Introduction au chiffrement symétrique et asymétrique
V - Exercice : Appliquer la notion Découvrir le chiffrement asymétrique ;. Connaître des technologies utilisant un chiffrement asymétrique.
Cours de Cryptographie
En pratique on utilise d'abord un chiffrement asymétrique pour échanger la clé secrète et ensuite un chiffrement symétrique pour l'échange des données.
On distingue les chiffrements symétrique et asymétrique. Si la clé de
Un système de chiffrement (ou cryptosystème ou encore chiffre) est composé d'algorithmes de chiffrement et déchiffrement et d'une clé de chiffrement. Un
Primitives cryptographiques: Chiffrement Signature électronique et
Chiffrement symétrique. • Chiffrement asymétrique. Cryptosystème Algorithme de vérification V(pkm
GUIDE DE SÉLECTION DALGORITHMES CRYPTOGRAPHIQUES
8 mar. 2021 6 Constructions cryptographiques asymétriques ... Par exemple dans un mécanisme symétrique de chiffrement
Les problèmes de sécurité sur Internet Moyens cryptographiques
À clé privée ou à clé symétrique À clé publique
Référentiel Général de Sécurité version 2.0 Annexe B1
précisions concernant les mécanismes symétriques (sec- 2.2.2 Chiffrement asymétrique . ... B.1.1 Records de calculs en cryptographie symétrique .
Chapitre II Principe de base de la cryptographie
On parle alors de chiffrement symétrique ou de chiffrement à clé secrète. • Les clés asymétriques: il s'agit de clés utilisées dans le cas du chiffrement
Chiffrement et authentification
Chiffrement asymétrique pour s'échanger une clef symétrique temporaire. ? Puis chiffrement symétrique pour (dé)chiffrer les messages
sécurité informatique 1. Quelle est la différence entre un virus un
Citez trois algorithmes de chiffrement symétriques ? quelle est l'algorithme le Expliquez la différence entre : Le cryptage symétrique et asymétrique.
Différence entre le cryptage symétrique et asymétrique
23 juil 2018 · Table de comparaison ; Performance Le cryptage symétrique est rapide en exécution Le cryptage asymétrique est lent à l'exécution en raison de
[PDF] Cours de Cryptographie - Irif
Le chiffrement symétrique est beaucoup plus rapide que le chiffrement asymétrique mais a l'inconvénient de nécessiter le partage
[PDF] Introduction au chiffrement symétrique et asymétrique - Librecours
15 mai 2020 · Le chiffrement RSA est l'un des algorithmes les plus connus lorsque l'on parle de chiffrement asymétrique Il est utilisé dans de nombreux
Notions de cryptologie et algorithme de chiffrement - Synetis
28 jan 2015 · Le chiffrement symétrique (Méthode la plus ancienne) Asymétrique par le fait d'utiliser une clé pour chiffrer (clé publique) et une
[PDF] La Cryptographie Asymétrique et les Preuves de Sécurité - DI ENS
La cryptographie asymétrique et les preuves de sécurité- 18 David Pointcheval Chiffrement symétrique k k C D m c m Algorithme de chiffrement C
[PDF] Introduction
Clé de session: clé générée aléatoirement compromis entre le chiffrement symétrique et asymétrique Protocole d'échange de clés: ex RSA Page 23 23
Symétrique et asymétrique : pourquoi deux types de chiffrement
La sécurisation des connexions de bout en bout SSL/TLS (échange de clés et chiffrement des données) par l'emploi conjoint du chiffrement asymétrique (ex : RSA
[PDF] Cryptographie Symetrique Asymetriquepdf - Zenk - Security
Chiffrement symétrique 2 Chiffrement asymétrique 3 Fonctions de hashage 4 Signature de messages 5 uthentification de messages 6 Echange de clés
[PDF] Chapitre II Principe de base de la cryptographie
On parle alors de chiffrement symétrique ou de chiffrement à clé secrète • Les clés asymétriques: il s'agit de clés utilisées dans le cas du chiffrement
Quelle différence entre chiffrement à clé symétrique et chiffrement à clé asymétrique ?
