWnonNvPCwQUHt==
-----END PRIVACY-ENHANCED MESSAGE-----
Messages chiffrs PEM Part III : Algorithms, Modes, and Identifiers (RFC1423)
Exemple : Chiffrement DES-CBC
En-tte Proc-Type

Identifiant de version de la RFC (4), ENCRYPTED (service de scurit mis en oeuvre)

En-tte DEK-Info :

Identifiant d'algorithme (DES-CBC), vecteur d'initialisation (F8143EDE5960C597)


RSA Cryptography Specifications (RFC2437)
Recommandations sur la mise en oeuvre d'un cryptosystme fond sur RSA

http://www.ietf.org/rfc/rfc2437.txt
Anciennement : PKCS#1 RSA Cryptography Standard
Structure ASN.1

Clef publique RSA ( 11.1.1 Public-key syntax )

RSAPublicKey::=SEQUENCE{
RSAPublicKey::=SEQUENCE{
modulus INTEGER, -- n
publicExponent INTEGER e }
Clef prive RSA ( 11.1.2 Private-key syntax )
RSAPrivateKey
RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER,& -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER -- (inverse of q) mod p }
Clef RSA obtenue par encodage DER de la structure ASN.1 (fichier binaire)


Exemple de gnration d'une clef prive RSA
Modulus n = 512 bits, exposant public e = 3

$ openssl genrsa -3 512 | tee rsa.PEM

Generating RSA private key, 512 bit long modulus
e is 3 (0x3)
-----BEGIN RSA PRIVATE KEY-----
MIIBOQIBAAJBALGWJEoGAC6fYqpG9vCx1LEcjFtrhw2WDZ71Ne+Q2ZvgbqDE9j8S
IsjEStKc2UZ/w2bnPc8k+3LTTGCTQ9SAdsMCAwEAAQJAT9VlXvmvn0X7vvzECpSH
P0/MMVT3k73/RZSKuLXvfcj5Lsmce/rMWQkNxC2a5G32UzNvDbOrRIW1O3QCXZNh
kQIhAOGrWfk4bnjjejGSGwVVAQ3ynTyOIrfl79iEnKcZKv7lAiEAyXRk9uUa+veK
uL1Oad2kONdzrQdb0sNuOHepinz3HIcCIFTmcmMgp+8zJbWgkinfYRYuQJmXn9gv
2ZxLx+PVxCdBAiAaD4KYJd8tpCQ/7c1dCJ0b9VMziQYp57o0d9Zo4e2dtQIgbxdY
Fsf591Z/Q9sZkoxgUMpuSxBBC8qxWyUGHcEF+DY=
-----END RSA PRIVATE KEY-----
Clef prive RSA au format PEM (sans chiffrement)

Structure ASN.1 encode suivant la syntaxe de transfert DER (Distinguished Encoding Rules)
La suite d'octets (OCTET STRING) obtenue est encode en base 64


Comparaison des formats PEM et DER
Conversion avec rsa(1ssl)
$ openssl rsa -inform PEM -in ./rsa.PEM -outform DER ./rsa.DER
$ cat ./rsa.DER
0bG}n

%&$

!

12

"
*+
-.
/
01
,

( '
)
3
Encodage en base64 du fichier binaire avec enc(1ssl)
$ cat ./rsa.DER | openssl base64 -e
MIIBOQIBAAJBALGWJEoGAC6fYqpG9vCx1LEcjFtrhw2WDZ71Ne+Q2ZvgbqDE9j8S
IsjEStKc2UZ/w2bnPc8k+3LTTGCTQ9SAdsMCAwEAAQJAT9VlXvmvn0X7vvzECpSH
P0/MMVT3k73/RZSKuLXvfcj5Lsmce/rMWQkNxC2a5G32UzNvDbOrRIW1O3QCXZNh
kQIhAOGrWfk4bnjjejGSGwVVAQ3ynTyOIrfl79iEnKcZKv7lAiEAyXRk9uUa+veK
uL1Oad2kONdzrQdb0sNuOHepinz3HIcCIFTmcmMgp+8zJbWgkinfYRYuQJmXn9gv
2ZxLx+PVxCdBAiAaD4KYJd8tpCQ/7c1dCJ0b9VMziQYp57o0d9Zo4e2dtQIgbxdY
Fsf591Z/Q9sZkoxgUMpuSxBBC8qxWyUGHcEF+DY=

Structure ASN.1
$ dumpasn1 ./rsa.DER
0 30 313: SEQUENCE {
4 02 1: INTEGER 0
7 02 65: INTEGER
: 00 B1 96 24 4A 06 00 2E 9F 62 AA 46 F6 F0 B1 D4
: B1 1C 8C 5B 6B 87 0D 96 0D 9E F5 35 EF 90 D9 9B
: E0 6E A0 C4 F6 3F 12 22 C8 C4 4A D2 9C D9 46 7F
: C3 66 E7 3D CF 24 FB 72 D3 4C 60 93 43 D4 80 76
: C3
74 02 3: INTEGER 65537
79 02 64: INTEGER [...]
145 02 33: INTEGER [...]
180 02 33: INTEGER [...]
215 02 32: INTEGER [...]
249 02 32: INTEGER [...]
283 02 32: INTEGER
: 6F 17 58 16 C7 F9 F7 56 7F 43 DB 19 92 8C 60 50
: CA 6E 4B 10 41 0B CA B1 5B 25 06 1D C1 05 F8 36
: }

Clef RSA chiffre
Algorithme symtrique DES, en mode CBC

$ openssl genrsa -3 -DES 512

e is 3 (0x3)
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase: Vecteur d'initialisation
DEK-Info: DES-CBC,3F05FF3C5103E3BB
VjgE0b88PXaA8QzwuqlRyzwVrWtIUu68vXH7FzMtAWaHHrUyK6gjPHh6nHtho+Yy
RB1fn9UKMl2pzJi6dJW9J1kYJafjhuLAM09pAJYJ51F9P37qvu2TGnNq5QjutoGy
Otz0H2s/OeUNmdWcGFrRnjMwXMQ8Ssaa28SHy/V0sPG8VQXdHxwBGSR3JP/Tf00C
/j5Y9uzblgw1GT1m4BG5hoWtVSJvbEZ1/R83dvzsBgg=
En pratique

Chiffrement de la clef RSA (au format DER) en DES (mode CBC)

Encodage du binaire obtenu en en base 64
La clef de chiffrement DES et le vecteur d'initialisation (IV, utilis par le mode CBC) sont drivs du

mot de passe fourni par l'utilisateur

Gnration des nombres premiers p et q
$ openssl genrsa 1024
Generating RSA private key, 1024 bit long modulus .........................++++++
..........................++++++
e is 65537 (0x10001)
-----BEGIN RSA PRIVATE KEY...
Tests de primalit
Difficult d'engendrer de grands nombres premiers alatoires
Tests de primalit probabilistes
Test de Sieve
Symbolis par .
Test rapide, prliminaire
Mis en oeuvre dans PGP
Test de Miller-Rabin
Symbolis par +
Mthode dcrite dans Handbook of Applied Cryptography
http://www.cacr.math.uwaterloo.ca/hac/about/chap4.ps
Test caractris par une probabilit d'erreur
1/2^80 (Cf. ${OPENSSL}/crypto/bn/bn.h)
Publication de la clef publique RSA
Sous-ensemble des paramtres de la clef prive
Modulus n, exposant public e
$ openssl rsa -in rsa.PEM -pubout
-----BEGIN PUBLIC KEY-----

MfwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALGWJEoGAC6fYqpG9vCx1LEcjFtrhw2W
DZ71Ne+Q2ZvgbqDE9j8SIsjEStKc2UZ/w2bnPc8k+3LTTGCTQ9SAdsMCAwEAAQ==
-----END PUBLIC KEY-----
Structure ASN.1 de la clef publique obtenue
0 30 92: SEQUENCE {
2 30 13: SEQUENCE {
4 06 9: OBJECT IDENTIFIER rsaEncryption (1 2 840 113549 1 1 1)
15 05 0: NULL
: }
17 03 75: BIT STRING 0 unused bits, encapsulates {
20 30 72: SEQUENCE {
22 02 65: INTEGER [...]
89 02 3: INTEGER 3
: }
: }
: }
Principaux usages
Service de confidentialit
Chiffrement avec la clef publique du destinataire

Faible volume de donnes

Mode opratoire par blocs ?

Protocole TLSv1 : travail sur un et un seul bloc (chunk)

PreMasterSecret de 48 octets + bourrage PKCS#1 de 11 octets

Taille de clef publique d'un certificat X.509 de 472 bits au minimum

Cas d'un certificat client : 376 bits au minimum (signature d'empreinte SHA1+MD5)
Signature numrique
Chiffrement avec la clef prive du signataire

Transport (RSA) ou change (DH) de clef

Rsolution de la problmatique de l'change de clef secrte


Rcapitulatif
Algorithme le plus couramment utilis : RSA
Cryptosystme dcrit dans la RFC 2437
Formats binaire (encodage DER de la structure ASN.1) et ASCII imprimable (PEM)
Une clef de chiffrement (n,e)
Transport de clef : mcanisme de chiffrement de la clef de session avec la clef de chiffrement du
destinataire
Clef dite publique , dpose dans un annuaire par exemple
Une clef de signature d
Signature : mcanisme de chiffrement avec la clef de signature par l'metteur
Service de non-rpudiation
Clef prive
Dcomposition en facteurs premiers du modulus n = p.q
p et q, probables grands nombres premiers par construction
Tests de primalit probabilistes par les applications (OpenSSL, PGP etc.)

Fonctions de hachage
Fonctions de hachage (1/7)
Fonction de hachage cryptographique
Obtention d'une empreinte numrique de taille fixe partir d'un message de taille
arbitraire
Opration par blocs
Critres de scurit
Faibles collisions
Collisions : possibilit d'obtenir une mme empreinte pour deux messages distincts
Scurit calculatoire
Sens unique
Difficult d'inversion

Principaux algorithmes
MD5, The MD5 Message-Digest Algorithm (RFC1321)
Empreinte de 128 bits
$ openssl md5 -c message.txt
MD5(message.txt)= ef:79:ca:b5:4f:9b:2a:d9:8e:79:ef:46:46:e4:93:63
SHA, Secure Hash Algorithm (NIST)

http://www.itl.nist.gov/fipspubs/fip180-1.htm
Empreinte de 160 bits

$ openssl sha1 -c message.txt
SHA1(message.txt)= af:06:9c:e9:bb:e9:21:29:b1:1a:7e:a8:77:9b:37:09:26:5e:84:b3
Variantes ou autres : dgst(1ssl)

$ openssl dgst -h
MD2, MD4, MD5, SHA, SHA-1, MDC2, RIPEMD160

Exemples d'utilisation :
Intgrit et scellement de fichiers
md5sum(1)
$ md5sum image.iso
d41d8cd98f00b204e9800998ecf8427e image.iso
HIDS (Host-Based Intrusion Detection System)

AIDE
Site officiel : http://www.cs.tut.fi/~rammer/aide.html
Brve HSC : http://www.hsc.fr/ressources/breves/aide.html
Tripwire
Stockage non rversible de mots de passe
Fichier shadow(5), fond sur l'algorithme md5
$ sudo grep davy /etc/shadow
davy:$1$zdgjjRrg$b9oxpVEDX8I4KgWanwbpd.:11924:0:99999:7:::

Utilisation de la commande passwd(1ssl)
Syntaxe
$ openssl passwd [-crypt] [-1] [-apr1] [-salt string] [-in file] [-stdin]
[-quiet] [-table] {password}
Gnration de l'empreinte
$ echo -n 'secret' | openssl passwd -1 -salt 'zdgjjRrg' -stdin -table
secret $1$zdgjjRrg$b9oxpVEDX8I4KgWanwbpd.
Signification des diffrents termes

$(1)$(zdgjjRrg)$(b9oxpVEDX8I4KgWanwbpd.)
$1 : Algorithme MD5
$2 : Piment
Protection contre les attaques par dictionnaire prcalcul
Piment en clair (diffrent d'un MAC)
$3 : Empreinte rsultante

Gnrateurs de nombres pseudo-alatoires
Sources d'entropie multiples
vnements non dterministes
Fonctions de hachage pour multiplexer la sortie des sources d'entropie et constituer un
pool d'entropie
Dmons collecteurs d'entropie (sous Unix)
Interfaces/pseudo-priphriques
/dev/random (bloquant)
/dev/urandom (non-bloquant)
/dev/inter_rng, (processeurs intel de type i8xx)
PRNGD sous Solaris
http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/prngd.html
Analyse de quelques gnrateurs de nombres pseudo-alatoires
Phrack 59 Cryptographic random number generators
http://www.phrack.com/show.php?p=59&a=15
DrMungkee <pub@drmungkee.com>
Intel RNG (SHA-1), Yarrow (SHA-1), /dev/random/ (MD5)
Gnration d'identifiants de sessions...
http://lxr.php.net/source/php4/ext/session/session.c
Utilisations multiples !
Pile ou face
Influence du changement d'un caractre de texte clair sur l'empreinte rsultante
$ cat message.txt
Contrle d'intgrit
$ cat message.txt | openssl md5 -c
ef:79:ca:b5:4f:9b:2a:d9:8e:79:ef:46:46:e4:93:63
$ cat message.txt | tr C c | openssl md5 -c
c5:f1:bf:54:2a:7f:27:04:d2:65:78:a1:bc:47:7c:e7

