Cryptographie

symétriques : - chiffrement de messages -Utilisation de « clé à session »

– – – – – – – – – –

A B A A A B A A B K

et B choisissent un cryptosystème asymétrique Ca envoie sa clef publique PublicB à A génère une clef de session aléatoire K chiffre K avec PublicB envoie K chiffrée à B déchiffre K avec sa clef privée PrivateB et B choisissent un cryptosystème symétrique Cs envoie à B son message chiffré avec K et Cs déchiffre le message est « oubliée » à la fin de la session

Fonction de hachage Fonction à sens unique, authentification, intégrité, non désaveu, Ex : MD5, SHA-1,... Signature numérique Unique(caractértisque probabiliste), Infalsifiable, Ne peut être limitée, Non réuElisable. Une signature présente sur un document ne pourra pas être déplacée (par une personne mal intenEonnée) pour signer un autre document Intègre, La signature garantie que le contenu du document n’a pas subi de modifications au cours de la transmission, Non désavouée A l'aide d’un certificat (A envoie un message à B) C est une personne en qui A et B ont tte confiance (un certificat) clef secrete Ka partagé par A et C clef secrete Kb partagé par B et C A chiffre M avec Ka et l’envoie à C C déchiffre avec Ka indique que cela vient de A, chiffre avec Kb et envoie à B (C mémorise M) B déchiffre avec Kb Grâce à C … Inviolabilité, non désaveu, non réutilisation Coûteux en temps, non intègre et qu’est ce peut être C? A l’aide d’un cryptosystème asymétrique … A chiffre le document avec Private A envoie le chiffre à B B déchiffre le document avec PublicA inviolabilité, non réutilisation, non désaveu vérifiés par les propriétés intrinsèques du couple PrivateA/ PublicA (probleme:Absence de datation de la signature et pas de chiffrement de message) Ex: Réutilisation des chèques numériques , Cet exemple peut être soumis à des problèmes d'intégrité. => Signature et chiffrement à l'aide d'un cryptosystème asymétrique : A chiffre (signe) le document avec PrivateA A chiffre le document signé avec PublicB et envoie le tout à B B déchiffre le document signé avec PrivateB B « dé-‐signe » le document avec PublicA =>Avec accusé de réception... (Intégrité) B chiffre (signe) avec PrivateB(M), chiffre avec PublicA(PrivateB(M)) et envoie le tout à A déchiffre et dé-‐signe avec PrivateA(PublicB(M))

A

A vérifie que M reçu est

identique au M envoyé

A calcule sa clef secrète KA = Public RA mod p KA=KB [ (bRA)RB mod p = (bRB)RA mod p ] Condition sur la base b Il faut maximiser au mieux le nombre possible de multiples de b modulo p Sécurité : La clef secrète ne circule jamais, Le seul moyen: générer à partir des données circulants Un espion connaît tout de [PublicA = bRA mod p] excepté RA Trouver RA c’est possible ... VPN Réseaux permettant d’interconnecter des entités distantes Tout élément externe au réseau d’interconnexion doit être tenu à l’écart de tous les échanges effectués entre les différentes entités du réseau, Ils s’appuient sur des architectures de réseaux partagées mais pas sur des connexions physiques dédiées (i.e. les informations transitent sur des réseaux « public » non sécurisés, typiquement Internet) IPSec

Certificats numériques Texte clair: Un message et une clef publique, Une signature: Un hash du texte clair chiffré A a besoin de PublicB, Il demande a une « autorité » un cerEficat de PublicB A authentifie le certificat, l’échange peut commencer PKI « Public Key Infrastructure » –  X.509 •  Standard promus par l ’IETF « Internet Engineering Task Force » (groupe de travail PKIX) –  PGP •  Vision plus propriétaire basée sur une relaEon de « confiance mutuelle » CA « Certifying Authority»: La CA délivre des cerEficats numériques à qui le demande. Pour cela: AuthenEficaEon du candidat:CA s’assure que le candidat possède bien la clef privée correspondante Le certificat est délivré DES (Chiffrement à clé secrete) Chiffrement par bloc(64bits), permutation et substition par bloc(2*32bits) clef : 56 bits (pour le DES standard) et 8 bits de parité Surchiffrement 3-DES à 112 bits (théoriquement incassable) AES (Chiffrement à clé secrete) : Nouveau standard succede à DES Implémente l’algorithme« Rinjdael »Utilise des clefs de 128, 192 ou 256 bits Taille des blocs codés : 128 bits, Similaire à DES dans les techniques et principes, AES plus rapide et moins coûteux que DES. IDEA, blowfish (plus rapide que DES et IDEA) 32 à 448 bits intégré à SSH-2, RC5/RC6 trois fois plus rapide que DES RAS Chiffrement à clef publique (1er cryptosysteme asymétrique) Avantages : Robuste à la cryptanalyse (sous conditions), Multi-‐usage, chiffrement et signature numérique. Inconvénients : Lent: 1000 fois plus que DES, Taille des clefs:1024 bits (préconisaEon: 2048), ImplémentaEon délicate, Générateur aléatoire, Choix des exposants, Choix des premiers. Diffie hellman: Pas de chiffrement pas de signature, Accord sur les clefs (échange sécurisé) Destiné aux cryptosystèmes hybrides pour l’échange de la clef de session Objectif : Transmettre, grâce à des clefs publiques, des informations publiques permettant aux deux partis de générer la même clef secrète Fondements : identiques à RSA (arithmétique modulaire) principe : A génère un nombre premier p, une base b et un exposant aléatoire RA (privé) A calcule PublicA = bRA mod p PublicA, b et p sont publiques B choisit un exposant aléatoire RB (privé) B calcule PublicB = bRB mod p PublicB est publique B calcule sa clef secrète KB = Public RB mod p

Niveau IP : Protection unique pour toutes les applications, Mis en œuvre sur tous les équipements utilisant le réseau, Protège de bout en bout, Protège en lien par lien Les services de sécurité