Symétrique par le fait d'utiliser une clé identique avec le même algorithme de chiffrement pour le chiffrement et le déchiffrement. Asymétrique par le fait d'utiliser une clé pour chiffrer (clé publique) et une autre clé pour déchiffrer (clé privée) avec le même algorithme de chiffrement.28 jan. 2015Pourquoi le chiffrement symétrique Est-il plus rapide que le chiffrement asymétrique ?
Le cryptage symétrique utilise une seule clé pour le cryptage et le déchiffrement. Le cryptage asymétrique utilise une clé différente pour le cryptage et le décryptage. Le cryptage symétrique est rapide en exécution. Le cryptage asymétrique est lent à l'exécution en raison de la charge de calcul élevée.23 juil. 2018Quel est le chiffrement symétrique ?
Le chiffrement symétrique permet de chiffrer et de déchiffrer un contenu avec la même clé, appelée alors la « clé secrète ». Le chiffrement symétrique est particulièrement rapide mais nécessite que l'émetteur et le destinataire se mettent d'accord sur une clé secrète commune ou se la transmettent par un autre canal.- Le chiffrement RSA est considéré comme l'une des procédures de clé publique les plus sûres et les mieux décrites.
![Chiffrement et authentification Chiffrement et authentification](https://pdfprof.com/Listes/17/52540-17Chiffrement_Authentification.pdf.pdf.jpg)
Elements de cryptographie
Connexion securiseeSSL
Les certicatsX509
Les utilitairesSSH
Les reseaux prives virtuelsFabriceHarrouet
Ecole Nationale d'Ingenieurs de Brest
harrouet@enib.fr http://www.enib.fr/~harrouet/ %ASR : Cipher/auth enib, F.H ... 2/55Propos.Limiter les risques lies a la communicationCondentialite : donnees lisibles par quiconque ?
Utiliser des algorithmes de chirement
Integrite : donnees modiees pendant le transport ?Utiliser des algorithmes de hachage (condense)
Authentication : dialogue avec l'entite attendue ? Obtenir un document ociel identiant l'interlocuteurNon-repudiation : producteur d'un document ?
La signature d'un document atteste de son origine
.Mise en uvre deSSLpresentee dans le moduleRXSeuls les principes sont vus ici, pas le code
%ASR : Cipher/auth enib, F.H ... 3/55Elements de cryptographie.Vocabulaire
Chirer:transformer a l'aide d'une clef de chirement un message en clair en un message incomprehensible sans la clef de dechirement Dechirer:retrouver a l'aide de la clef de dechirement le message en clair a l'origine du message chireChire:algorithme utilise pour le chirement
Cryptogramme:message chire
Decrypter:retrouver le message en clair correspondant a un cryptogramme sans conna^tre la clef de dechirement (\casser"le code secret) Cryptographie:science de la protection des messages par des clefsCryptanalyse:science du decryptage
Cryptologie:cryptographie et cryptanalyseCrypter:incorrect, aucune signication ! %ASR : Cipher/auth enib, F.H ... 4/55 Elements de cryptographie.Symboles usuellement utilisesMessage en clair (plain-text) :P
Cryptogramme (cipher-text) :C
Clef de chirement (encryption-key) :ke
Clef de dechirement (decryption-key) :kd
Fonction de chirement (encrypt) :E(ke;P) =C
Fonction de dechirement (decryp) :D(kd;C) =P
L'ensemble doit respecter :D(kd;E(ke;P)) =P
Fonction de hachage/condensat (hash/message-digest) :Md(P) =H %ASR : Cipher/auth enib, F.H ... 5/55 Elements de cryptographie.Robustesse du procede de chirementReposant sur le secret des algorithmes utilises ?
Aucune idee de sa robustesse intrinseque (peu etudie) La decouverte fortuite de l'algorithme remet tout en causeSolution a eviter !