Principaux usages
Signature numrique
Norme de fait : RSA
Mcanisme de chiffrement par une clef prive RSA d'une empreinte MD5 ou SHA-1
Service de non-rpudiation
Scellement
Gnration d'un sceau, ou code d'authentification de message
MAC : Message Authentication Code
Exemple : fonction de hachage sens unique indexe par une clef secrte
Service d'authentificit des donnes
Authentification
Intgrit
Pas de service de non-rpudiation
Cf. SSL/TLS
Horodatage

En pratique :
bote outils
Bote outils : OpenSSL (1/8)
Projet OpenSSL
http://www.openssl.org
Versions 0.9.7a et 0.9.6i (-engine) (19/02/2003)
http://www.openssl.org/source/
~ 60 000 lignes de code (langage C), utilises par de nombreuses applications
openssh, apache+mod_ssl, postfix/tls, idx-pki, stunnel etc.
Initi en Dcembre 1998
Fond sur la bibliothque cryptographique SSLeay d'Eric Young et Tim Hudson
http://www.psy.uq.edu.au/~ftp/Crypto/ssleay
Objectifs
Mise en oeuvre des protocoles SSL (Secure Socket Layer)
Protocole de scurisation rseau TCP/IP qui opre au niveau session du modle OSI
Opre au dessus d'un protocole de transport de donnes fiable (TCP RFC793)
Opre au dessus du niveau transport (4) -> applications spcifiques
Ports ddis, attribus par l'IANA : HTTP 80/tcp, mais HTTPS 443/tcp

Services de scurit mis en oeuvre
Authentification des parties
Optionnellement mutuelle
Authenticit et confidentialit des donnes
Sans service de non rpudiation
Versions du protocole SSL supportes
Spcifications Netscape SSLv2 et v3
http://wp.netscape.com/eng/ssl3
Standard TLSv1 (RFC 2246)
Mise en oeuvre des standards cryptographiques associs aux protocoles SSL/TLS
Algorithmes symtriques (DES,3DES etc.), asymtriques (RSA, DSA etc.), protocoles
d'changes de clefs ([E]DH), certificats X.509 (compilateur ASN.1), standards PKCS
(PKCS#1 ou RFC 2437, PKCS#7, PKCS#8, PKCS#12 etc.) etc.

Interface de programmation en C
Bibliothque SSL/TLS
Bibliothque cryptographique
Suite d'applications en ligne de commande
openssl (1)
Intgration de multiples langages
PHP
Module exprimental
Fonctions mises en oeuvre concernant essentiellement les certificats X.509
Manipulation de clefs RSA (clef publique/clef prive)
Manipulation de certificats X.509 (gnration, validation)
Utilisation dans le cadre de signature et chiffrement de donnes (S/MIME, PKCS#7)
http://www.php.net/manual/en/ref.openssl.php
Modules Perl (OpenCA, Net::SSLeay), Ruby etc.
Interface de programmation cryptographique en C, incluant :
Bibliothque SSL/TLS (libssl.a)
Mise en oeuvre des protocoles SSLv2, SSLv3 et TLSv1
Bibliothque cryptographique (libcrypto.a)
Cryptographie clef publique et certificats X509
RSA, DSA, DH
Compilateur ASN.1
Chiffrement
DES, 3DES, Blowfish, RC2, CAST, IDEA (blocs), RC4 (flux)
+ modes ECB, CBC, CFB, OFB pour les algorithmes de chiffrement par blocs
Hachage
MD2, MD4, MD5, SHA, SHA1, MDC2, RIPEMD160
Bien distinguer les bibliothques cryptographiques et SSL/TLS !
Application OpenSSH fonde sur la bibliothque cryptographique d'OpenSSL (mais
protocole SSH != protocole SSL/TLS)
$ ldd /usr/sbin/sshd | grep libssl
$ ldd /usr/sbin/sshd | grep libcrypto
=> /usr/lib/libcrypto.so.0 (0x40045000)
Application en ligne de commande : openssl(1)
Manipulation de paramtres RSA, DSA, DH
rsa, genrsa, rsautl, dsa, dsaparam, gendh
Manipulation de certificats X509, CRL ou encore CSR
asn1parse, ca, req, crl, x509 (+ocsp)
Mise en oeuvre du protocole de vrification en ligne OCSP dans la branche 0.9.7
Calculs d'empreintes (MD5, SHA etc.) et opration de chiffrement (DES, BF)
dgst, enc
Applications spcifiques
Client/Serveur SSL/TLS : s_client, s_server
Manipulation de fichiers au format S/MIME
smime
Manipulation de fichiers SPKAC (Netscape), PKCS#12
spkac, pkcs12

Licence portant sur le code source OpenSSL
Licence spcifique
Pas GPL, LGPL ou encore BSD
Licence cumulative (ou duale) OpenSSL et SSLeay
Licence SSLeay
S'applique au code source original d'Eric Young
Licence OpenSSL
S'applique aux modifications effectues par l'quipe de dveloppement OpenSSL

Conditions d'utilisation d'OpenSSL
Licence OpenSSL incompatible avec la licence GPL
http://www.gnu.org/copyleft/gpl.html
Compatibilit, sous certaines conditions
Application lie OpenSSL pouvant tre sous licence GPL suivant le systme d'exploitation ou la
distribution la condition suivante :
FAQ about the GNU GPL
http://www.gnu.org/licenses/gpl-faq.html#TOCWritingFSWithNFLibs
I am writing free software that uses non-free libraries.
What legal issues come up if I use the GPL?

If the libraries that you link with falls within the following exception in the GPL:
However, as a special exception, the source code distributed need not
include anything that is normally distributed (in either source or
binary form) with the major components (compiler, kernel, and so on) of
the operating system on which the executable runs, unless that
component itself accompanies the executable
Diffrence notable entre la GPL et la licence OpenSSL :

Application lie OpenSSL pouvant tre distribue sous une licence autre de la licence OpenSSL

Projets similaires, sous licence GPL
GnuTLS
Licence GPL
Mise en oeuvre des protocoles SSLv3 et TLS
Support des certificats X.509, OpenPGP, du protocole SRP
Remarque : protocole SRP au statut Wishes dans OpenSSL, mais existence
d'un correctif
Manque de maturit par rapport au projet OpenSSL
Avalaible for Beta testing ...
http://www.gnu.org/software/gnutls/
Mozilla NSS
Licences MPL et GPL
http://www.mozilla.org/MPL
Mise en oeuvre des protocoles SSLv2/v3 et TLS
Support des formats PKCS#5, PKCS#7, PKCS#11, PKCS#12, des certificats X.509 et
du format d'change applicatif S/MIME
http://www.mozilla.org/projects/security/pki/nss/

Bote outils : DumpASN.1
DumpASN.1
Tlchargement sur http://www.cs.auckland.ac.nz/~pgut001 :
Source

http://www.cs.auckland.ac.nz/~pgut001/dumpasn1.c
Fichier de configuration (OID)

http://www.cs.auckland.ac.nz/~pgut001/dumpasn1.cfg
Auteur : Peter Gutmann <pgut001@cs.auckland.ac.nz>

Renvoie la structure ASN.1 d'un objet au format DER

Syntaxe de transfert DER ( Distinguished Encoding Rules )

Conversion du format PEM (base64) vers DER (binaire) avec openssl(1)

Traduction des OID ralise via le fichier dumpasn1.cfg

Extrait du fichier de configuration :

OID = 06 09 2A 86 48 86 F7 0D 01 01 01
Comment = PKCS #1
Description = rsaEncryption (1 2 840 113549 1 1 1)

Bote outils : SSLDump
SSLDump
Tlchargement sur http://www.rtfm.com/ssldump/
Analyseur de trafic SSLv3/TLSv1
Dchiffrement du trafic la vole

modulo la connaissance de la clef prive associe la cl publique contenue dans le certificat

X.509 prsent par le serveur SSL/TLS...
GET / HTTP/1.0
Host: www.webserver.com

En pratique :
chiffrement et
signature
Chiffrement et signature (1/8)
mission d'un message chiffr/sign
Gnration des clefs RSA publique et prive de l'metteur et du destinataire
Format PEM, protection par mot de passe

src_rsa.pem, dst_rsa.pem respectivement pour les clefs prives metteur et destinataire

src_rsa_pub.pem, dst_rsa_pub.pem pour les clefs publiques
Gnration des clefs prives avec rsa(1ssl)

$ openssl genrsa -des 512 | tee src_rsa.pem

...............++++++++++++
.....++++++++++++
e is 65537 (0x10001)
Verifying password - Enter PEM pass phrase:

DEK-Info: DES-CBC,F797B90DFD6AE2BB
RujFw/mVRdBjfFI8xzrHCd+AvOpD3JfoD5XMEbXDlmprBR9nOdUc/wvjHUYNO4z6
fq3OGPpb8IGS9IilZDllS3RDui60m3UhcGMH1hd2p+E=

Gnration du biclef RSA

avec OpenSSL et un PRNGD
Biclef RSA format PEM Chiffrement DES-CBC

DEK-Info: DES-CBC,F797B90DFD6AE2BB
RujFw/mVRdBjfFI8xzrHCd+AvOpD3JfoD5XMEbXDlmprBR9nOdUc/wvjHUYNO4z6
fq3OGPpb8IGS9IilZDllS3RDui60m3UhcGMH1hd2p+E=
Clef publique RSA format PEM

MfwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL5ApUqqRf86ZklRhstCbGSP9REkOo2R
Extraction de U3E/q1ZRkGxrxKszYv3PEYatDmwZbhtofbndqVfHRUGULSHFsYP8azcCAwEAAQ==
la clef publique -----END PUBLIC KEY-----

Extraction, pour publication, des clefs publiques

$ openssl rsa -in src_rsa.pem -pubout | tee src_rsa_pub.pem

read RSA key
writing RSA key
MfwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL5ApUqqRf86ZklRhstCbGSP9REkOo2R
U3E/q1ZRkGxrxKszYv3PEYatDmwZbhtofbndqVfHRUGULSHFsYP8azcCAwEAAQ==
Idem pour dst_rsa.pem et dst_rsa_pub.pem
Chiffrement du message en DES (mode CBC) avec enc(1ssl)

Clef de chiffrement et vecteur d'initialisation drivs du mot de passe ('secret')

$ echo -n "Message confidentiel \!" | openssl enc -des-cbc | tee message.crypt

enter des-cbc encryption password:
Verifying password - enter des-cbc encryption password:


Calcul de l'empreinte du message chiffr avec dgst(1ssl)
Algorithme md5

$ openssl dgst -md5 -binary message.crypt | tee message.crypt.dgst
Signature
Mcanisme de chiffrement de l'empreinte avec la clef RSA prive de l'metteur

Chiffrement avec la clef prive de l'metteur (src_rsa.pem) de l'empreinte avec rsautl(1ssl)

openssl rsautl -in message.crypt.dgst -sign -inkey src_rsa.pem \

| tee message.crypt.sign
A)0hIWuk{!J
$
!

(
La signature est place en attachement (non chiffre, dans ce cas)

Transport de la clef de session
Paramtres DES drivant du mot de passe

Clef secrte de chiffrement

Vecteur d'initialisation
Chiffrement du mot de passe avec la clef publique du destinataire par rsautl(1ssl)

$ echo -n "secret" | openssl rsautl -encrypt -pubin -inkey dst_rsa_pub.pem \

| tee secret.crypt
zno!dI/.@ ml<;L_amlZcYvB
Constitution du message final

1. Message chiffr : message.crypt
2. Signature du message chiffr : message.crypt.sign
3. Clef de session chiffre : secret.crypt
4. Paramtres administratifs
Identifiant de la clef RSA de l'metteur
Algorithme utilis (DES en mode CBC)
Nature des diffrents attachements etc.

Clef publique
RSA destinataire
Message en clair Secret partag
"Message confidentiel !" "secret"
Chiffrement DES Clef de zno!