Reposant sur des algorithmes publies
De nombreux cryptanalistes peuvent en etudier la robustesse Determiner la probabilite de trouver la clef de (de)chirement !selon les prorietes de l'algorithme !selon la longueur de la clef !par recherche exhaustive (brute-force) !par correlation entre cryptogramme et texte clairSolutions eprouvees, a privilegier
%ASR : Cipher/auth enib, F.H ... 6/55 Elements de cryptographie.Exemple : le chire de CesarDecaler les lettres deNpositions dans l'alphabet
A chaque caractere on fait correspondre un autre
Clefs de chirement/dechirement :ke=kd=N
Fonction de chirement :E(ke;c) = (c+ke)%26
Fonction de dechirement :D(kd;c) = (ckd)%26
Facile adecrypter
Par une approche exhaustive (brute-force), faible combinatoire Par l'analyse des statistiques d'occurence de chaque caracteres ex :PETIT CURIEUX !rot13 !CRGVG PHEVRHK ! %ASR : Cipher/auth enib, F.H ... 7/55 Elements de cryptographie.Chirement symetrique ou\a clef secrete" Une clef unique sert au chirement au dechirement (ke=kd)Une cha^ne debitsde longueur choisie
Seuls les detenteurs de cette clefksecpeuvent se comprendre (D(ksec;E(ksec;P)) =P) Le rapport temps-de-(de)chirement/robustesse est satisfaisantPlus une clef est longue plus elle est robuste
Traitement rapide des messages m^eme avec une bonne robustesseEx :DES,Rijndael,Blowsh...
Probleme essentiel : comment transmettre la clef a un interlocuteur ?Une autre personne ne doit pas l'intercepter !
Si c'est le cas, elle peut espionner les echanges et y participer %ASR : Cipher/auth enib, F.H ... 8/55 Elements de cryptographie.Chirement asymetrique ou\a clef publique" Une paire de clefs complementaires est generee (ke6=kd) Une clefpublique(kpub) : elle doit ^etre largement publiee Une clefprivee(kpriv) : elle doit ^etre gardee tres secretement Ce qui est chire par l'une ne peut ^etre dechire que par l'autre (D(kpriv;E(kpub;P)) =PetD(kpub;E(kpriv;P)) =P)Une clef ne peut pas dechirer ce qu'elle a chire
(l'autre est necessaire pour cette operation) nb :kpubpeut se deduire dekprivmais pas l'inverse (heureusement !) Le rapport temps-de-(de)chirement/robustesse est peu satisfaisant Plus les clefs sont longues plus elles sont robustes Traitement lent des messages m^eme avec une faible robustesseEx :DSA,RSA,ElGamal...
%ASR : Cipher/auth enib, F.H ... 9/55 Elements de cryptographie.Exemple : generation de clefsRSAavec l'outilopensslGenerer uneclef priveeRSAde 1024 bits
$ openssl genrsa -outkey.pem1024 Generer laclef publiqueassociee a laclef priveeprecedente $ openssl rsa -inkey.pem-pubout -outpubkey.pem %ASR : Cipher/auth enib, F.H ... 10/55 Elements de cryptographie.Exemple : (de)chirement asymetrique avec l'outilopenssl -encrypt(-decrypt) chire (resp. dechire) avec la clef publique (resp. prive) -sign(-verify) chire (resp. dechire) avec la clef privee (resp. publique) nb :-pubin -inkey pubkey.pempeut ^etre remplace par-inkey key.pem (puisquepubkey.pemse deduit dekey.pem, mais pas l'inverse !!!) $ echo "C'EST CLAIR" | openssl rsautl -pubin -inkey pubkey.pem -encrypt > cryptogram $ cat cryptogram $ cat cryptogram | openssl rsautl -inkey key.pem -decryptC'EST CLAIR
$ cat cryptogram | openssl rsautl -inkey another_private_key.pem -decryptRSA operation error
$ cat cryptogram | openssl rsautl -pubin -inkey pubkey.pem -decryptA private key is needed for this operation