IV
en mode CBC session dI/.
@ ml
<;L_am
lZcY
vB
Message chiffr Secret partag chiffr

1. Calcul de l'empreinte MD5

2. Chiffrement avec la clef
prive RSA
Clef prive RSA metteur Message chiffr
et sign
Signature
A)0hIWuk{!J
$
!

(

Rception du message chiffr sign
Vrification de la signature avec rsa(1ssl)
Utilisation de la clef publique de l'metteur du message pour dchiffrer la signature

Obtention de l'empreinte du message telle que calcule par l'metteur

$ cat message.crypt.sign | openssl rsautl -verify -pubin -inkey src_rsa_pub.pem \

-out dgst1
Calcul de l'empreinte du message chiffr par le destinataire

$ cat message.crypt | openssl dgst -md5 -binary > dgst2
Comparaison des empreintes

$ diff -s dgst1 dgst2

Les fichiers dgst1 et dgst2 sont identiques.
Authenticit du message avre

Authentification de l'metteur

Intgrit des donnes


Dchiffrement du message par le destinataire
Dchiffrement de la clef de session avec la clef RSA prive du destinataire
$ cat secret.crypt | openssl rsautl -decrypt -inkey dst_rsa.pem
secret
Dchiffrement du message l'aide de la clef de session

$ cat message.crypt | openssl enc -d -des-cbc
enter des-cbc decryption password:
Message confidentiel \!
Au final, transmission d'un message avec les services de scurit suivants :


Problme rsiduel de l'authenticit du lien metteur-clef publique

Intgrit et confidentialit des donnes transmises


En pratique :
messagerie scurise
avec S/MIME
Messagerie scurise avec S/MIME
(1/6)
Secure Multi-purpose Internet Mail Extension
Extension au format MIME (RFC 1847)
Ajout du support de services de scurit
Dcrit dans les RFC suivantes :
Cryptographic Message Syntax (RFC 2630)
Diffie-Hellman Key Agreement Method (RFC 2631)
S/MIME Version 3 Certificat Handling (RFC 2632)
S/MIME Version 3 Message Specification (RFC 2633)
Services de scurit au niveau applicatif (de bout-en-bout )

+ service de non-rpudiation
Confidentialit des donnes

Intgrit des donnes


(2/6)
Format des messages
Utilisation de l'outil smime(1ssl)
Utilisation de certificats X.509, avec les extensions v3 S/MIME
Signature d'un message

$ openssl smime -sign -in message.txt -out message_signe.txt \

-text -signer src_rsa_pub.pem -inkey src_rsa.key
Vrification de la signature

Sauvegarde (option '-signer fichier.pem') du certificat de l'metteur si OK

Automatique sous Netscape Messenger et Microsoft Outlook
Attention aux attaques par prolongation de l'itinraire de certification !
$ openssl smime -verify -CAPath ./trustees/ -in message_signe.txt \

-signer src_rsa_pub.pem
Content-Type: text/plain
Ceci est message sign
Verification Successful
(3/6)
Format d'un message sign au format S/MIME
MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature";
micalg=sha1; boundary="----D53ABC9FB71E03185AE729DA6DAD1931"
This is an S/MIME signed message
------D53ABC9FB71E03185AE729DA6DAD1931
Content-Type: text/plain
Ceci est un message sign
------D53ABC9FB71E03185AE729DA6DAD1931
Content-Type: application/x-pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
MIIGuwYJKoZIhvcNAQcCoIIGrDCCBqgCAQExCzAJBgUrDgMCGgUAMAsGCSqGSIb3
[...]
6BmKU1IbbuR363HVCM/dsPTGQtJHRCDH+b41NneKWBCqJcs+T8Bn0OIhcr2RFLw=
------D53ABC9FB71E03185AE729DA6DAD1931--
Signature au format PKCS#7

(4/6)
Chiffrement d'un message par l'metteur

Chiffrement de la clef de session (3DES-CBC) avec la clef publique du destinataire

Clef publique contenue dans un certificat X.509
$ openssl smime -encrypt -in message.txt -des3 \

-out message_chiffre.txt dst_rsa.pem
Dchiffrement du message par le destinataire

Utilisation de sa clef RSA prive (protge par un mot de passe)
$ openssl smime -decrypt -in message_chiffre.txt \

-recip dst_rsa_pub.pem \
-inkey dst_rsa.pem
Ceci est un message chiffr

(5/6)
Format d'un message chiffr

MIME-Version:
MIME-Version: 1.0
Content-Disposition: attachment; filename="smime.p7m"
Content-Type: application/x-pkcs7-mime;
application/x-pkcs7-mime; name="smime.p7m"
Content-Transfer-Encoding: base64
MIIMvwYJKoZIhvcNAQcDoIIMsDCCDKwCAQAxggE0MIIBMAIBADCBmDCBkjELMAkG
[...]
8YMC6VlBeF8VCoBjrP8At7P3ELCdfs812RZB1Dxw2Jddjgwce67eFmsRd8stX9pk
Pax1
Structure ASN.1

Ajouter l'option '-outform DER' l'application smime(1ssl)

Utiliser dumpasn1...
[...]
338 30 2925: SEQUENCE {
342 06 9: OBJECT IDENTIFIER data (1 2 840 113549 1 7 1)
353 30 20: SEQUENCE {
355 06 8: OBJECT IDENTIFIER des-EDE3-CBC (1 2 840 113549 3 7)
365 04 8: OCTET STRING
: 48 6F 62 79 91 F8 57 72
: }
[...]

(6/6)
Dmonstration avec Netscape Messenger
Message sign
Message chiffr
Message chiffr/sign

-2-
De la clef publique au
certificat
Plan
Introduction
De la clef publique au certificat
Clef RSA, clef SSH, clef PGP
Problmatique de la certification
Les certificats X.509
Standard X.509v3 et profil PKIX
Champs standards et extensions v3
En pratique
Panorama des certificats inclus dans IE 5.0
Scurisation des changes avec SSL/TLS

De la clef publique
au
certificat
Exemple de clef publique RSA (1/2)
Format imprimable PEM :
$ openssl x509 -in certificate.pem -pubkey -noout

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuRyXFwdFK4QgS7Yapk/D
SIVyHqBVN12VRSQy1A9y27f3IWAhAJyipGbZFDaPOnpcwOZ376gdr4XLCRXD9nCA
BzNeEpIGBWjvaS8QyABoDuFo+kz01AT4WtAgVePqFydqNYV1eYiJk33B5oDW+zby
4Y5Ldtj014ktO9qjzhqZM94WvjlmMGAfjbmV6QF8JWCl/kotKJr0FjDgXgCykbBY
ZgdPKCKgDp6lM3DC1OBSrB8+xlkIiJ5dFJKF1ClkfK0tQpz1B0UdCmhQ7+1Nw2jY
Ht+79jN8ULa7zAzlf+lbbFrJ1hoB3YlR6FXf88HrlUGZVbLjX6NNOZIlZYbdYTx9
dwIDAQAB
Format humainement lisible :

$ openssl x509 -in server.pem -pubkey | openssl rsa -text -noout -pubin
Modulus (2048 bit):
00:b9:1c:97:17:07:45:2b:84:20:4b:b6:1a:a6:4f:
[...]
c9:d6:1a:01:dd:89:51:e8:55:df:f3:c1:eb:95:41:
99:55:b2:e3:5f:a3:4d:39:92:25:65:86:dd:61:3c:
7d:77
Exponent: 65537 (0x10001)

Exemple de clef publique RSA (2/2)
Donne brute, manipulable avec ambigit sur :
Type de clef et d'usage
Algorithme (RSA, DSA)

Chiffrement, Signature, change de clef

Tout autre usage spcifique une application ?

Priode de validit, statut de rvocation

Identit (paramtre administratif ) associe
Adresse IP (192.0.2.1)

Nom DNS pleinement qualifi (www.hsc.fr)

RFC822 (franck.davy@hsc.fr)

Format enrichir et standardiser

l'usage des applications


Premire approche :
SSH et drivs (1/5)
Mthodes d'authentification
Ct client
Authentification par mot de passe (permanent ou usage unique)

Authentification par clef publique RSA ou DSA (SSHv2 uniquement)

Ct serveur
Authentification par clef publique (RSA/DSA)

Clef publique transmise au client lors de la premire ouverture de session

Sauvegarde ct client

Un format de clef minimaliste

$ cat ssh_host_key.pub
1024 35 12312312312315016364622805541210905036255388057669
8961735325312313245435645645671203023278678280118194562709
6939937220982467588574628302525586302775483291130879549507
8961735325312313245435645645671203023278678280118194562709
3619651231243454354367454574568832342435454596754237631856
093442973835538980270174901 root@darkstar

Premire approche :
SSH et drivs (2/5)
Exemple d'ouverture de session
Connexion TCP (22/TCP)
Ouverture de session SSH
Notion de clef d'hte

Authentification du serveur est ralise au niveau applicatif

Utilsation de clef RSA ou DSA SSH_RSA_VERIFY
Non ? 5A:51:41:de:62:0c...
Objectif : authentification du serveur au niveau applicatif par sa clef publique

Et non plus simplement identification par adresse IP ou FQDN

Nombreuses attaques sur les protocoles IP, DNS et au niveau rseau...
Attaques de type Man-in-the-Middle

DNS ID Spoofing, DNS Cache poisoning

ProxyARP sur un rseau ethernet commut (dsniff, ettercap)
Ct client

$ ssh darkstar
The authenticity of host 'darkstar (192.0.2.1)' can't be established.

RSA key fingerprint is 5a:51:41:de:62:0c:d8:e9:c4:00:e1:19:f5:61:57:8c.
Are you sure you want to continue connecting (yes/no)? Yes
Warning: Permanently added 'server' (RSA) to the list of known hosts.
Ct serveur

$ ssh-keygen -l -f ssh_host_rsa_key.pub
1024 5a:51:41:de:62:0c:d8:e9:c4:00:e1:19:f5:61:57:8c ssh_host_rsa_key.pub

Premire approche :
SSH et drivs (3/5)
Avertissement lors d'un changement de clef publique du serveur
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is:
5a:51:41:de:62:0c:d8:e9:c4:00:e1:19:f5:61:57:8c.
Please contact your system administrator.
Mise jour du serveur SSH (avec changement de clef d'hte) ?

192.168.0.1
Attaque de type Man-in-the-middle ? 00:50:fc:20:d8:37
192.168.0.254 Connexion logique

00:60:97:cd:b6:9b
Commutateur
arp reply 192.168.0.254 is-at 00:48:54:3d:7d:e7
arp reply 192.168.0.1 is-at 00:48:54:3d:7d:e7
192.168.0.253
00:48:54:3d:7d:e7
Premire approche :
SSH et drivs (4/5)
Problme de l'authenticit de la clef publique prsente
Contact de l'administrateur

Pour une vrification locale de l'empreinte de la clef prsente

Consultation d'un annuaire authentifi centralisant les clefs ou les empreintes

Exemple d'utilisation de DNSSEC

Empreintes places dans l'enregistrement de ressource TXT

Mais il s'agit dj de PKI !
Ncessit d'un mcanisme de vrification hors-bande

Administrateur systme = rle de tiers, garant de l'authenticit de la clef prsente

Notion de tiers de confiance

Tiers certifiant le lien entre clef publique et adresse IP ou un nom pleinement qualifi


Premire approche :
SSH et drivs (5/5)
Rcapitulatif
Intervention d'un tiers, dit tiers de confiance
Utilisation de mcanismes hors-bande
Premire approche

Introduction d'un tiers de confiance, certifiant les clefs publiques

Recours au mcanisme de signature de la cryptographie asymtrique

Restriction des communications dites hors-bande avec ce tiers

de confiance
Rcupration de la clef publique de signature du tiers de confiance via un

canal sr
Dans l'exemple prcdent (changement de clef d'hte SSH) :
Contact de l'administrateur systme par tlphone

Administrateur

Pralablement connu de l'utilisateur

tiers de confiance

Possdant un accs physique au systme


PGP et le Web of Trust (1/5)
Principe :
Cryptosystme hybride permettant l'change chiffr/authentifi de donnes

Cryptographie clef secrte pour le chiffrement

Cryptographie clef publique pour la signature, le
Principe de l'anneau de confiance ( Web Of Trust

Utilisation adapte aux communauts...

Notion de COI : Community of interest
Exemple : le Debian Keyring Web of Trust

Distribution des clefs
Serveurs de clefs et serveurs HTTP rfrenant les clefs PGP
Envoi et recherche de clef sur un serveur de clef avec gpg :
$ gpg keyserver hkp://wwwkeys.pgp.net:11371 --send-keys <keyid>
$ gpg keyserver hkp://wwwkeys.pgp.net:11371 --recv-keys <keyid>
Recherche d'une clef suivant une chane de caractres :

$ w3m 'http://pgpkeys.pgp.net/
Public Key Server -- Index ``hsc.fr ''
Type bits /keyID Date User ID
pub 1024D/07ACF6FA 2001/11/22 Thomas Seyrat <Thomas.Seyrat@hsc.fr>
pub 1024D/34AFBB17 2001/04/18 Jerome Poggi (Office Key) <jerome.poggi@hsc.fr>
pub 1024D/B068C137 1999/10/15 Alain Thivillon <Alain.Thivillon@hsc.fr>
pub 1024R/D1D602E3 1999/02/26 Denis Ducamp <Denis.Ducamp@hsc.fr>
pub 1024R/0F2C58BD 1997/07/02 Stephane Aubert <aubert@hsc.fr>
pub 1024R/57155CC9 1996/11/09 Alain Thivillon <Alain.Thivillon@hsc.fr>
pub 1024R/D4ED2595 1995/12/08 Herve Schauer <Herve.Schauer@hsc.fr.net>
Exemple d'une recherche mene sur le nom Zimmerman sur le dpt keyserver.pgp.com
Public Key Server Error
Search failed
The number of certificates returned by this search exceeds
the maximum set for this server.
Solutions retenues en pratique
Tlchargement une URL, en HTTP par exemple
Empreinte diffuse par courrier lectronique (en-tte SMTP : X-GPG-Fingerprint)
GnuPG Party
Procdures dcrites dans le GnuPG Keysigning Party HOW-TO

Format d'une cl PGP
Extrait avec PGPDump
$ ./pgpdump ~/.gnupg/Franck.Davy.asc
[...]
Old: Public Key Packet(tag 6)(418 bytes)
Ver 4 new
Public key creation time - Fri Aug 31 16:52:54 CEST 2001
Pub alg - DSA Digital Signature Standard(pub 17)
DSA p(1024 bits) - ...
DSA q(160 bits) - ...
DSA g(1024 bits) - ...
DSA y(1020 bits) - ...
Old: User ID Packet(tag
Packet(tag 13)(32 bytes)
User ID - Franck DAVY <Franck.Davy@hsc.fr>
<Franck.Davy@hsc.fr>

GnuPG Party
Procdures dcrites dans le GnuPG Keysigning Party HOW-TO
What do I need for this party?
Required Items
1. Physical attendance
2. Positive picture ID
3. Your Key ID, Key type, HEX fingerprint, and Key size
4. A pen/pencil or whatever you'd like to write with....
5. NO computer
Why shouldn't I bring a computer?
* Someone might have modified the computers programs, operating
system, or hardware to steal or modify keys.
Format GnuPG Party des clefs
+--------+--------------------------------+-------------------------+----+----+
| Key ID | Key Owner | Key |Key |Key |
| | | Fingerprint |Size|Type|
+--------+----------------------------------------------------------+----+----+
|06E9EB78|Franck DAVY <Franck.Davy@hsc.fr>|AD11 1F76 25E2 5614 B07B |1024|DSA |
| | |EE22 ECA6 AE99 06E9 EB78 | | |
+--------+--------------------------------+-------------------------+----+----+

Les certificats X.509
Dfinition
Un certificat est un lien de confiance entre :
Une identit
Une clef publique
Une priode de validit
Un usage
Typologie des infrastuctures clef publique (PKI):
Une structure en thorie hierarchique
1. Au sommet : une autorit de certification dite racine
Une autorit en laquelle la communaut d'utilisateurs a confiance
Certificat auto-sign
Extension par certification croise...
2. Autorits de certification intermdiaires
Certificats dlivrs par l'autorit racine
Habilites, par exemple, dlivrer des certificats aux entits terminales
3. Entits terminales (Serveur SSL/TLS, client S/MIME etc.)
Itinraire de certification (1/9)
Structure hirarchique
La validation du certificat d'une entit terminale
est ralis de proche en proche :
1. Validation de la signature applique

au certificat de l'entit communicante
2. Validations successives des signatures

appliques aux certificats des autorits
intermdiaires
3. Confiance accorde au certificat

de l'autorit racine....
Communication hors-bande
Communication en ligne

Exemple : validation d'un certificat serveur SSL/TLS

s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
s:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3

/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
s:/C=FR/ST=Paris/L=Paris/O=CERTPLUS SA/OU=Operations - 2003

/OU=Terms of use at www.certplus.com/rpa (c) 01/OU=Authenticated by Certplus SA
/OU=Member, VeriSign Trust Network/CN=www.certplus.com
i:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3


En pratique :
Certificat = structure certifie
Ensemble clef publique + paramtres administratifs scell par la clef prive de l'autorit
signataire
Pour les diffrentes entits
Possession du certificat de l'autorit racine, uniquement
Parcours de l'itinraire de certification (suivant les applications...) pour valider la chane
des certificats prsents
Organisation hierarchique ?
Multiples autorits de certification
106 autorits de certification, ou autorits dites de confiance dans Windows 2000
Passage d'une organisation du type hierarchy of trust vers une (ds)organisation
spaghetti of doubt (Peter Gutmann)
la charge des applications de permettre au client de vrifier le certificat prsent
Prsentation de la chane de certification dans les protocoles SSL/TLS, S/MIME


Validation d'un certificat serveur SSL/TLS
Cas d'un serveur correctement configur
Prsentation au client de l'intgralit de la chane de certification
Pour le logiciel client :
Pas de manipulations supplmentaires pour le tlchargement des certificats intermdiaires

Possession pralable du certificat de l'autorit signataire requise, uniquement

Cas d'un serveur mal configur

Les diffrents certificats de la chane ne sont pas prsents au client
Le logiciel client doit-il la complter ?
Explication de la prsence de certificats intermdiaires dans IE ? (leur importation n'est pas gratuite !)
En gnral :
Certificats terminaux, mis par une autorit racine (pathlen = 0)
Validation SSL/TLS
$ openssl s_client -connect www.webserver.com:443 -CAfile ca/caroot.pem -showcerts

CONNECTED(00000003)
---
Certificate chain
0 s:CN=w
s:CN=www.webserver.com
ww.webserver.com
i:CN=CA SSL
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
1 s:CN=CA SSL
i:CN=CA ROOT
[...]
2 s:CN=CA ROOT
i:CN=CA ROOT
[...]
Server certificate
subject=/CN=www.webserver.com
issuer=/CN=CA SSL

Validation SSL/TLS
SSL handshake has read 4104 bytes and written 268 bytes
--
New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : EDH-RSA-DES-CBC3-SHA
Session-ID: 269BC84135E313F12A9E624065FAC6FA9452D2F728AE518FEB17E009B8E3FF8B
Session-ID-ctx:
Master-Key: 95F39BE9741D3B55B418A3B6BC8B0F9B3649CF \
F629B2259DEA36C4EAF16D4AB011FE6F62D914A679F7E915344AE8938E
Key-Arg : None
Start Time: 1008002520
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
GET / HTTP/1.0 200 ok
Content-type: text/html[...]
Seul le certificat de l'autorit racine tait initialement connu du navigateur

La validation a t correctement effectue, par vrification de proche en proche des

certificats constituant la chane de certification

Validation avec Netscape
Prsent dans Netscape : le certificat de l'autorit racine uniquement
CA ROOT autosign
DN du porteur = DN de l'metteur


Validation avec Netscape correctement effectue
L'metteur du certificat serveur est CA SSL
Seul le certificat de CA ROOT (CN=CA ROOT)

figurait dans la base de donnes locale des
certificats dits de confiance
Prsentation de l'empreinte du certificat calcule

par le navigateur
Empreinte MD5 du certificat au format DER
Analogue au mcanisme employ par OpenSSH,

lorsque la vrification partir de la clef du CA
n'est pas ralisable
Format X.509 (1/5)
Historique
Norme ITU-T X.509, fait partie des recommandations X.500
Version 1 (1988) :
Dfinition des champs de base
Version 2 (1993) :
Ajout de 2 champs optionnels
Version 3 (1996) :
Ajout d'extensions
Avec notion de criticit

Importance pour la scurit !

basicContraints
keyUsage
Etc.

Format X.509 (2/5)
Structure ASN.1
Abstract Syntax Notation 1

Syntaxe abstraite normalise (X.208)
Encodage : syntaxe de transfert distinctive
Rgle d'encodage DER

certificate ::= SEQUENCE {

tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING
}
TBSCertificate ::= SEQUENCE {

version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
extensions [3] EXPLICIT Extensions OPTIONAL
-- If present, version shall be v3
}

Format X.509 (3/5)
Certificate:
Data: tBSCertificate
Version: 1 (0x0)
Serial Number:
32:50:33:cf:50:d1:56:f3:5c:81:ad:65:5c:4f:c8:25
Signature Algorithm: md2WithRSAEncryption
Issuer: C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority
Validity
Not Before: Jan 29 00:00:00 1996 GMT
Not After : Jan 7 23:59:59 2020 GMT
Subject: C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:e5:19:bf:6d:a3:56:61:2d:99:48:71:f6:67:de:
[...]
2a:2f:31:aa:ee:a3:67:da:db
Exponent: 65537 (0x10001)
Signature Algorithm: md2WithRSAEncryption signatureAlgorithm
4b:44:66:60:68:64:e4:98:1b:f3:b0:72:e6:95:89:7c:dd:7b:
[...] signatureValue
f8:45

Format X.509 (4/5)
Format texte du champ identifiant l'metteur
Issuer: C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification
Authority
Reprsentation ASN.1
: . . SEQUENCE {
: . . . SET {
: . . . . SEQUENCE {
: . . . . . OBJECT IDENTIFIER countryName (2 5 4 6)
: . . . . . PrintableString 'US'
: . . . . . }
: . . . . }
: . . . SET {
: . . . . . OBJECT IDENTIFIER organizationName (2 5 4 10)
: . . . . . PrintableString 'VeriSign, Inc.'
: . . . . . }
: . . . . }
: . . . SET {
: . . . . . OBJECT IDENTIFIER organizationalUnitName (2 5 4 11)
: . . . . . PrintableString
: . . . . . . 'Class 1 Public Primary Certification Authority'
: . . . . . }
: . . . . }
: . . . }

Format X.509 (5/5)
Structure ASN.1 pour l'attribut 'issuer'
Name ::= CHOICE {

RDNSequence }
RDNSequence ::= SEQUENCE OF RelativeDistinguishedName
RelativeDistinguishedName ::= SET OF AttributeTypeAndValue
AttributeTypeAndValue ::= SEQUENCE {
type AttributeType,
value AttributeValue }
AttributeType ::= OBJECT IDENTIFIER
AttributeValue ::= ANY DEFINED BY AttributeType
OID pour le RDN Country (C)
2.5.4.6 id-at-countryName
countryName ATTRIBUTE ::= {
SUBTYPE OF name
WITH SYNTAX PrintableString (SIZE (2))
SINGLE VALUE TRUE
ID id-at-countryName
}
Avec :
2.5.4 - X.500 attribute types
2.5 - X.500 Directory Services
2 - ISO/ITU-T jointly assigned OIDs
Top of OID tree

Profil PKIX (1/2)
Description
Groupe de travail IETF cr en 1995
Objectif : dvelopper pour l'internet une PKI fonde sur les certificats X.509
Composantes
Instanciation des certificats X.509v3 et des listes de rvocations X.509 pour une
infrastructure adapte l'Internet (RFC3280)
Protocoles d'exploitation (RFC2559, RFC2585)
Distributions des certificats et listes de rvocation
Protocoles de gestion (RFC2510)
Dialogues entre le diffrentes entits de la PKI
Rgles d'usage et considrations pratiques (RFC2527)
Exigences de scurit
En matire d'identification des sujets, de rvocation des certificats


Profil PKIX (2/2)
Existence de nombreux profils...
PKIX, FPKI (US Federal PKI Profile), MISSI (US DoD profile), ISO 15782, SEIS
(Secured Electronic Information For Society), Australian Profile, German Profile,
Microsoft Profile etc.
You can' be a real country unless you have a beer and a airline.
It helps if you have some kind of a football team, or some nuclear
weapons, but at the very least, you need a beer.
-- Franck Zappa
And an X.509 profile.
-- Peter Gutmann
Difficults dans le choix des produits (et prestataires)

Conformit au profil PKIX requise ?
Ex : Microsoft - Ignorance du bit keyUsage

... et de l'extension basicConstraints ! (Cf. Faille CryptoAPI)

Pour aller plus loin : X.509 Style Guide

http://www.cs.auckland.ac.nz/~pgut001/


Champs standards et X.500 (1/3)
Version
Indique l'utilisation possible d'extensions
Problme de compatibilit avec les extensions propritaires

X509v3 extensions:
2.5.29.1:
0i.....[...*.9..b.S2.R0P1.0...U....US1^M0...U.
0i.....[...*.9..b.S2.R0P1.0...U....US1^M0...U.
..MSFT1200..U...)Microsoft Authenticode(tm) Root Authority...
En pratique : version 3
Numro de Srie
Identifiant unique d'un certificat (pour une autorit signataire donne)
En pratique :
Incrment alatoirement (estimation du nombre de certificats mis ?)
Champs "Subject" et "Issuer"
Comportent respectivement les Distinguished Names (DN) de l'metteur et du signataire du
certificat
Pour le certificat d'une autorit de certification racine, ces deux champs sont gaux