$ echo "C'EST CLAIR" | openssl rsautl -inkey key.pem -sign > cryptogram $ cat cryptogram $ cat cryptogram | openssl rsautl -pubin -inkey pubkey.pem -verifyC'EST CLAIR
%ASR : Cipher/auth enib, F.H ... 11/55 Elements de cryptographie.Chirement asymetrique ou\a clef publique"Exemple :Aliceenvoie un message condentiel aBob
Alicechire son message avec la clef publique deBob C=E(kpubB;P) (cette clef est librement accessible)Elle transmet le message chire aBob
(l'interception de ce message est inexploitable) Bobutilise sa propre clef privee pour dechirer le message recuD(kprivB;C) =P(c'est le seul a pouvoir le faire)
Pour repondre : demarche reciproque
Bobchire son message avec la clef publique d'AlicekpubA Aliceutilise sa clef priveekprivApour dechirer le message recu Interet du procede : pas besoin de transmettre une clef secrete Les oreilles indiscretes ne comprennent rien aux echanges %ASR : Cipher/auth enib, F.H ... 12/55 Elements de cryptographie.Performances des clefs symetriques et asymetriques Asymetrique beaucoup plus lent que symetrique (a robustesse equivalente)Facteur'100 entreRSAlogiciel etDESlogiciel
Facteur'1000 entreRSAlogiciel etDESmateriel
Longueurs de clefs pour une resistance equivalente a labrute-force (approximatif, cfhttp://www.keylength.com/) de 2007 a : 2010 2016 2026 2036 symetrique : 80 96 112 128 bits asymetrique : 1248 1776 2432 3248 bits Depend fortement des moyens (budget) dont on dispose pourdecrypter Alors ...quel procede utiliser ?!les deux a la fois ! Chirement asymetrique pour s'echanger une clef symetrique temporaire Puis chirement symetrique pour (de)chirer les messages %ASR : Cipher/auth enib, F.H ... 13/55 Elements de cryptographie.Integrite des messages et calcul de condensat (hachage,hash) Produire un motif de longueur xe caracterisant une message en clair Calcul tres rapide (beaucoup plus que le chirement) Irreversible : impossible de retrouverPdepuisMd(P)Deterministe :P=P0)Md(P) =Md(P0)
Inniment improbable d'avoirMd(P) =Md(P0) avecP6=P0Messages tres proches!condensats tres dierents
ex :SHA-1,MD5... Le condensat accompagnant un message permet d'en verier l'integriteEnvoi de (P;H)=H=Md(P)!reception de (P0;H)
SiMd(P0) =Hle messagePn'a pas ete altere
Probleme :Hn'a-t-il pas lui-m^eme ete altere ? (aucune signature ici !) Un intermediaire a pu remplacer (P;H) par (P0;H0)=H0=Md(P0) %ASR : Cipher/auth enib, F.H ... 14/55Elements de cryptographie.Signature numerique
S'assurer que le message n'est pas modie durant son transport S'assurer que seul l'emetteur declare a pu le produire Chirement avec la clef privee!dechirement avec la clef publiqueExemple :Aliceenvoie un message signe aBob
Aliceenvoie (P;E(kprivA;Md(P))) aBob
Bobrecoit (P0;H0)
D(kpubA;H0) =Md(P0))P0=P(le message n'est pas altere) Ceci indique aBobque c'est bienAlicequi a produit le condensat (sa clef publique ne dechire que ce qui provient de sa clef privee) nb : le message n'est pas condentiel iciSi besoin,AlicetransmetP0=E(kpubB;E(kprivA;P))
Bobcalcule alorsD(kpubA;D(kprivB;P0)) =P
%ASR : Cipher/auth enib, F.H ... 15/55Connexion securiseeSSL.Negociation de la connexion securisee (handshake) Chirement asymetrique par echange declefs publiques(RSA,DH...) !Contrainte d'authentication Choix d'une methode de chirement symetrique (DES,RC4,AES...) !Contrainte de condentialiteChoix d'une methode de hachage (MD5,SHA...)