En thorie, constitue un chemin unique vers l'entit possdant le DN rfrenc dans le DIT
En pratique : inexistence d'annuaire X.500...
Peu de sens en pratique (sauf contexte LDAP !)
Seul le commonName est gnralement utilis
Cas des serveurs HTTPS notamment
Tous les RDN peuvent importer dans le cas d'un certificat client
Gestion des autorisations par exemple

Les RDN sont gnralement sans grand rapport avec leur fonction originale
Issuer= /O=VeriSign Trust Network

/OU=VeriSign, Inc.
/OU=VeriSign International Server CA - Class 3
Recommendation PKIX : utiliser l'extension v3 subjectAltName

Gestion des alias, pour les htes virtuels, ou encore les adresses email

multiples dans le cas du courrier lectronique chiffr/sign au format

S/MIME

Validit
Dates dterminant la priode de validit d'un certificat
Au del de cette priode, on parle d'expiration
Suspension de validit durant cette priode : rvocation
Remarques :
Certificats rvoqus arrivs expiration susceptibles de rester dans les CRL
Propice l'accroissement en taille des CRL...
Extrait de l'archive de CRL http://crl.verisign.com

$ ls -al RSASecureServer*
-rw------- 1 davy davy 822074 sep 20 09:01 RSASecureServer.crl
-rw------- 1 davy davy 841986 sep 20 09:01 RSASecureServer.crl.0710
-rw------- 1 davy davy 766740 sep 20 09:01 RSASecureServer-p.crl.old
-rw------- 1 davy davy 768420 sep 20 09:01 RSASecureServer-p.crl.save
Cependant certains navigateurs ne vrifient pas correctement ces dates (Netscape)

Exemple : Applet Java signe... mais certificat expir
Http://www.brookscole.com/compsci/aeonline/course/7/2/index.html

Extensions X.509v3 (1/8)
Notion de criticit d'une extension
Contraintes d'utilisation, sur l'usage
Clef publique de chiffrement (RSA), de signature (RSA/DSA), d'change de clef (DH)?

Exigences de scurit

Service de non rpudiation associ ?

Contraintes sur l'itinraire de certification
Longueur maximale de la chane de certification

Informations diverses
Points de distribution des listes de rvocation, de la politique de certification etc.
Extensions propritaires
En pratique :
Considration laisse la discrtion de l'application
Peu d'extensions reconnues ou prises en compte
Avec de potentielles failles de scurit en consquence
CryptoAPI MS02-050


basicContraints
Pathlen : nombre de certificats pouvant apparatre, dans la chane de
certification, sous le certificat portant cette extension
CA : TRUE pour une entit habilite dlivrer des certificats, FALSE sinon
X509v3 Basic Constraints :

CA:TRUE, pathlen:10 CA ROOT
CA OP 1
10 autorits peuvent
apparatre sous CA ROOT
CA OP 10
Entit Entit
terminale terminale

keyUsage
digitalSignature (RSA/DSA)
mcanisme de signature
nonRepudiation (RSA/DSA)
service de non rpudiation
keyEncipherment/dataEncipherment (RSA)
chiffrement de clef (de session, premastersecret) ou de donnes
keyCertSign/cRLSign (RSA/DSA)
signature de certificats/de listes de rvocation
keyAgreement/encipherOnly/decipherOnly (DH)
utilisation de Diffie-Hellman uniquement
X509v3 Key Usage:

Certificate Sign, CRL Sign

Variantes autour de l'extension keyUsage
Extended Key Usage (extendedKeyUsage)
serverAuth, clientAuth, codeSigning, emailProtection, timeStamping, msCodeInd,
msCodeCom, msCTLSign, msSGC, msEFS, nsSGC
Netscape Cert Type (nsCertType)
objsign, email, server, objCA, emailCA, sslCA
X509v3 Extended Key Usage:

TLS Web Client Authentication, E-mail Protection
Netscape Cert Type:
SSL CA, S/MIME CA, Object Signing CA

cRLDistributionPoints
URI ou DNS: point de tlchargement de la liste de rvocation correspondant au
certificat portant cette extension
DirName (DN) permettant de tlcharger la liste de rvocation via LDAP
X509v3 CRL Distribution Points:

URI:http://crl-acracine.certinomis.com/acracine.crl
DNS:ldap.certinomis.com
DirName:/C=FR/O=CertiNomis/OU=AC Racine - Root CA/CN=CertiNomis
Recherche de la CRL via ldapsearch(1)

Suite d'outils OpenLDAP
http://www.openldap.org
# CertiNomis Classe 2+, CertiNomis ,FR
dn: cn=CertiNomis Classe 2+, o=CertiNomis ,c=FR
certificaterevocationlist;binary:: MIIBJjCBkgIBATANBgkqhki...
certificaterevocationlist;base64:: TulJQkpqQ0JrZ0lCQVRBTkJ...
objectclass: top
objectclass: crlDistributionPoint
cn: CertiNomis Classe 2+

authorityInfoAccess
Indication relative l'autorit ayant mis le certificat porteur de cette
extension, en terme de service de rvocation en ligne typiquement (serveur
OCSP)
Authority Information Access:
OCSP URI:http://fd.hsc.fr/

certificatePolicies, policyIdentifier
Pointeur vers l'nonc des pratiques de certification
[Ce document nonce les] pratiques utilises par l'IGC dans la gestion des certificats
pratiques qui dpendent de la politique de certification mise en oeuvre. Une IGC doit
publier cette dclaration afin de dcrire les modalits de fonctionnement des service s
qu'elle rend.
FAQ du DCSSI sur les infrastructures gestion de clef

http://www.scssi.gouv.fr/fr/faq/faq_igc.html
Exemple :
X509v3 Certificate Policies:
Policy: 2.16.840.1.113733.1.7.1.1
CPS: https://www.verisign.com/CPS
User Notice:
Organization: VeriSign, Inc.
Number: 1

X509v3 extensions:
Netscape Cert Type:
SSL CA, S/MIME CA, Object Signing CA
DirName:/C=US/O=Entrust.net/OU=www.entrust.net/CPS incorp. by ref.
(limits liab.)/OU=(c) 1999 Entrust.net Limited/CN=Entrust.net Secure
Server Certification Authority/CN=CRL1
URI:http://www.entrust.net/CRL/net1.crl
X509v3 Private Key Usage Period:
Not Before: May 25 16:09:40 1999 GMT, Not After: May 25 16:09:40 2019 GMT
X509v3 Key Usage:
X509v3 Authority Key Identifier:
keyid:F0:17:62:13:55:3D:B3:FF:0A:00:6B:FB:50:84:97:F3:ED:62:D0:1A
X509v3 Subject Key Identifier:
F0:17:62:13:55:3D:B3:FF:0A:00:6B:FB:50:84:97:F3:ED:62:D0:1A
X509v3 Basic Constraints:
CA:TRUE
X509v3 extensions:
2.5.29.10:
0.....
commonName:
Authority
.)Microsoft Authenticode(tm) Root Authorit
2.5.29.1:
0i.....[...*.9..b.S2.R0P1.0...U....US1^M0...U.
..MSFT1200..U...)Microsoft Authenticode(tm) Root Authority...

Faille CryptoAPI (1/2)
Internet Explorer SSL Vulnerability (MS02-050)
Description du problme
Non prise en compte par Internet Explorer (5, 5.5 et 6) de l'extension v3

basicContraints
Exemple : X509v3 Basic Constraints : CA:TRUE, pathlen:10

Signification :

Le certificat est celui d'une autorit de certification : CA:TRUE

10 certificats intermdiaires peuvent constituer la chane conduisant aux entits

terminales : pathlen:10
Ces options n'ont de signification que pour le client manipulant le certificat

Absence de l'option critique basicConstraints et permissit concernant les keyUsage

= possibilit pour la clef prive associe la clef publique dans le certificat de dlivrer
un certificat
Un certificat terminal peut se comporter comme une autorit de certification

Un certificat serveur SSL/TLS valide peut donc certifier une clef publique

Le danger est dans le prolongement de l'itinraire de certification d'une autorit de

confiance connue
Faille CryptoAPI (2/2)
Scnario d'exploitation
Attaque de type Man-in-the-Middle
http://www.hsc.fr/ressources/presentations/mitm/index.html.fr
Certificate chain
0 s:/C=FR/ST=Hauts de Seine/L=CLICHY/O=WEBSERVER Company.../CN=www.webserver.com
i:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3
1 s:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3
s:/CN=www.gimmecard .tld
i:/C=FR/ST=Hauts de Seine/L=CLICHY/O=WEBSERVER Company.../CN=www.webserver.com
Commutateur www.gimmecard.tld
Prolongation de l'itinraire de certification

Penser bien configurer le relais prsentant le certificat du serveur dtourn pour qu'il renvoie

son tour les diffrents certificats de la chane de certification ;-)

Extensible S/MIME !
Faille dans la CryptoAPI (non spcifique IE)


En pratique
Utilisation des certificats X.509v3
Commerce lectronique, avec HTTPS (HTTP/SSL)
Authentification SSL/TLS par certificat, obligatoire pour le serveur

Authentification optionnelle pour le client (SSLv3/TLSv1)

Message lectronique scurise

Confidentialit et authenticit des messages

Entre utilisateurs finaux, avec S/MIME

Entre MTA, avec SMTP-TLS
Scurisation des infrastructures rseau
Tunnels IPSec

Gestion de l'entreprise
Intgration aux ERP

Dmatrialisation des procdures de l'administration

Horodatage des documents, non rpudiation des transactions

Contrle d'accs et gestion de privilges

Les certificats dans IE 5.0 : Panorama
Trois grandes classes de certificats X.509
Certificats Racines
Certificats Intermdiaire s(autorits de certification non autosignes)
Certificats Personnels (thoriquement non autorises dlivrer de certificats)
Manipulation des certificats X.509
Via l'interface graphique

Conviviale, mais peu pratique

Via la suite d'outils "Authenticode for IE 5.0"

Assez puissante , mais non livre en standard

Exemple : Exportation des certificats racines
c:\ certmgr -add -all -c -s root -7 win2k_rootcerts.der
Rsultat : Liste de 106 certificats, au format PKCS#7
Certificats de confiance ?
DN : C=hk, O=C&W HKT SecureNet CA SGC Root...
DN : C=UY, O=ADMINISTRACION NACIONAL DE CORREOS...
DN : C=MX, CN=Autoridad Certificadora del Colegio Nacional de
Correduria Publica Mexicana, A.C.,O=Colegio...

IE 5.0 : Autorits de certification (1/3)



IE 5.0 : Autorits intermdiaires (1/3)



Quelques chiffres... (1/2)
Champs Standards
Nombre de certificats (racines) rfrencs : 106
Rpartition par pays
Pays AU BE BR CH DE ES FI FR GB HK HU IT JP MX NL US UY ZA Ind.
4 2 4 1 7 4 2 7 1 4 3 2 3 2 1 41 1 6 11
Version des certificats

Version 1 2 3
44 0 62
Taille des clefs

Taille (RSA) 1000 1024 2046 2048
1 62 2 41
Les racines possdant ces clefs exotiques tant :
(1000) Issuer: C=US, O=RSA Data Security, Inc., OU=Secure Server Certification
Authority
(2046) Issuer: C=FR, O=Certiposte, CN=Certiposte Classe A Personne
Issuer: C=FR, O=Certiposte, CN=Certiposte Serveur

Quelques chiffres... (2/2)
Extensions v3
X509v3 Key Usage : 40 (14 critical)

Certificate Sign : 40

CRL Sign : 38

Digital Signature : 11

Non Repudiation : 7

X509v3 Basic Constraints : 60 (33 critical)

CA:TRUE : 60

Pathlen : 15

Pathlen 1 3 4 5 8 10
1 3 3 2 1 5
X509v3 CRL Distribution Points : 22

URI : 13

DirName : 10

Disponibilit des CRL :

404 Not Found :6

503 Service Unavailable :2

200 OK :5


Dmonstrations : HTTPS (1/8)
Le protocole HTTPS
Authentification du serveur par certificat X.509
Authentification du client par certificat X.509 (SSLv3/TLSv1 uniquement)
Importation de la paire certificat/clef prive via PKCS#12

Suivi de session authentifie et gestion des autorisations au niveau du serveur

Restriction d'accs selon :

DN (Organisation, pays etc.)

Plages horaires

Configuration
Serveur Apache + Mod_SSL

OpenSSL, pour la gnration des certificats


Limitations :
incompatibilit entre les protocoles SSL/TLS et HTTP/1.1
Problmatique
Entte 'Host: ' introduite en HTTP/1.1

Extension HTTP/1.0 dans les navigateurs modernes

Hbergement de plusieurs sites pour une mme instance de serveur WEB

Distinction et distribution des requtes suivant :

L'adresse IP

Le nom rfrenc par l'entte Host

Limitation

Utilisation des protocoles SSL/TLS

Protocole SSL/TLS se droulant avant tout dialogue HTTP

Problme de validation d'un certificat

Le nom prsent via le RDN 'CN' dans le certificat X.509 ne concide pas forcment avec le nom de

domaine pleinement qualifi (FQDN) par lequel le serveur HTTPS est accd

Illustration
$ openssl s_client -connect 192.70.106.69:443
CONNECTED(00000003)
---
Server certificate
subject=/C=FR/ST=Ile-de-France/L=Levallois-Perret/O=Herve Schauer Consultants/CN=www.webserver.com
issuer=/C=FR/ST=Ile-de-France/L=Levallois-Perret/O=Herve Schauer Consultants/CN=CA SSL
---
No client certificate CA names sent
---
SSL handshake has read 3360 bytes and written 320 bytes
---
New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : EDH-RSA-DES-CBC3-SHA
Session-ID: 399FF3BB460AE2A297079497F1BE7A0DB73973F99808ED12569C571B59FEF525
Master-Key:
94B3A8FFCEA690E35AA138AFC496AF803CD8F3C70C1617E44AF5AB0919D5F6DB2630C9F1AFB0D6C53FA7F0107E38DFF3
Verify return code: 0 (ok)
---
GET / HTTP/1.0
Host: UnAutre.webserver.com
HTTP/1.0 200 ok
Content-type: text/html

Htes virtuels par adresse IP
Gnration des certificats
Champ CN gal au FQDN

Gnration classique

Mcanisme transparent pour l'utilisateur

Utilisation de plusieurs adresses IP

Alternative similaire : utiliser des ports diffrents
Htes virtuels par nom
Une et une seule adresse IP
Utilisation d'alias DNS (CNAME)
Un seul certificat X.509 est prsent pour les 2 htes hbergs...


Htes virtuels par nom
DNS Standard query A www1.webserver.com
DNS Standard query response CNAME www.webserver.com A 192.0.20.1
GET / HTTP/1.0
Host: www1.webserver.com
CN=www.webserver.com
192.0.20.1
Htes virtuels par adresse IP

DNS Standard query A www1.webserver.com
DNS Standard query response A 192.0.20.2
GET / HTTP/1.0
Host: www1.webserver.com
CN=www1.webserver.com
192.0.20.1
192.0.20.2
...
Mthodes de validation des certificats
Netscape
Gestion des wildcards et expressions rationnelles dans le champ CN

Gestion des CN multivalus

Spcification Netscape (SSLv3) :

http://www.netscape.com/eng/security/ssl_2.0_certificate.html

Internet Explorer
Gestion des subjectAltName multivalus de type dNSName

En cas de subjectAltName non prsent :

Gestion du CN avec wildcards

Conformit partielle la RFC2818 [HTTP/TLS]

Problmatique
Internet Explorer 5.01 ne gre pas les wildcards
http://support.microsoft.com/support/kb/articles/Q258/8/58.ASP
http://www.thawte.com/support/server/wildcards.html
Application de correctifs ncessaire
Peu envisageable grande chelle, et face une population cliente non identifie

Solution
Certificat hybride
Valeur du commonName

(foo|bar).webserver.com ou *.webserver.com

X509v3 Subject Alternative Name:

DNS:foo.webserver.com, DNS:bar.webserver.com


Ressources et dmonstrations : HTTPS
(8/8)
Pour aller plus loin...
SSL and TLS Designing and Building Secure Systems (Eric Rescorla)
Addison-Wesley, 2001 ISBN 0-201-61598-3

http://www.rtfm.com/sslbook/

SSL/TLS : du concept la pratique

http://www.hsc.fr/~davy/ssl-tls.pdf


Exemple de PKI :
tldclaration des impts (1/9)
Service de dclaration des impts en ligne
http://www.ir.dgi.minefi.gouv.fr/
Usage du certificat X.509 client gnr

Authentification client SSLv3/TLSv1 (gre par le navigateur)

Restriction de l'accs au site HTTPS
Pour rappel : il n'y a pas de service de non rpudiation en SSL/TLS
La clef utilise pour signer les donnes applicatives n'est pas celle associe la clef publique contenue
dans le certificat
Signature numrique de la dclaration au format lectronique (gre une applet Java)
laquelle est associe un service de non-rpudiation ( imputabilit )
Clef prive et certificat dans un fichier au format PKCS#12 contenant :

1. Les certificats des autorits signataires

a) Autorit de certification racine
b) Autorits de certification intermdiaires
2. Le certificat client et la clef prive associe (chiffre en DES-EDE3-CBC)

Exemple de PKI :
Tldclaration des impts : architecture
AC Racine AC intermdiaire n1
O=DIRECTION GENERALE DES IMPOTS, O=DIRECTION GENERALE DES IMPOTS,
CN=AC DIRECTION GENERALE DES IMPOTS RACINE CN=AC DIRECTION GENERALE DES IMPOTS
AC intermdiaire n2
O=DIRECTION GENERALE DES IMPOTS,
CN=AC DIRECTION GENERALE DES IMPOTS USAGER
pathlen=0
Entit terminale
C=fr, O=DIRECTION GENERALE DES IMPOTS, OU=DIRECTION GENERALE DES IMPOTS USAGER,
OU=AD - 1, OU=D - 0, CN=XXXXXXXXXXXXX DAVY FRANCK

Exemple de PKI :
AC Racine
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
7a:7a:cd:e8:d9:d3:65:ee:00:fb:8f:6b:3a:8b:89:70
Signature Algorithm: sha1WithRSAEncryption
Issuer: O=DIRECTION GENERALE DES IMPOTS, CN=AC DIRECTION GENERALE DES IMPOTS RACINE
Validity
Not Before: Jul 5 00:00:00 2001 GMT
Not After : Jul 4 23:59:59 2013 GMT
Subject: O=DIRECTION GENERALE DES IMPOTS, CN=AC DIRECTION GENERALE DES IMPOTS RACINE
Modulus (2048 bit): [...]
Exponent: 65537 (0x10001)
X509v3 extensions:
CA:TRUE
URI:http://icp.dgi.minefi.gouv.fr/teleir/AC_DIRECTION_GENERALE_DES_IMPOTS_RACINE.crl
X509v3 Key Usage:
08:F1:F8:CF:BF:01:4F:88:58:D4:9A:7F:5B:BC:ED:C7:69:69:43:DE
keyid:08:F1:F8:CF:BF:01:4F:88:58:D4:9A:7F:5B:BC:ED:C7:69:69:43:DE

Exemple de PKI :
AC intermdiaire n1
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
6d:61:71:7a:c0:dc:23:c0:f3:a7:2b:03:ac:21:f0:af
Issuer: O=DIRECTION GENERALE DES IMPOTS, CN=AC DIRECTION GENERALE DES IMPOTS RACINE
Validity
Subject: O=DIRECTION GENERALE DES IMPOTS, CN=AC DIRECTION GENERALE DES IMPOTS
Exponent: 65537 (0x10001)
X509v3 extensions:
CA:TRUE
URI:http://icp.dgi.minefi.gouv.fr/teleir/AC_DIRECTION_GENERALE_DES_IMPOTS_RACINE.crl
X509v3 Key Usage:
04:6C:AE:8D:DB:03:C7:21:91:EB:5B:61:35:AD:A5:AF:43:5E:2F:DB
keyid:08:F1:F8:CF:BF:01:4F:88:58:D4:9A:7F:5B:BC:ED:C7:69:69:43:DE

Exemple de PKI :
Certificat des autorits de certification racine et intermdiaire n1
AC Racine : certificat autodlivr/autosign
subject == issuer
Version 3
Prsence d'extensions X509v3
Clef publique RSA de 2048 bits
Usages :
mission de certificats (Certificate Sign)
mission de listes de rvocation (CRL Sign)
Liste de rvocation associe via l'extension cRLDistributionPoints
Autorits non oprationnelles
$ openssl crl -inform DER \
-in AC_DIRECTION_GENERALE_DES_IMPOTS_RACINE.crl -text -noout
Certificate Revocation List (CRL):

Version 1 (0x0)
Issuer: /O=DIRECTION GENERALE DES IMPOTS/CN=AC DIRECTION GENERALE DES IMPOTS RACINE
Last Update: Jul 5 00:00:00 2001 GMT
Next Update: Jul 4 23:59:59 2013 GMT
No Revoked Certificates.
91:9f:54:d7:ad:67:1a:f9:b8:f6:13:09
Exemple de PKI :
AC intermdiaire n2
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
70:f8:41:2e:35:ab:81:86:b3:ea:6e:77:05:49:2a:1b
Issuer: O=DIRECTION GENERALE DES IMPOTS, CN=AC DIRECTION GENERALE DES IMPOTS
Validity
Subject: O=DIRECTION GENERALE DES IMPOTS, CN=AC DIRECTION GENERALE DES IMPOTS USAGER
Exponent: 65537 (0x10001)
X509v3 extensions:
CA:TRUE, pathlen:0
URI:http://icp.dgi.minefi.gouv.fr/teleir/AC_DIRECTION_GENERALE_DES_IMPOTS.crl
X509v3 Key Usage:
Netscape Cert Type:
SSL CA, S/MIME CA
DirName:/CN=DGI-1
03:71:E1:87:C2:F3:73:26:D0:0A:31:24:A0:34:4E:7A:38:81:7F:8A
keyid:04:6C:AE:8D:DB:03:C7:21:91:EB:5B:61:35:AD:A5:AF:43:5E:2F:DB

Exemple de PKI :
Certificat de l'autorit de certification n2
AC oprationnelle : dlivre des certificats des entits terminales
Longueur de l'itinraire de certification gal 0

Aucune autorit de certification intermdiaire tolre sous l'autorit CN=AC DIRECTION

GENERALE DES IMPOTS USAGER

Version 3
Prsence d'extensions X509v3


Usages :
mission de certificats clients/serveurs SSL/TLS (SSL CA, Certficate Sign)
mission de certificats clients S/MIME (S/MIME CA, Certificate Sign)
mission de listes de rvocation (CRL Sign)
Liste de rvocation associe ce certificat via l'extension cRLDistributionPoints
Autorit oprationnelle
$ openssl crl -inform DER \
-in AC_DIRECTION_GENERALE_DES_IMPOTS.crl -text -noout
[...]
Issuer: /O=DIRECTION GENERALE DES IMPOTS/CN=AC DIRECTION GENERALE DES IMPOTS
[...]
No Revoked Certificates.
Exemple de PKI :
Certificat client
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
54:df:be:15:c2:49:d7:02:78:47:cf:8c:ac:04:fd:0d
Issuer: O=DIRECTION GENERALE DES IMPOTS, CN=AC DIRECTION GENERALE DES IMPOTS USAGER
Validity
Not Before: Mar 17 00:00:00 2003 GMT
Not After : Mar 16 23:59:59 2006 GMT
Subject: C=fr, O=DIRECTION GENERALE DES IMPOTS, OU=DIRECTION GENERALE DES IMPOTS USAGER,
OU=AD - 1, OU=D - 0, CN=XXXXXXXXXXXXX DAVY FRANCK
Exponent: 65537 (0x10001)
X509v3 extensions:
CA:FALSE
URI:http://onsitecrl.certplus.com/
DIRECTIONGENERALEDESIMPOTSDIRECTIONGENERALEDESIMPOTSUSAGER/LatestCRL
X509v3 Key Usage:

Digital Signature, Non Repudiation
Netscape Cert Type:
SSL Client
2.16.840.1.113733.1.6.9:
...

Exemple de PKI :
Certificat d'une entit terminale
Usages :
Utilisation comme certificat client SSL/TLS (SSL Client, Digital Signature)
Utilisation comme certificat de signature, avec service de non rpuditation associ (Digital
Signature, Non Repudiation)
OID propritaire Verisign : 2.16.840.1.113733.1.6.9
Identifie l'nonc des pratiques de certification de l'autorit signataire
OID value: 2.16.840.1.113733.1.6
OID description:
-- VeriSign defined certificate extension sub tree -- (2.16.840.1.113733.1.6) --
id-extensions OBJECT IDENTIFIER ::= {id-pki extensions(6)}
URL for further info: http://www.verisign.com/repository/CPS/CPSCH2.HTM
Liste de rvocation associe ce certificat via l'extension cRLDistributionPoints

$ date
lun mar 31 13:43:41 CEST 2003
$ openssl crl -inform DER -in LatestCRL -text -noout | \
grep "Serial Number" | wc -l
103405

-3-
Architecture PKI
Plan
Introduction
Architecture et composantes
Analogie : carte d'identit nationale
Entits et rles respectifs
Gestion/Cycle de vie des certificats
Demande de certificat
Signature de demande de certificat
Publication de certificat
Rvocation de certificat
Politique et nonc des pratiques de certification
Dmonstrations

Introduction
Architecture et
composantes
Analogie : Carte d'identit Nationale
Procdure
Retrait d'un formulaire type
http://www.interieur.gouv.fr/cerfa/formulaires/20-3252.pdf
Dpt du formulaire accompagn de pices justificatives ( la mairie)
Acte de naissance, justificatif de domicile, photos d'identit, empreintes digitales etc.