!Contrainte d'integriteChoix d'une eventuelle methode de compression
.Utilisation de la connexion securisee Chirement symetrique, hachage, compression selon ce qui aete negocieProcede transparent pour l'application
%ASR : Cipher/authenib, F.H ... 16/55Connexion securiseeSSL.Vision simpliee de la negociation de la connexionCertificat
Fin du handshake
Fin du handshakeVersion SSL, méthodes de chiffrement, de hachage... Version SSL, méthodes de chiffrement, de hachage...Master-Secret
Données applicatives
Master-SecretMaster-Secret
Master-SecretClef pub. serveur
Master-Secret
Cle pub. serveur
Master-Secret
Master-SecretConnexion TCPClef privéeCertificatServeurClientPremaster-Secret
Premaster-SecretPremaster-Secret
Premaster-Secret
%ASR : Cipher/auth enib, F.H ... 17/55Connexion securiseeSSL.Vision simpliee de la negociation de la connexionLe client se connecte au serveur
Il lui envoie sa versionSSLet les parametres de connexion Le serveur repond avec des informations equivalentes Il envoie ensuite soncerticatcontenant entre autre saclef publique Utilisation d'une pairecerticat/clef priveepreparee a l'avanceLe client produit unpremaster secretde 48 octets
Permet de generer les clefs temporaires pour les algorithmes negocies Il le chire avec laclef publiquedu serveur et envoie lepremaster-secretLe serveur le dechire avec saclef privee
Il produit lemaster-secretdenitif, et l'envoie selon lepremaster-secret Les deux envoient un message de n duhandshakeselon lemaster-secret Lesechanges applicatifs utilisent le chirement symetrique (master-secret) %ASR : Cipher/auth enib, F.H ... 18/55Connexion securiseeSSL.La connexion en elle-m^eme est relativement securisee Lepremaster-secretdu client n'est lisible que par le serveur Lemaster-secretdu serveur n'est lisible qu'avec lepremaster-secret Les donnees applicatives ne sont lisibles qu'avec lemaster-secret Des segmentsTCPcaptures renferment des donnees incomprehensibles Leur rejeu est inecace (utilisation de numeros de sequence) %ASR : Cipher/auth enib, F.H ... 19/55Connexion securiseeSSL.Est-on certain de s'adresser au bon serveur ?Procede sensible aux attaquesman-in-the-middle!
(corruption duDNSpar de fausses informations par exemple) Le client se connecte a un\faux"serveur et utilise soncerticatLe\faux"serveur peut se connecter au\vrai"serveur
Relayer le dialogue en espionnant/modiant les donnees (MITM) Le\faux"serveur peut emuler le comportement du\vrai"serveur nb : le probleme est le m^eme dans le cas de la signature numerique %ASR : Cipher/auth enib, F.H ... 20/55Connexion securiseeSSL.Deroulement d'une attaqueman-in-the-middle Aliceveut eectuer des echanges condentiels avecBob Elle tente de se connecter aBobpour obtenir sa clef publiquekpubB Charles, par un procede technique, detourne la connexion vers lui Charlestransmet sa clefkpubCaAliceen se faisant passer pourBob Alicechire aveckpubCles messages qu'elle destinait initialement aBob Charlesdechire alors ces cryptogrammes avec sa propre clefkprivC La connexion est bien securisee, mais entreAliceetCharles!Alicene sait pas qu'elle echange avec un inconnu
Bobne sait pas qu'Alicedevait echanger avec lui
)Il faut authentier celui qui propose une clef publique %ASR : Cipher/auth enib, F.H ... 21/55Les certicatsX509.La\carte d'identite"du serveurLe champTBS(to be signed)
Le numero de version du certicat (v1, v2 ou v3) + extensionsLe numero de serie du certicat
LeDN(distinguish name) du certicat signataire (issuer) La periode de validite du certicat et de sa clef publiqueLeDNdu titulaire de la clef publique (subject)
La clef publique du titulaire et l'algorithme associe L'algorithme asymetrique et la fonction de condensat de la signatureLa signature de l'empreinte numerique duTBS
%ASR : Cipher/auth enib, F.H ... 22/55Les certicatsX509.Creation d'un certicat On s'adresse a un autorite de certication (CA,Certicate Authority) Tiers de conance (Verisign,Thawte,Equifax,Entrust...) Structure hierarchique (organisme certie par un autre ...) On lui transmet notre identite et notre clef publiqueElle verie l'ensemble (service payant)
Elle renseigne leTBSet signe le certicat
Calcul d'un condensat duTBS
Chirement du condensat avec la clef privee duCA
La clef publique duCAest largement diusee
(elle permettra de verier la signature) %ASR : Cipher/auth enib, F.H ... 23/55Les certicatsX509.Exemple : produire un certicat avec l'outilopensslGenerer une demande decerticat
$ openssl req -newkey rsa:1024 -keyoutkey.pem-outreq.pem Demande des informations sur l'identite de l'objet du certicat (notamment lecommon-namedusubject)Le chierkey.pemcontient une clef privee
Le chierreq.pemcontient la clef publique associee akey.pemIl contient egalement les informations saisies
Transmettrereq.pema une autorite de certication (CA)Elle le signe pour produire le certicatcert.pem
$ openssl ca -cert ca_cert.pem -keyfile ca_key.pem \ -in req.pem -out cert.pem %ASR : Cipher/auth enib, F.H ... 24/55Les certicatsX509.Verication du certicat par le clientDate courante dans la periode de validite ?