Validation (Formulaire + Pices) par un service metteur

Mairie, commissariat de Police par exemple

Demande transmise la prfecture/sous-prfecture, pour dlivrance de la carte

Mise disposition de la carte d'identit
Mairie

Commissariat de Police

Prfecture/sous-prfecture


Authentification et autorisation (1/4)
Par analogie avec la carte nationale d'identit, le certificat X509v3
offre uniquement un service d'authentification
Ne pas confondre authentification et autorisation !
Authentification : n.f. Action d'authentifier

Authentifier : v.tr. Certifier authentifique, conforme, certain
Autorisation : n.f. Action d'autoriser

Autoriser : v.tr. Accorder quelqu'un la permission de (faire quelquechose)
Le certificat X509v3 certifie le lien entre DN et clef publique

Seul un service d'authentification est rendu

Au sein d'une mme communaut d'intrt, considrant l'autorit de certification racine

comme une autorit de confiance

Authentification et autorisation dans Apache/mod_ssl
Service d'authentification assur via les directives suivantes :
SSLCACertificateFile/SSLCACertificatePath File|Path

Fichier ou chemin pointant vers les fichiers, au format PEM, contenant les certificats des
autorits considres comme tant dignes de confiance par le serveur.
Les clefs publiques de ces certificats servent la validation, au sens cryptographique

(vrification d'une signature) de l'ventuel certificat prsent par un client lors de la

phase handshake des protocoles SSLv3 et TLSv1.
la vrification, au sens cryptographique, d'une signature s'ajoute la composante

fondamentale qu'est la confiance

SSLVerifyClient none|require|optional|optional_no_ca

Directive spcifiant le caractre obligatoire de la prsentation d'un certificat client.

Des variables d'environnement sont initialises suite la prsentation d'un certificat
client.
Dpendantes de l'implmentation SSL/TLS employe : mod_ssl, apache-ssl ?
Permettent l'accs, en lecture, aux paramtres du certificat par une application

Service d'autorisation assur via la directive SSLRequire
SSLRequire Expression

Accorde ou refuse l'accs un rpertoire sur la base de l'valuation de l'expression

boolenne Expression, exprime en fonction des variables d'environnement drives
du certificat client prsent
Exemple d'utilisation ( extrait de la documentation de rfrence de mod_ssl) :
SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \

and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \
or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
Ncessite une authentification pralable du client

Incompatible avec l'utilisation de la directive optional_no_ca !

En pratique :
1. Authentifier les utilisateurs sur la base des certificats des autorits publiques
et/ou prives , mais toujours considres comme dignes de confiance
Exemple : base de certificats de Windows 2000

http://www.hsc.fr/~davy/certs/trustees.pem
2. Autoriser les utilisateurs sur la base des variables d'environnement drives du
certificat client
Exemple d'utilisation : architecture de type SSO
Session SSLv3/TLS
Authentification mutuelle
par certificat X509v3 Propagation du DN auprs des applications
Ex. Rcriture de la QUERY_STRING par
mod_rewrite

PKI : entits et rles respectifs (1/2)
Internet X509 PKI : Certificates Management Protocols (RFC2510)
+---+
| C | +------------+
| e | <-------------------->| End entity |
| r | Operational +------------+
| t | transactions ^
| | and management | Management
| / | transactions | transactions
| | | PKI users
| C | v
| R | -------------------+--+-----------+----------------
| L | ^ ^
| | | | PKI management
| | v | entities
| R | +------+ |
| e | <---------------------| RA | <---+ |
| p | Publish certificate +------+ | |
| o | | |
| s | | |
| I | v v
| t | +------------+
| o | <------------------------------| CA |
| r | Publish certificate +------------+
| y | Publish CRL ^
| | |
+---+ Management |
Transaction
v
+------+
| CA |
+------+
PKI : entits et rles respectifs (2/2)
Autorit de certification prive
Gestion de la PKI et des clefs de l'autorit de certification racine

Autorit de certification publique

Dlivrance de certificat X.509v3 aux utilisateurs finaux

Infogrance de PKI ( Verisign, GTE Cyber Trust, Certplus, Chambersign etc.)

Modle hybride
Ct client : Autorit Locale d'Enregistrement

Contrle du contenu des informations certifies

Gnration des bi-clefs

Enregistrement des demandes

Authentification des entits terminales

Ct prestataire de services : autorit de certification

Fabrication des certificats

Signature des demandes de certificat

Publication et archivage des certificats

Gestion des listes de rvocation ?

Fourniture de services (horadatage etc.)


Cycle de vie
des certificats X.509
Demande de certificat (1/6)
Gnration du bi-clef
Dcentralise

Gnration du bi-clef l'enregistrement sur le poste client

Support : carte puce, disque dur, dongle USB, carte pcmcia etc.
Demande de certificat pouvant tre mise par un client lger (Cf. Netscape)
Suivant le niveau de scurit associ la classe du certificat :
Adresse lectronique valide suffisante
Prsence physique requise
Centralise

D-corrlation des phases d'enregistrement et de gnration du bi-clef

Bi-clef gnr dans un site scuris , puis dlivrance du certificat (sur carte puce, par
exemple) l'utilisateur
Recouvrement des clefs

Exigences de scurit diffrentes

Problme de la non-rpudiation pour la clef prive de signature
CA Publiques : sauvegarde des certificats X.509 seuls
CA Prives : sauvegarde du certificat de signature et du bi-clef de chiffrement

Gnration d'une demande de certificat
Demande de certificat au format PKCS#10

Certificate Request Syntax Standard

http://www.rsasecurity.com/rsalabs/pkcs/pkcs-10/
Utilisation de l'utilitaire req(1ssl)
$ openssl req -new -config ./openssl.cnf -newkey rsa:1024 -nodes \
-keyout private_key.pem -out req.csr
Exemple de formulaire de demande de certificat

You are about to be asked to enter information that will be incorporated

into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Pays [FR]:
Departement [Ile-de-France]:
Localite (e.g. Ville) [Levallois-Perret]:
Organisation [Herve Schauer Consultants]:
Nom ou URL []:Franck Davy
Adresse Email []:Franck.Davy@hsc.fr
Challenge []:secret

Format de la demande de certificat
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=FR, ST=Ile-de-France, L=Levallois-Perret,
DAVY/Email=Franck.Davy@hsc.fr
O=Herve Schauer Consultants, CN=Franck DAVY/Email=F
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: md5WithRSAEncryption [...]
Champ Data

Ensemble des donnes administratives entres via un formulaire

Clef publique RSA gnre (au format PKCS#1 !)
Champ Signature

Structure ASN.1 'Data:' (encode suivant la syntaxe de transfert DER) signe

Signature avec la clef prive correspondant la clef publique (champ 'RSA Public
Key' figurant dans le certificat (la clef prive n'est pas divulgue l'autorit signataire !)
Demande de certificat :
carte puce (4/6)
Utilisation d'openssl-engine
Carte PCMCIA

Carte Chrysalis-ITS Luna2 PC Card

Procdure dcrite :

Using a Cryptographic Hardware Token with Linux

http://www.linuxjournal.com/article.php?sid=4744
Initialisation

$ openssl req -engine luna2 -keyform engine -text -key DSA-public:1:1234 \

-out request.csr
-engine : spcifie le token
-key : Nom de la cl : Slot de la carte PCMCIA : Code PIN
Aprs rception du certificat certificate.pem

$ openssl smime -sign -engine luna2 -in email.txt -out signed.email.txt \

-signer certficate.pem -keyform engine -inkey DSA-Public:1:1234

client lger (5/6)
Client lger : Netscape Navigator (version > 3.0)
Utilisation d'une extension pour la gnration de clef

http://wp.netscape.com/eng/security/ca-interface.html
Tag HTML 'KEYGEN'
<KEYGEN NAME="name" CHALLENGE="challenge string">
Une clef RSA de 512 (export), 768 ou 1024 bits est gnre
La clef prive RSA est conserve dans la base de donne locale des certificats
La clef publique et le challenge sont signs par la clef prive
Protection contre le rejeu (les donnes soumises ne sont pas signes !)
Encodage DER de la structure PublicKeyAndChallenge
PublicKeyAndChallenge ::= SEQUENCE {

spki SubjectPublicKeyInfo,
challenge IA5STRING
}
SignedPublicKeyAndChallenge ::= SEQUENCE {
publicKeyAndChallenge PublicKeyAndChallenge,
signatureAlgorithm AlgorithmIdentifier,
signature BIT STRING
}

client lger (6/6)
Donnes soumises par formulaire
commonname=John+Doe&
commonname=John+Doe&email
email=doe@foo.com&
=doe@foo.com&org
org=Foobar+Computing+Corp.&
=Foobar+Computing+Corp.&orgunit
orgunit=Bu
=Bu
reau+of+Bureaucracy&locality
reau+of+Bureaucracy&locality=Anytown&
=Anytown&state
state=California&
=California&country
country=US&
=US&key
key=MIHFMH
=MIHFMH
EwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAnX0TILJrOMUue%2BPtwBRE6XfV%0AWtKQbsshxk5Z
hcUwcwyvcnIq9b82QhJdoACdD34rqfCAIND46fXKQUnb0mvKzQID%0AAQABFhFNb3ppbGxhSXNN
eUZyaWVuZDANBgkqhkiG9w0BAQQFAANBAAKv2Eex2n%2FS%0Ar%2F7iJNroWlSzSMtTiQTEB%2B
ADWHGj9u1xrUrOilq%2Fo2cuQxIfZcNZkYAkWP4DubqW%0Ai0%2F%2FrgBvmco%3D
Champ key encod en base 64, au format SPKAC

Acronyme Netscape de Signed Public Key and Challenge
Donne manipulable par l'outil spkac(1ssl)
$ openssl spkac -key private.key -challenge 'secret' -out spki.cnf
$ openssl spkac -in spki.cnf
Netscape SPKI:
Modulus (512 bit):
00:df:bd:db:40:b1:cb:28:17:42:c9:57:15:63:f8:
00:df:bd:db:40:b1:cb:28:17:42:c9:57:15:63:f8:
[...]
Exponent: 65537 (0x10001)
Challenge String: secret
MdwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAN+920CxyygXQslXFWP4JM4B4AqTNmH9
[...]

Signature de demande de certificat
Signature de la demande de certificat par l'autorit de certification
Signature du champ 'data' de la demande de certificat au format PKCS#10,
ventuellement modifi (conformit la politique de certification) et augment
d'extensions v3
Remarques
Version 0 pour la demande de certificat
Possibilit d'inclure des extensions dans la demande de certificat
En pratique, avec ca(1ssl)
openssl.cnf : fichier de configuration openssl
Chargement des extensions incorporer au certificat final
keyUsage, cRLDistributionPoints, etc.
$ openssl ca -config ./openssl.cnf -extensions SMIME -in smime.csr \
-out smime.pem
Cas d'une autorit racine : certificat auto-sign

$ openssl req -new -x509 -config ./openssl.cnf -extensions CA -sha1 \
-newkey rsa:1024 -nodes -days 3650 -keyout ca/ca.key -out ca/ca.pem

Publication de certificat (1/4)
lments publis
Certificats des autorits de certification/rvocation
Certificats des entits terminales
Listes de rvocation (CRL)
Publication via LDAP
Schma core
objectClass certificationAuthority (2.5.6.16)
Attributs
authorityRevocationList
cACertificate
certificateRevocationList
Schma inetOrgPerson
objectClass inetOrgPerson (2.16.840.1.113730.3.2.2)
Attribut userCertificate
Liste des OID rfrencs : Objects Identifiers Registry
http://www.alvestrand.no/objectid/
Tlchargement des CRL via le protocole LDAP
Extension X509v3 :

URI:h
DNS:ldap.certinomis.com
DirName:/C=FR/O=CertiNomis/OU=AC Racine - Root CA/CN=CertiNomis
Recherche par ldapsearch(1) sur ldap.certinomis.com

# CertiNomis Classe 2+, CertiNomis ,FR
dn: cn=CertiNomis Classe 2+, o=CertiNomis ,c=FR
certificaterevocationlist;binary:: MIIBJjCBkgIBATANBgkqhkiG9w0BAQUFADBBMQswCQY
[..]
tsyl7hmtQH/0z2HhJV63yek1hLjuJ4s//53cwNzFyM+607g==
certificaterevocationlist;base64:: TulJQkpqQ0JrZ0lCQVRBTkJna3Foa2lHOXcwQkFRVUZ
[...]
zFoTGp1SjRzLy8KNTNjd056RnlNKzYwN2c9PQo=
objectclass: top
objectclass: crlDistributionPoint
cn: CertiNomis Classe 2+
Certificat DER encod en base 64 (# Format PEM)