CAdans la liste desCA?
Le client doit avoir une liste deCAreconnus
Numero de serie dans la liste des certicats revoques ?Dechirer la signature avec la clef publique duCA
Calculer le condensat du champTBSdu certicat
Resultats identiques ?
Le nom de domaine du certicat est-il celui du serveur ?Indique dans lecommon-namedusubject
Ce dernier point n'est pas traite parSSL
C'est a la charge de l'application !
nb : procede recursif car lesCAsont hierarchises %ASR : Cipher/auth enib, F.H ... 25/55Les certicatsX509.Est-on certain de s'adresser au bon serveur ? Oui, mais seulement s'il dispose d'un certicat en bonne et due forme !Envisageable pour les sites\commerciaux"
Le co^ut du certicat est amorti par ce que rapporte le service Pour les autres sites (webmail...) ou d'autres services (SSH...)Le co^ut d'un certicat n'est pas justie
Utilisation d'un certicat auto-signe (voiropenssl req) !Les clients doivent conna^trececerticat et l'accepter !Il doivent alerter si ce certicat changeMise en place d'unePKI(Public Key Infrastructure)
!Creation de notre propre autorite de certication !Les clients doivent conna^trecetteautorite de certication (comme lesCAocielles reconnues par defaut) %ASR : Cipher/auth enib, F.H ... 26/55Les certicatsX509.Exemple : produire un certicat auto-signe avec l'outilopenssl Generer uncerticatauto-signe (-x509) sans pass-phrase (-nodes) $ openssl req -x509 -nodes -newkey rsa:1024 \-keyoutkey.pem-outcert.pem Demande des informations sur l'identite de l'objet du certicat (notamment lecommon namedusubject)Le chierkey.pemcontient une clef privee
Le certicatcert.pemcontient la clef publique associee akey.pemIl contient egalement les informations saisies
Ce certicat n'est pas signe par uneCAmais par lui-m^eme Precaution elementaire pour des services peu sensiblesPermet egalement de faire des experiences ...
%ASR : Cipher/auth enib, F.H ... 27/55Les certicatsX509.Verication, par un client, d'un certicat auto-signe Le certicat est initialement rejette (non signe par uneCAreconnue)Si cecerticatest vu pour la premiere fois
!Avertir et memoriser ce certicat pour ce serveur S'il est dierent de ce qui a ete memorise pour ce serveur !Avertir et mettre n a la connexion (MITM) !!! On fait conance a la premiere connexion au serveurUne demarche semblable est utilisee dansSSH
%ASR : Cipher/auth enib, F.H ... 28/55Les certicatsX509.Premiere utilisation d'une clef publique inconnue $ ssh somewhere The authenticity of host 'somewhere (192.168.1.12)' can't be established. RSA key fingerprint is 4a:f5:37:6c:3e:0d:cd:ee:87:ca:80:78:77:09:16:bb. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'somewhere,172.168.1.12' (RSA) to the list of known hosts. user@somewhere's password: ******** {user@somewhere}$ .Acces au m^eme serveur dote d'une nouvelle clef publique $ ssh somewhere @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host isPlease contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.Offending key in /home/user/.ssh/known_hosts:18
RSA host key for somewhere has changed and you have requested strict checking.Host key verification failed.
%ASR : Cipher/auth enib, F.H ... 29/55Les certicatsX509.Mise en place d'unePKI(Public Key Infrastructure) Reproduire localement le fonctionnement desCAocielles Economique mais plus elabore que les simples certicats auto-signesPermet d'avoir un contr^ole total de la procedure
Produire notre propreCAracine (certicat auto-signe) Produire eventuellement desCAintermediaires signees par notre racine NosCAsignent les certicats de nos serveurs et clients (employes ...) Nos clients et serveurs seront ammenes a verier ces certicats Ils doivent avoir une conna^ssance prealable de notreCAracine La transmission de cette information est le point delicat ! Demande une etude tres detaillee et une gestion quotidienne rigoureuse Notamment en ce qui concerne la revocation des certicats (depart d'un employe, vol d'un ordinateur, perte d'une clef ...) %ASR : Cipher/auth enib, F.H ... 30/55Les certicatsX509.Exemple :PKIminimale avec l'outilopenssl(1/2)Notre propreCApour signer nos propres certicats
#---- Creation d'une autorite de certification et de sa clef privee ----# Il s'agit d'un certificat auto-signe# Utilisation d'un mot de passe ou non lors des signatures (ici non : -nodes)# Un repertoire est necessaire a la signature (voir /etc/ssl/openssl.conf)$ openssl req -x509 -newkey rsa:1024 -nodes -keyout ca_key.pem -out ca_cert.pem...Common Name (eg, YOUR name) []:MY_OWN_CA...$ mkdir demoCA demoCA/newcerts$ touch demoCA/index.txt$ echo 01 > demoCA/serial
#---- Un serveur genere une demande de certificat et sa clef privee ----# Un mot de passe est generalement inapproprie pour un serveur (-nodes)# Le common-name est souvent le nom de domaine du serveur$ openssl req -newkey rsa:1024 -nodes -keyout srv_key.pem -out srv_req.pem...Common Name (eg, YOUR name) []:srv.example.net...#---- Le serveur transmet la demande a la CA qui signe alors le certificat ----# La CA n'a pas besoin de connaitre la clef privee du serveur !$ openssl ca -cert ca_cert.pem -keyfile ca_key.pem -in srv_req.pem -out srv_cert.pem \-policy policy_anything
%ASR : Cipher/auth enib, F.H ... 31/55Les certicatsX509.Exemple :PKIminimale avec l'outilopenssl(2/2) #---- Un client/utilisateur genere une demande de certificat et sa clef privee ----# Un mot de passe est generalement souhaitable pour un client (pas -nodes)$ openssl req -newkey rsa:1024 -keyout user_key.pem -out user_req.pem...Enter PEM pass phrase: ********...Common Name (eg, YOUR name) []:user_lambda...#---- Le client transmet la demande a la CA qui signe alors le certificat ----# La CA n'a pas besoin de connaitre la clef privee du client !$ openssl ca -cert ca_cert.pem -keyfile ca_key.pem -in user_req.pem -out user_cert.pem \-policy policy_anything
#---- Verification d'un certificat ----# Chaque client/serveur doit disposer de sa propre paire certificat/clef-privee# Ils auront besoin du certificat de notre CA pour verifier les certificats recus# La verification a normalement lieu dans l'application finale# Ici il s'agit juste ici d'une verification prealable de nos certificats$ openssl verify -CAfile ca_cert.pem user_cert.pemuser_cert.pem: OK$ openssl verify -CAfile ca_cert.pem srv_cert.pemsrv_cert.pem: OK
%ASR : Cipher/auth enib, F.H ... 32/55SSLet les certicatsX509.La connexion en elle-m^eme est relativement securiseeL'ecoute du trac est inutile
quotesdbs_dbs32.pdfusesText_38[PDF] cours cryptographie
[PDF] exercice corrigé cryptographie pdf
[PDF] td cryptographie corrigé
[PDF] exercice corrigé elgamal
[PDF] exercice corrigé cryptographie rsa
[PDF] exercice corrigé data encryption standard
[PDF] chiffrement symétrique avantages
[PDF] chiffrement symétrique et asymétrique
[PDF] carte badgeo etudiant
[PDF] ejemplos del verbo ser
[PDF] ejercicios ser estar español para extranjeros
[PDF] ejercicios verbo ser y estar para imprimir
[PDF] arts plastiques 3ème cube
[PDF] vecteur dans l espace terminale s