Publication via le protocole HTTP
Types MIME (RFC2585)
.cer application/pkix-cert
.crl application/pkix-crl
Autres...
...spcifiques aux applications
.cer application/x-x509-ca-cert
.crl application/pkcs-crl
.crt application/pkix-cert
.crt application/x-x509-ca-cert
.crt application/x-x509-user-cert
etc.
Points de publication
CRL (Protocole HTTP gnralement, mthode GET classiquement)
Extension cRLDistributionPoints
URI:http://bar/crl/foobar.crl
OCSP (Protocole HTTP, mthode POST)
Extension Authority Information Access
OCSP URI:http://foobar/
Dmonstrations
Messagerie scurise avec S/MIME, avec des certificats clients publis dans un
annuaire LDAP

Rvocation de certificat (1/9)
Il appartient l'utilisateur d'un certificat de vrifier qu'un
certificat qu'il se destine utiliser n'a pas t rvoqu
FAQ du DCSSI
http://www.ssi.gouv.fr/fr/faq/faq_igc.html
Rvocation = suspension d'un certificat avant sa date de fin de validit

Raisons pouvant conduire la rvocation d'un certificat
Changement de statut d'une entit
Arrt d'activit d'une autorit
Procdure d'mission du certificat non rglementaire
Perte de la clef prive
Compromission de la clef prive
Demande de rvocation l'initiative de
Autorit signataire
Dtenteur du certificat
Preuve de possession (par partage de secret)
Tierce partie autorise
Implication judiciaire par exemple

Mise en oeuvre de mcanismes permettant un utilisateur de s'assurer de la
non-rvocation d'un certificat
Principaux mcanismes de rvocation

(Partiellement) mis en oeuvre dans les navigateurs grand-public

Mcanisme de Listes de Rvocation

CRL ( Certificate Revocation List )

Protocole OCSP ( Online Certificat Status Protocol )

Mcanisme de CRL
Publication d'une liste priodiquement mise jour des certificats rvoqus

Certificats identifis par

Leur autorit signataire

Leur numro de srie, unique pour une autorit signataire donne

Liste signe par l'autorit signataire

Ou une autorit dlgue

Prsence de l'extension v3 cRLSign dans le certificat de l'autorit mettant la CRL :

X509v3 Key Usage: CRL Sign

Exemple de liste de rvocation :
$ openssl crl -in crl.pem -text -noout -CApath /etc/ssl/trusted
verify OK
Version 1 (0x0)
Issuer: /C=FR/L=Levallois-Perret/O=Herve Schauer Consultants
ROOT/Email=Franck.Davy@hsc.fr
/CN=CA ROOT/Email=F
Last Update: Aug 27 21:34:33 2001 GMT
Next Update: Sep 26 21:34:33 2001 GMT
Revoked Certificates:
Serial Number: 03
Revocation Date: Aug 17 21:33:46 2001 GMT
Serial Number: 06
Serial Number: 07
56:1a:c1:b6:d9:2d:03:8f:4a:aa:dc:1a:46:74:2d:f6:42:ed:
[...]
a1:c0:42:e6

Disponibilit des CRL
Ncessit d'indiquer, sur un certificat X.509 destin tre utilis, l'URL de la liste de
rvocation relative au certificat
Ajout d'une extension X509v3 au certificat : cRLDistributionPoints (CRLDP)
Association au certificat de la liste de rvocation dont il dpend
Client qui n'a pas connatre, au pralable, l'intgralit des adresses o tlcharger
les CRL relatives une autorit signataire pour une famille de certificats donne
Permet une stratgie de partitionnement des CRL
Limitation du nombre de certificats mis portant des CRLDP identiques
Lutte contre la taille croissante des listes de rvocation mises
X509v3 extensions:
DirName:/CN=OCSP 1-4
URI:http://crl.verisign.com/RSASecureServer-p.crl
Protocoles de distribution utiliss

HTTP
LDAP
Mais quel annuaire se connecter ?

En pratique :
Connexion au site www.certplus.com
Certificat prsent comportant les extensions X509.v3 suivantes :
X509v3 extensions:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Key Encipherment
URI:http://crl.verisign.com/RSASecureServer.crl
Policy: 2.16.840.1.113733.1.7.1.1
User Notice:
Number: 1
Explicit Text: VeriSign's CPS incorp. by reference liab. ltd. (c)97 VeriSign
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Authority Information Access:
OCSP - URI:http://ocsp.verisign.com

Tlchargement de la CRL par Internet Explorer
Tlchargement automatique si prsence de l'extension cRLDistributionPoints
Option (avance) non active par dfaut
Vrifier la rvocation des certificats
Connexion sur le site http://www.certplus.com
Sortie de TDIMon
http://www.sysinternals.com
28 0.60371751 IEXPLORE.EXE:964 TDI_SEND TCP:0.0.0.0:1183 195.101.88.66:443

42 0.97214981 IEXPLORE.EXE:964 IRP_MJ_CREATE TCP:Connection obj SUCCESS Context:0x80118948
43 0.97217551 IEXPLORE.EXE:964 TDI_ASSOCIATE_ADDRESS TCP:Connection obj SUCCESS TCP:0.0.0.0:1184
44 0.97220513 IEXPLORE.EXE:964 TDI_CONNECT TCP:0.0.0.0:1184 216.168.253.32:80
195.101.88.66 : www.certplus.com
216.168.253.32 : crl.verisign.net

Sortie de FILEMon
http://www.systinternals.com
1731 20:22:08 IEXPLORE.EXE:964 IRP_MJ_CREATE

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\
Content.IE5\XH7R96CX\RSASecureServer[1].crl
SUCCESS Attributes: N Options: Create
1732 20:22:08 IEXPLORE.EXE:964 IRP_MJ_WRITE
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\
Content.IE5\XH7R96CX\RSASecureServer[1].crl
SUCCESS Offset: 0 Length: 685
[...]
2535 20:22:23 IEXPLORE.EXE:964 IRP_MJ_CREATE C:\Documents and Settings\Administrateur\
Local Settings\Temporary Internet Files\Content.IE5\4XKXAXPM\certplus[1].htm
SUCCESS Attributes: N Options: Create
Tlchargement prliminaire du fichier RSASecureServer.crl

Tlchargement de la page certplus.htm
Latence importante de la taille de la CRL
797ko
Fonctionnalit similaire dans Mozilla et Netscape 6
Avec la possibilit d'effectuer un tlchargement priodique des CRL, et non simplement
ponctuel, la consultation d'un site
Protocole OCSP
Mis en oeuvre dans Mozilla
Exemple avec l'application cliente ocsp(1) d'OpenSSL
$ openssl ocsp -url http://ocsp.verisign.com -issuer ./trust/ca.pem \

-CAfile ./trust/ca.pem -cert ./certplus.pem -text
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 0E9290B27AA8BAF65D3C9229AFE8F31DB953B2DA
Issuer Key Hash: 034FA3A36BCBEC6D0760176CEC9ABF67C542F26A
Serial Number: 47C1C31DC6D28C5C2000373C7F5D90C1
Request Extensions:
OCSP Nonce:
705BFEE68E6F0B631DDF3C57AEDC4AD8

Rponse du serveur
OCSP Response Data:

OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: O = "VeriSign, Inc.", OU = VeriSign Trust Network,
OU = Terms of use at https://www.verisign.com/RPA (c)00,
CN = Secure Server OCSP Responder
Produced At: Jun 16 13:29:56 2002 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 0E9290B27AA8BAF65D3C9229AFE8F31DB953B2DA
Issuer Key Hash: 034FA3A36BCBEC6D0760176CEC9ABF67C542F26A
Serial Number: 47C1C31DC6D28C5C2000373C7F5D90C1
Cert Status: good
This Update: Jun 16 13:29:56 2002 GMT
Response Extensions:
OCSP Nonce:
705BFEE68E6F0B631DDF3C57AEDC4AD8

Politique et nonc des pratiques de
certifications (1/4)
Terminologie
Politique de certification Certificate Policies
Ce document dcrit l'ensemble des rgles qui dfinissent le type d'application
auxquelles un certificat est adapt. Un certificat de cl publique contient
l'identifiant de la politique de certification avec laquelle il a t mis, et selon
laquelle il est destin tre utilis.
FAQ du DCSSI sur les infrastructures gestion de cls

Politique d'mission des certificats, qui prcise dans quel cadre le certificat peut tre
utilis
Vrification est la charge de l'utilisateur


Terminologie
nonc des pratiques de certification Certificate Pratice Statement
Ce document nonce les pratiques utilises par l'IGC dans la gestion des certificats,
pratiques qui dpendent de la politique de certification mise en oeuvre. Une IGC doit
publier cette dclaration afin de dcrire les modalits de fonctionnement des services
qu'elle rend
FAQ du DCSSI sur les infrastructures gestion de cls

nonc des pratiques employes par l'autorit de certification pour mettre un

certificat

Profil PKIX
Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC2527)
Description d'un ensemble de spcifications en terme de :

Responsabilits lgales, juridiques et financires
Fonctionnalits
Administration
PC2
Procdures et politiques de certification de cls
www.ssi.gouv.fr/fr/documents/pc2.pdf

En pratique :
Extension v3 Certificate policies
Issuer: O=VeriSign, OU=VeriSign Class 2 OnSite Individual CA
Policy: 2.16.840.1.113733.1.7.1.1
User Notice:
Number: 1
Explicit Text: VeriSign's CPS incorp. by
reference liab. ltd. (c)97 VeriSign
Autre...
Issuer: O=VeriSign Trust Network,

OU=VeriSign, Inc.,
OU=VeriSign International Server CA - Class 3,
OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign

Dmonstrations

Questions ?

Remerciements.
Herv Schauer, Ghislaine Labouret et l'ensemble des consultants
du cabinet HSC, pour leurs conseils et leur relecture
Ahmed Serhrouchni, pour son encadrement et ses enseignements
l'ENST

Fonct Pki PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Fonct Pki PDF

Uploaded by

Copyright:

Available Formats

HERV SCHAUER CONSULTANTS

Cabinet de Consultants en Scurit Informatique depuis 1989

clef publique Bote outils

-3- Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Chiffrement et signature troitement lis (chiffrement d'un condenst)

Algorithmes asymtriques, clef publique

-6- Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Utilisation pour le chiffrement de donnes

2.Nombre de clefs changes (en n)

-8- Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

-9- Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Algorithmes de chiffrement par blocs (Block Cipher)

- 10 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Peut galement assurer un service d'authentification

L'utilisateur n'est pas le seul pouvoir produire la signature !

Cybercomm (systme d'authentification dynamique)

Clef secrte dpendante du porteur (carte puce)

Chiffrement (DES 56 bits) des paramtres suivants :

Date (contre le rejeu)

Authentification au niveau des DAB

par la piste magntique

- 11 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Systmes clef publique

...sous certaines conditions

Chiffrement d'un message l'aide de la clef publique e

Pas de communication pralable entre les tiers communiquants

- 13 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Chiffrement par l'metteur avec Dchiffrement par le destinataire

Chiffrement par l'metteur Dchiffrement par les destinataires

- 14 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

- 15 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

L'entier d reprsente la clef prive

- 16 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Service de non rpudiation

Scurit calculatoire : repose sur la difficult de factoriser n

- 17 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

DES, 3DES ou IDEA (en mode CBC) par exemple

Format PEM Privacy Enhanced-Mail (RFC1421-1424)

- 18 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

-----BEGIN PRIVACY-ENHANCED MESSAGE-----

Identifiant de version de la RFC (4), ENCRYPTED (service de scurit mis en oeuvre)

Identifiant d'algorithme (DES-CBC), vecteur d'initialisation (F8143EDE5960C597)

- 19 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

Clef publique RSA ( 11.1.1 Public-key syntax )

- 20 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

$ openssl genrsa -3 512 | tee rsa.PEM

Clef prive RSA au format PEM (sans chiffrement)

- 21 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

- 22 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

- 23 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

$ openssl genrsa -3 -DES 512

Chiffrement de la clef RSA (au format DER) en DES (mode CBC)

mot de passe fourni par l'utilisateur

- 24 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

-----BEGIN PUBLIC KEY-----

Faible volume de donnes

Mode opratoire par blocs ?

Protocole TLSv1 : travail sur un et un seul bloc (chunk)

PreMasterSecret de 48 octets + bourrage PKCS#1 de 11 octets

Taille de clef publique d'un certificat X.509 de 472 bits au minimum

Transport (RSA) ou change (DH) de clef

- 27 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite

- 28 - Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite