Sécurité informatique, cryptographie, certificats et signature électronique (DESS NTSI)

Transcription

1 Sécurité informatique, cryptographie, certificats et signature électronique (DESS NTSI) Florent Guilleux, octobre

2 Ce cours dans votre formation découvrir la problématique de la sécurité avoir quelques bases pour comprendre des argumentaires techniques et les discours informatique, la cryptographie et la signature informatique commerciaux relatifs à la sécurité électronique

3 Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé

4 Pourquoi de la sécurité informatique? l informatique est omniprésente, dans des secteurs de plus en plus critiques certaines dimensions changent dans le monde virtuel : l espace, le temps ainsi que les ordres de grandeurs ; par conséquent le danger des attaques aussi les menaces pour les libertés professionnelles et individuelles sont réelles la sécurité informatique devient primordiale

5 Vocabulaire sûreté : protection contre les actions non intentionnelles sécurité : protection contre les actions intentionnelles malveillantes menace : moyen potentiel par lequel un attaquant peut attaquer un système risque : prise en compte à la fois la probabilité d'une menace et de sa gravité si elle réussit

6 Les objectifs théoriques authentifier les utilisateurs, gérer leurs autorisations assurer la confidentialité et l intégrité des données et des communications assurer la disponibilité des services

7 Principales définitions identifier : obtenir l identité d une personne ou d une entité authentifier : vérifier qu une personne ou une entité correspond bien à son identité déclarée (par exemple par identifiant et mot de passe) autoriser : vérifier qu une personne ou une entité à les droits nécessaires pour accéder ou modifier à une ressource

8 Principales définitions confidentialité : propriété d'une information qui n'est ni disponible, ni divulguée aux personnes ou entités non autorisées intégrité : propriété d une information qui n a pas été modifiée ou altérée lors d un échange (par exemple sur un réseau) ou pendant sa conservation disponibilité : capacité d une ressource à être accessible

9 Quelques difficultés historiques : Internet n a pas été conçu en tenant compte de contraintes de sécurité législatives : retard du législatif sur la technologie, diversité des législations nationales

10 Quelques difficultés économiques : la sécurité informatique est coûteuse et sans bénéfices visibles directs les attaques informatiques sont de plus en plus motivées par des gains financiers («intelligence économique», spam ) ignorance : beaucoup de discours politiques ou commerciaux simplificateurs

11 Quelques difficultés humaines et organisationnelles : formation, responsabilisation (cf. l ingénierie sociale) la sécurité dépend des personnes, celles qui attaquent et celles qui défendent l aspect humain est primordial en sécurité informatique

12 Difficultés techniques évolution permanente et soutenue (cf. attaques virales) systèmes très complexes, non séquentiels et couplés «le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible»

13 Difficultés techniques la standardisation rend possible les class breaks : une faille de sécurité dans un produit peut affecter beaucoup d organismes, d institutions et de personnes à la fois les attaques sont désormais automatisées : des programmes sont disponibles et permettent d exploiter une faille sans la comprendre couplée à l automatisation des attaques, les class breaks rendent profitables les attaques avec un taux marginal de retour et un taux marginal de réussite

14 Difficultés techniques il est très difficile d évaluer la qualité d un produit de sécurité ou d un algorithme cryptographique: ses conditions d utilisation peuvent être très variées, il est délicat de mettre au point des tests exhaustifs en général on ne peut pas prouver théoriquement la fiabilité d un procédé de sécurisation les mesures sont difficilement quantifiables souvent la confiance dans un produit de sécurité ou algorithme de sécurité vient du fait : 1. qu il soit utilisé par une large communauté depuis un certain temps 2. et que des failles de sécurité trop nombreuses ou trop graves le concernant n aient pas été découvertes en général un produit ayant un code source accessible ou un algorithme publique est considéré plus sûr

15 Les solutions efforts de rationalisations : normes, protocoles, méthodes d évaluation amélioration des produits élaboration d une politique de sécurité harmonisation des législations, coopération internationale utilisation de procédés techniques, par exemple la cryptographie

16 Sécurité et secret relation subtile et souvent contre intuitive un secret est souvent difficile à : créer partager conserver détruire un secret doit pouvoir être facilement changé principe de Kerchoff : un algorithme de chiffrement / déchiffrement doit être publique, seules les clés doivent être secrètes

17 Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé

18 Cryptographie Chiffrement symétrique Chiffrement asymétrique Attaques possibles contre les techniques de chiffrement

19 Cryptographie : vocabulaire Cryptologie La science du secret Cryptographie Concevoir des mécanismes destinés à assurer un secret Cryptanalyse Déjouer les mécanismes destinés à assurer un secret Cryptographie à clé secrète (chiffrement symétrique) Cryptographie à clé publique (chiffrement asymétrique)

20 Vocabulaire chiffrer : utiliser une clé cryptographique pour coder un message afin de le rendre illisible déchiffrer : utiliser une clé cryptographique pour décoder un message codé et pouvoir le lire message «en clair» : version lisible d un message décrypter : réussir à décoder un message chiffré sans avoir initialement la clé cryptographique permettant de le décoder «casser» un algorithme cryptographique : trouver une méthode permettant de décrypter tous les messages chiffré par cet algorithme

21 Chiffrement symétrique

22 Chiffrement symétrique principe de base contexte : Alice veut envoyer à Bob un message illisible par un tiers solution : Alice utilise une clé secrète pour chiffrer (= coder) son message la clé est un nombre ou un mot que seuls Alice et Bob connaissent (ils se la sont communiquée avant l échange de leur message) le message codé n est décodable qu avec la clé secrète

23 Histoire du chiffrement symétrique depuis la nuit des temps les hommes, surtout les militaires, ont pratiqué l espionnage et le contreespionnage le chiffrement des messages est donc né presque en même temps que l écriture disque de Phaïstos (Crète 1700 av. JC ) le Scytale (Sparte 400 av. JC)

24 Chiffrement : Substitution de caractères 1 f x g h x t d o v x r v y u Il suffit de tester tous les décalages possibles pour retrouver le message en clair ules César : chiffrement d un message par décalage es lettres dans l alphabet (a->d, b->e, c->f ) c u d e u q a l s u o s v r

25 Chiffrement : Substitution de caractères 2 solution : utiliser des décalages différents suivant les lettres (a->r, b-> q, c->a ) mais par analyse statistique de la fréquence des lettres on retrouve les correspondances qui ont servi au codage (cryptanalyse au IX siècle par Al-Kindi)

26 Chiffrement : Substitution de caractères 3 u a n b i b v y e a r b s b i y t a e b utilisation d un mot secret et d u alphabet de substitution pou procédé de Vigenère (1586) chaque mot v p k u f t u h u g une lettre devient codé différemment à chaqu occurrence, plus d analy statistique possible a méthode n est plus secrète, c est le mot utilisé (la «clé») pour coder qui renferme le secret

27 Amélioration du procédé de Vigenère le procédé de Vigenère a été «cassé» en 1854 en exploitant la répétition de la clé -> tentatives d améliorations successives Machine Enigma (Allemagne, 1920) Bombe rapide (Angleterre, 1945)

28 Le chiffre à usage unique avec une clé secrète de la longueur du message à coder, il es ossible de coder un message absolument indéchiffrable pa n tiers (Vernam 1917)!!! méthode utilisée pour le téléphone rouge entre Moscou e ashington, par Che Guevara pour ses communications ave astro ais la clé secrète doit être «parfaitement aléatoire» elle ne doit être utilisée qu une unique fois problème de la transmission et du stockage de la clé secrète

29 Chiffrement symétrique : synthèse tilisation d une clé secrète de chiffrement partagée par l expéditeur et destinataire pour chiffrer un message message en clair message chiffré message en clair message chiffré

30 Algorithmes de chiffrement symétrique algorithme DES Triple DES IDEA RC4 Blowfish AES longueur de la clé 56 bits 128, 156 bits 128 bits variable bits 128, 192, 256 bits

31 Data Encryption Standard normalisé en 1976 par le NBS (NIST) chiffrement de blocs de 64 bits par une clé de 56 bits mal adapté à une réalisation logicielle (conçu pour être câblé) aujourd hui taille de clé insuffisante utiliser le Triple DES ou l AES

32 Advanced Encryption Standard 1997 le DES était en fin de vie, le NIST organise un concours international pour le remplacer cahier de charges : longueur de clés variables implémentable sur des plates-formes variés rapide libre de droits Rijmen et Daemen (cryptographes belges) vainqueurs en 2001

33 Chiffrement symétrique : les défauts il faut réussir à communiquer la clé secrète au destinataire par un moyen sûr il faut une clé différente pour chaque destinataire Nb de personnes n Nb de clés n(n-1)/2 seuls les militaires et les diplomates utilisaient la cryptographie

34 Chiffrement asymétrique

35 désormais utilisé partout : carte bancaire écurisation d Internet, télévision cryptée, carte identité électroniques Chiffrement asymétrique : la révolution conception théorique par Diffie et Hellman (1976) système le plus utilisé : RSA créé en 1977 on peut se transmettre des messages chiffrés sans devoir préalablement s échanger une clé secrète

36 Principe de base (dans le monde réel) Bob distribue à qui en veut une copie de son cadenas personnel ; mais lui seul possède la clé permettant d ouvrir ce cadenas Alice utilise ce cadenas pour verrouiller un coffre contenant le message confidentiel qu elle veut lui transmettre seule la clé que possède Bob permet d ouvrir le coffre et de lire le message confidentiel transmission sécurisée sans échange de secret au préalable comment rendre impossible la fabrication de la clé à partir du cadenas?

37 raduction en langage cryptographique comment coder un message avec un nombre de sorte qu i ne puisse être décoder qu avec un second nombre associé? comment rendre impossible la déduction du second nombre à partir du premier? Monde réel Cadenas Clé adenasser le coffre Décadenasser le coffre Monde virtuel Nombre Autre nombre Opération mathématique Autre opération mathématique Terme cryptographique Clé publique Clé privée Algorithme de chiffrement Algorithme de déchiffrement

38 Exemple avec le chiffrement RSA Trois étapes : création d une clé publique et d une clé privée pour Bob (la clé publique est diffusée à tout le monde, par exemple à Alice) à chaque fois qu Alice veut envoyer un messag confidentiel à Bob, elle utilise la clé publique de Bob pou chiffrer le message Bob utilise sa clé privée pour déchiffrer le message envoyé par Alice

39 RSA : 1. création des clés Choix aléatoire de deux nombres premiers p et q p = 3 et q =7 Calcul de n = p x q et de e un nombre premier avec f = (p-1) x (q-1) n = 3 x 7 = 21 ; f = 2 x 6 = 12 ; e = 5 Calcul de d tel que e x d = 1 modulo f d = 5 car 5 x 5 = 1 mod 12 la clé publique de Bob est constituée de n et e sa clé privée est d

40 RSA : 2. chiffrement d un message lice veut chiffrer le message B pour l envoyer à Bob Transformation du message en une suite de chiffres selon une convention connue de tous B devient x = 02 Chiffrage du résultat en utilisant la clé publique de Bob (n et e) et la formule y = x e modulo n y = 2 5 modulo 21 = 32 modulo 21 = 11 Envoi du résultat y à Bob

41 RSA : 3. déchiffrement Bob déchiffre le message y en utilisant sa clé privée d pour calculer z = y d modulo n z = 11 5 modulo 21= modulo 21 = 2 le nombre z est retranscrit en lettres selon la convention utilisée lors du chiffrement z = 2 => message en clair = B le procédé est le même pour un message de plusieurs lettres les nombres utilisés dans la réalité (n, p, q, e ) fon lusieurs centaines de chiffres

42 RSA : pourquoi ça marche? comment chiffrer un message avec une clé de sorte qu il ne puisse être décoder qu avec une autre clé associée? le théorème mathématique de Fermat-Euler assure que la formule de déchiffrement z = y d modulo n redonne le message initial z = y d = x ed = x modulo n

43 RSA : pourquoi ça marche? comment rendre impossible la découverte de la clé privée quand on connaît seulement la clé publique? en gros la clé privée est la décomposition en facteurs premiers de la clé publique. Pour retrouver la clé privée à partir de la clé publique il faut donc réussir à décomposer la clé publique en nombres premiers. C est une opération mathématiquement «impossible» pour des grands nombres.

44 Confiance dans RSA utilisé depuis 25 ans, quelques défauts mineurs ont été corrigés la confiance dans la sécurité de RSA est calculatoire : difficulté de factoriser un grand nombre en facteurs premiers mais il n existe pas de démonstration que RSA ne puisse pas être un jour pris en défaut : si un petit génie trouve demain une méthode pour factoriser facilement les grands nombres, l économie mondiale risque

45 Cryptographie : synthèse le chiffrement asymétrique est très lent (1000 fois plus que le chiffrement symétrique) -> utilisation combinée des chiffrements asymétrique et symétrique. d abord l expéditeur d un message choisit une clé secrète symétrique. il chiffre son message avec cette clé secrète. il envoie au destinataire ce message chiffré et ainsi que la clé secrète chiffrée avec la clé publique du destinataire. le destinataire déchiffre avec sa clé privée la clé secrète chiffrée. avec le clé secrète déchiffrée, il déchiffre le message

46 Cryptographie : synthèse RAND Clé publique du destinataire Chiffrement symétrique Chiffrement asymétrique déchiffrement symétrique déchiffrement asymétrique Clé privée du

47 Les attaques 1/4 il existe de nombreuses méthodes d attaque parfois extrêmement sophistiquées force brute : essayer toutes les clés possibles. Principal danger : l augmentation de la puissance des machines. Parades : augmenter la longueur des clés, choisir des algorithmes coûteux 1997 : 3 heures pour casser une clé secrète de 40 bits 1999 : factorisation d une clé asymétrique de 512 bits (155 chiffres décimaux)

48 Les attaques 2/4 analyse statistique basée sur les propriétés des messages en clair : le «e» représente 14.5 % des caractères utilisés dans un texte en français il existe des tables statistiques pour des motifs de plusieurs lettres. Parade : utiliser un algorithme tel que le cryptogramme ait une entropie maximale attaque sur l entropie des clés : elles doivent être «le plus possible» aléatoires

49 Les attaques 3/4 attaques physiques : un attaquant peut retrouver des informations sur une clé privée en mesurant les temps de calcul des opérations de chiffrement ou la consommation électrique d une carte à puce RSA il faut des années et l implication d une large communauté pour arriver à un certain niveau de confiance dans un procédé de chiffrement (RSA 25 ans)

50 Les attaques 4/4 comment cambrioler une maison? comment lire un message chiffré? essayer toutes les ombinaisons de la serrure attaque par force brute crocheter la serrure casser la vitre voler la clé les attaques que l on vient de voir s introduire sur l ordinateur du destinataire pour y lire le message déchiffré voler la clé privée sur l ordinateur

51 Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé

52 Préalable : l empreinte numérique une empreinte numérique est un «résumé» d un document électronique (appelé aussi condensat) elle est de taille fixe (128 bits à 160 bits) deux documents très légèrement différents ont des empreintes différentes (propriété de «non collusion») il est très difficile de construire un document qui ait la même empreinte qu un autre document (propriété de «sens unique») algorithmes pour calculer une empreinte : MD5, SHA1 ces algorithmes sont appelés fonctions de hachage

53 Qualité d une fonction de hachage chaque bit de l empreinte dépend de l ensemble des bits du message le changement d un bit du message d entrée provoque en moyenne le changement de la moitié des bits du condensé connaissant H(M), il est difficile de trouver M tel que H(M)=H(M )

54 Exemples d empreinte exemples d empreintes générées par la commande unix md5sum cette phrase se termine par a cette phrase se termine par e cette phrase se termine par 3 cette phrase se termine par * 30aa5e7e92a8c71cc10f e9eeebe01a3b d7e1076cbe1d660e14f d82cc06 e93dde961b27878ae85 8c8e2f696aa7f 828b883f6a0ec783181a 6475c0aeefd2

55 La signature électronique Prouver l identité de l auteur d un document électronique (par exemple un ) Comment signer un document électronique? Comment vérifier une signature électronique? Quelles sont ses propriétés? Quel degré de confiance peut-on lui accorder? Utilisation du chiffrement asymétrique (clés privée et publiques)

56 Comment signer des données? L auteur chiffre l empreinte numérique du document avec sa clé privée ; le résulta constitue la signature électronique du document ; elle est ajouté à la fin du documen ocument initial document et son empreinte clé privée de l auteur document et sa signature

57 Comment vérifier une signature électronique? Le lecteur du document déchiffre la signature avec la clé publique de l auteur ; ensuite il calcule l empreint du document sans la signature ; il compare ces deu résultats ; s ils sont identiques la signature est valide cument et signature clé publique de l auteur empreinte =?

58 Propriétés de la signature électronique on ne peut pas imiter la signature électronique d une personne si on ne lui a pas volé sa clé privée (tant que l algorithme de chiffrement asymétrique est reconnu sûr) on ne peut pas recopier la signature électronique d un document pour l apposer sur un autre document à cause de l utilisation d empreinte numérique dans la signature de plus, et contrairement à la signature manuscrite, l intégrité du document électronique est garantie, i.e. toute modification du document après sa signature rend la signature invalide (même raison que précédemment)

59 ue peut-on déduire de la vérification d une signature électronique? si la vérification a échouée : soit le document a été modifié depuis sa signature soit la clé privée utilisée pour signer n est pas la clé privée associée à la clé publique utilisée pou vérifier la signature si la vérification est réussie cela signifie : 1. que le document n a pas été modifié depuis sa signature 2. et que la clé privée utilisée pour signer est bien la clé privée associée à la clé publique utilisée pou vérifier la signature

60 Attaque des anniversaires faire signer à un tiers un message correct mais pour lequel il existe un message frauduleux ayant la même empreinte on obtient ainsi une fausse signature parfaite cette attaque s appuie sur le paradoxe des anniversaires : il suffit de 23 personnes pour qu il y ait plus d une chance sur deux pour que parmi elles deux personnes soient nées le même jour! ce résultat probabiliste surprenant facilite une attaque sur les empreintes MD5 (128 bits) devient déconseillé, utiliser plutôt SHA1 (160 bits)

61 Attaques des anniversaires une fonction de hachage générant une empreinte de n bits donne 2 n sorties différentes d après le paradoxe des anniversaires on a une chance sur deux de retrouver un message ayant une empreinte donnée en 2 n/2 essai

62 Stratégie de Yuval 1. l attaquant choisit un message frauduleux et un message anodin que la victime acceptera de signer 2. il génère 2 n/2 variantes du message anodin (en le modifiant très légèrement) ; idem avec le message frauduleux 3. selon le paradoxe des anniversaires la probabilité qu un des messages frauduleux et qu un des messages anodins aient la même empreinte est supérieure à 1 sur 2 4. l adversaire fait signer cette variante du message anodin par la victime 5. il récupère la signature du message et l accole à la variante du message frauduleux

63 Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé

64 Chiffrement asymétrique : le point noir Comment s assurer de la provenance d une clé publique? Ou : comment s assurer qu une clé publique appartient bien à une personne donnée? pour communiquer sa clé publique à ses orrespondants potentiels il faut la transmettre par un anal (poste, Internet ) à priori non sécurisé une personne mal intentionnée peut alors intercepter ette clé publique et de la remplacer par une autre clé ublique de son cru

65 Attaque type man-in-the-middle Bob Bob message message Alice Chris Chris Alice Chris message Chr Chris Chris (privée) message Alice Alice Alice Alice Communication d une clé publique message Alice (privée) 2. Transmission d un mail chiffré messag

66 Les certificats électroniques certifier qu une clé publique est bien celle d une personne identifiée un certificat électronique (aussi appelé certificats X509) est un fichie informatique contenant les informations suivantes : une clé publique le nom du propriétaire de cette clé (le propriétaire peut être un personne, une machine, un logiciel ) la durée de validité du certificat (comme pour une carte national d identité) d autres informations appelées attributs

67 La confiance dans un certificat 1 Qui certifie que dans un certificat le nom du titulaire est bien celui du propriétaire de la clé publique? C est une Autorité de Certification (AC ou Autorité de Confiance), un organisme chargé de délivrer des certificats en vérifiant l identité du demandeur du certificat (AC et certificat mairie et passeport)

68 La confiance dans un certificat 2 comment sait-on qu un certificat est certifié par une Autorité de Certification? un certificat est signé par l AC qui le certifie une Autorité de Certification possède donc une clé privée et une clé publique le fait que les certificats sont signés assurent de leur intégrité : s ils sont modifiés, cela sera détecté

69 La confiance dans un certificat 3 comment installe-t-on la confiance en une Autorité de Certification? on télécharge dans son logiciel (navigateur, client de messagerie ) ou son système d exploitation les certificats des AC dans lesquelles on décide d avoir confiance sur quels critères? en principe en lisant la politique de certification de l AC

70 Hiérarchie d AC

71 Hiérarchie d AC une Autorité de Certification (AC) peut signer le certificat d une autre autorité de certification on parle alors d autorités de certification mère et fille si l on a confiance dans une AC mère, on a automatiquement confiance dans une AC fille ; l inverse n est pas vrai ce mécanisme est appelé hiérarchie de confiance des ACs il permet de définir différents espaces de confiance et d usage une AC qui n a pas d AC mère est appelée AC racine ; son certificat est auto signé

72 Un certificat électronique établit un lien fort entre le nom du titulaire et sa clé publique un sorte de carte d identité informatique fichier stocké sur un ordinateur, une carte à puce (format 509) document publique, distribué à tout le monde possède une période de validité et des usages précis il est signé par une Autorité de Certification seul le titulaire d un certificat possède la clé privée associée Clef publique Nom de l AC Nom Signature De l AC Période De Validité Attributs

73 Usages des certificats électroniques chiffrement signature électronique authentification

74 Compatibilité des usages chiffrement signature signature authentification sécurisée chiffrement oui non oui signature oui non non signature Sécurisée non non non uthentification oui non non

75 Compatibilité des usages un certificat permettant de signer (au sens législatif de «signature sécurisée») ne pourra pas servir à l authentification ni au chiffrement la signature (sécurisée ou non) et l authentification sont incompatibles un certificat peut servir à la fois pour chiffrer et authentifier un certificat peut servir à la fois pour chiffrer et signer (mais au sens législatif de «signature sécurisée»)

76 ncompatibilité chiffrement et signature chiffrement : un document chiffré doit toujours pouvoir être déchiffré, même en cas de perte de la clé privée permettant de déchiffrer il faut un service de recouvrement des clés privées, i.e. que les clés privées associées aux certificats émis par l IGC soient conservées par un tiers signature électronique sécurisée : la loi impose que la clé privée soit sous le contrôle exclusif du titulaire, cette clé privée ne peut donc être conservée par un tiers pour un service de recouvrement

77 Incompatibilité entre authentification et signature quand on signe électroniquement un document on utilise sa clé privée pour chiffrer un «résumé» du document (une empreinte) pour authentifier un certificat client, un serveur envoie au client une chaîne que ce dernier doit chiffrer avec sa clé privée puis il doit renvoyer le résultat au serveur un serveur malveillant pourrait envoyer comme chaîne à chiffrer le «résumé» d un document frauduleux à un client il obtiendrait ainsi une signature parfaite d un document frauduleux

78 Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé

79 IGC IGC = Infrastructure de Gestion de Clés en Anglais, PKI = Public Key Infrastructure

80 Infrastructure de Gestion de Clé C est toute l infrastructure nécessaire au fonctionnement d une ou plusieurs ACs pour délivrer des certificats : matériel : ordinateurs, locaux informatique : logiciels humain : les employés organisationnel : procédures d enrôlement, de révocation administratif : désignation d un responsable moral financier : assurance des risques en cas de dommage par utilisation de certificat

81 Rôles d une IGC délivrer des certificats auxquels on peut associer un certain niveau de confiance (comme on a plus ou moins confiance dans un passeport selon le pays qui l a émis) l enjeu est alors de formaliser le degré de confiance requis pour mettre en œuvre le niveau de sécurité qui en découle prouver un niveau de sécurité est plus difficile que de mettre en œuvre celui-ci

82 Description fonctionnelle d une IGC

83 Les services que doit rendre une IGC vérifier l identité du titulaire lors de l émission de certificat publier le certificat assurer le renouvellement d un certificat révoquer les certificats compromis publier la liste de révocation de chaque AC assurer parfois le recouvrement de la clé privée

84 Architecture et composantes d une IGC Vérifie la demande de certificat clé publique Autorité d enregistrement 3 Transmission signée de la demande de certificat 4 Créé le certificat Centre de certification Annuaire de publicatio clé publique 2 Interface utilisateur clé publique 1 Publie le certificat 5 clé privée clé publiq

85 Le centre de certification protège la clé privée des AC (bunker informatique) vérifie les demandes de certificats provenant des autorités d enregistrement génère les certificats génère les listes de certificats révoqués

86 L autorité d enregistrement vérifie l identité des demandeurs de certificats et les éléments de la demande transmet les demandes valides par un canal sûr au centre de certification (les demandes sont signées par l opérateur d enregistrement) recueille et vérifie les demandes de révocation

87 L annuaire de publication offre une interface (web, LDAP ) pour récupérer les certificats émis par les ACs d une IGC idem pour les listes de révocation il y a donc de fortes contraintes de disponibilité et d intégrité sur ce service

88 L interface utilisateur offre une interface de demande de certificat, de révocation (en général un formulaire web) pré-formate ces demandes de certificat pour le transmettre à l Autorité d Enregistrement deux modes de génération de la clé publique et de la clé privée : par le demandeur : elles sont générées sur son poste centralisé : les clés sont générées par le centre d certification ; la clé privée est renvoyé au demandeur par u moyen qui doit être sécurisé

89 Politique de certification

90 Pourquoi? une autorité de certification est une entité commerciale, administrative, corporative dans le monde virtuel des réseaux peu ou pas de repères pour juger de la confiance en une AC la politique de certification (PC) d une AC est un document qui affiche les pratiques de l AC elle doit ainsi permettre d estimer la confiance dans les certificats qu elle émet

91 Formalisme d une PC le RFC 2527 propose une structure de ce document ; cela autorise la comparaison de PC et assure d une certaine exhaustivité des points abordés il existe des PC types qui définissent différents niveaux de confiance (DCSSI niveau basique, moyen, élevé) un OID identifie de façon unique une PC et sa version ; il doit être présent dans les certificats

92 Points abordés dans une PC Les fonctions et les usages Responsabilités Contrôle de conformité Identification et authentification Révocation Archives et journaux Plan anti-sinistre Personnels Protection des clés Profil des certificats Administration des spécifications

93 Limites d une PC lecture très difficile, quasi-illisible pour un utilisateur final les points cruciaux se noient dans une masse de détails ce qui est écrit n est pas forcément ce qui est fait on est censé faire confiance à ce qui est écrit dans ce document qui doit inspirer confiance! d où le besoin de contrôle de conformité

94 Limites des certificats

95 Un discours ambiant «optimiste» le certificat est souvent présenté comme une solution universelle à beaucoup de problèmes de sécurité syndrome de la techno béatitude : c est nouveau donc c est un progrès c est complexe donc cela permet de résoudre des problèmes complexes

96 Des critiques anciennes et étayées technologie ancienne dont l avènement tarde (X509 : 1988, SSL 1994) concepts sophistiqués mais usages basiques les implémentations très éloignées du modèle (surtout les navigateurs) critiques radicales des IGC depuis au moins 4 ans, arguments surtout théoriques par exemple sur la révocation : «ten risk of PKI», «too late for digital certificates», «Only Mostly Dead RIP PKI»,

97 Navigateur et ACs de confiance les navigateurs sont pré configurés avec des listes d autorités de certification commerciales (AC) choix opaque difficilement modifiable par défaut un utilisateur fera confiance sans le savoir aux IGC qui ont payé les éditeurs de navigateur les ACs sont toutes sur le même plan : quelle que soit «la qualité» de l AC quels que soient les usages

98 Navigateur et protection des clés privées un point critique de la confiance dans les certificats Mozilla, IE, Netscape : stockage de la clé sur le disque dur chiffrement avec une passphrase réglage par défaut de IE : certificat exportable sans passphrase pas d administration possible des mots de passe (perte, complexité minimale, etc.)

99 Support externe pour les clés la solution cryptoki (PKCS#11) permet la génération du bi-clé sur un support USB ou carte à puce API PKCS#11 = accès au service de chiffrement asymétrique sans accéder à la clé privée elle-même «ce que l on a» + «ce que l on sait» niveau de protection des clés très élevé

100 Protection des clés privées avantage avancé pour les tokens USB cryptoki : pas de lecteur spécifique il faut cependant déployer : un driver = obstacle à la mobilité configurer les applications gérer la distribution de ce matériel (initialisation, perte, panne, récupération, perte du code pin, ) caractère impersonnel du support en complète contradiction avec sa vocation

101 Conclusion sur les navigateurs leur gestion des certificats est insatisfaisante il n est pas possible d appliquer une gestion centralisée des navigateurs des utilisateurs quelques pistes : protection des clés avec token USB cryptoki (ou un serveur de tokens virtuels) applet JAVA pour les opérations sur le poste de travail serveur de validation (RFC 3029) pour la vérification de signature

102 Principe de la révocation un certificat peut être compromis, i.e. sa clé privée dupliquée ou volée par un tiers chaque AC diffuse une liste de révocation (CRL) qui indique tous les certificats non valides à partir d une certaine date cette liste de révocation est signée par l AC elle a une période de validité (par exemple un mois ou une semaine)

103 La révocation : temps de propagation ol de la clé privée Demande de révocation MAJ CRL Prise en compte de la CRL dans l application Détection du vol Réactivité de l IGC (1 min à infini) (qqs minutes à une journée) Diffusion de la CRL (très variable) Fenêtre de vulnérabilité

104 La révocation : temps de propagation Il faut minimiser la fenêtre de vulnérabilité, i.e. le délai entre une compromission et sa prise en compte dans les applications 1. détecter / suspecter la compromission et avertir l IGC : le plus difficile 2. réactivité de l IGC pour mettre à jour la CRL : le plus cher 3. diffuser la CRL jusqu aux applications : le plus inefficace

105 La révocation : propager l info le modèle des CRLs est un non sens pour la propagation de l info de révocation : la CRL est diffusée en pull (et non push) la validité de la CRL est déterminée a priori sans moyen de forcer une mise à jour des utilisateurs en cas d avalanche de révocation la durée de validité de la CRL est un compromis entre la fenêtre de vulnérabilité la charge réseau et serveur

106 La révocation : alternative aux CRLs Online Certificat Status Protocol (OCSP, RFC 2560) : l application interroge un serveur pour connaître la validité d un certificat c est une solution seulement pour le troisième facteur de la fenêtre de vulnérabilité, la diffusion des informations sur la compromission aux applications

107 La révocation des difficultés théoriques très connues qu on ne peut pas balayer en arguant du caractère exceptionnel de la révocation en évaluant les conséquences d une compromission de clé on conclut toujours sur la nécessité d un système de révocation

108 Conclusion sur les limites le certificat est un outil technique pour la sécurité qui n affranchit pas des mesures organisationnelles et de sensibilisation son déploiement et la formation des utilisateurs est très coûteux («20 % de technique, 80 % d organisation») des alternatives existent pour l authentification unifiée notamment les certificats restent incontournables pour la signature électronique

109 Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé

110 Directive européenne décret 1999/93/CE directive européenne concernant la signature électronique donner un cadre légal à la signature électronique et proposer un cadre communautaire faciliter l interopérabilité entre les législations des états membres

111 Motivations le développement des échanges électroniques nécessitent des moyens d authentification sûrs risques de divergence des législations nationales risque sur «la libre circulation des biens et des personnes»

112 Objectif principal rendre équivalentes du point de vue juridique la signature électronique avancée et la signature manuscrite sous réserve «que les exigences appliquées à la signature manuscrite ont été appliquées» principe de non rejet des signatures électroniques qui ne sont pas avancées

113 Contraintes la directive ne doit pas imposer de moyens techniques particuliers elle doit prendre en compte les services connexes associés à la signature sa mise en œuvre ne doit pas nécessiter d autorisation préalable

114 Contraintes elle ne doit pas violer les dispositions nationales concernant la cryptographie «il est important de trouver un équilibre entre les besoins des particuliers et des entreprises» elle ne doit pas préjuger des règles nationales concernant le droit des contrats

115 Définitions signature électronique : «une donnée sous forme électronique qui est jointe ou liée logiquement à d autres données électroniques et qui sert de méthode d authentification»

116 Signature électronique : loi du 13 mars 2000 l écrit électronique est reconnu au même titre que l écrit papier pour cela il faut que l auteur d un écrit électronique puisse être identifié d où la reconnaissance juridique de la signature électronique

117 Signature électronique le procédé de signature doit garantir : l identification du signataire l intégrité de l acte mais par défaut la fiabilité du procédé de signature électronique n est pas acquise il va falloir remplir plusieurs conditions pour une signature électronique soit présumée fiable

118 Sources de doute sur une signature électronique la clé privée du signataire est mal protégée le certificat liant l identité du titulaire et la clé publique n est pas de confiance le logiciel de création de signature n est pas de confiance le logiciel de vérification de signature n est pas de confiance

119 Type de signature Type de signature Signature électronique Signature électronique sécurisée Signature électronique sécurisée présumée fiable Validité Identification du signataire et intégrité du document Idem + Signature personnelle sous contrôle exclusif Signature sécurisée, utilisant des moyens certifiés et des certificats qualifiés Présomption de fiabilité non non oui

120 Décret du 30 mars 2001 Transposition de la directive européenne Définition de la signature présumée fiable (signature électronique sécurisée) Usage de produits certifiés Usage de certificats qualifiés

121 Décret du 18 avril 2002 Description du processus de certification des produits et systèmes Condition d agrément des organismes chargés de l évaluation

122 Arrêté du 31 mai 2002 Description du processus de qualification des prestataires de service de certification Condition d agrément des organismes d évaluation des prestataires de service de certification

123 Les différents textes de loi Loi du 13 mars 2000 Décret du 30 mars 2001 Décret du 18 avril 2002 Arrêté du 31 mai 2002 Validité de l écrit sous forme électronique Reconnaissance juridique de la signature électronique Démonstration de la fiabilité à la charge du signataire Définition de la signature électronique sécurisée présumée fiable Description du processus de certification des produits et systèmes relatifs aux technologies de l information Description du processus de qualification des prestataires de certification électronique

124 Rapport de certification Agrée Rapport d évaluation Commande Premier Ministre Certifie DCSSI ESTI Editeur Contrôle informe informe Cofrac organisme accrédité Prestataire de certification Accrédite 2ans Rapport d évaluatio Vends Dispositif de signature Certificat Vends Qualifie 1ans Signe un acte/document Utilisateur Achète

125 Limites de la réglementation

126 Horodatage garantir électroniquement la date et l heure de données cela permet : de certifier la date et l heure d une signature électronique, d un accusé de réception de renforcer les fonctions de non répudiation de la signature électronique d avoir des preuves d existence, de possession de données électroniques

127 Nécessité de l horodatage Le signataire d un document ne peut pas indiquer lui-même la date de signature dans le document signature du document signature anti-datée vérification de la signature période de validité du période document de validité électronique FAUX PARFAIT! période de période validité de du validité certificat du certificat compromission temps

128 Nécessité de l horodatage soit un certificat valide de janvier 2004 à janvier 2005 ce certificat est compromis et révoqué en juillet 2004 car une personne malveillante a volé la clé privée associée cette personne utilise la clé privée volée pour signer un contrat. Il antidate le début de période de validité du contrat en indiquant janvier 2004 dans le document cette date est antidatée mais cela ne peut être détecté : en janvier 2004, à la prétendue date de signature du contrat, le certificat utilisé pour signer était valide cela montre que dater un document signé électroniquement en écrivant la date dans le document ne permet pas de s assurer de la véritable date de signature du document

129 Limites de la réglementation signature présumée fiable très complexe à mettre en œuvre le vocabulaire est très mal choisi : «présumé fiable», «signature sécurisée» tout l arsenal juridique porte sur la présomption de fiabilité, négligeant d autres aspects importants comme l horodatage, la délégation de signature la neutralité technologique n est pas respecté : certificats cités en permanence. Ils existent d autres solutions : SPKI, signature par algorithmes symétriques

130 Usages des clés la loi n interdit pas l usage d une clé pour signer et s authentifier pourtant c est dangereux : pour authentifier un client, un serveur lui envoie un challenge que le client doit signer avec sa clé privée un attaquant pourrait monter un serveur envoyant comme challenge l empreinte d un document qu il veut faire signer par la victime

131 Unicité des noms pas d autorité de nommage des Autorités de Certication (tout le monde peut créer une AC Microsoft ou Verisign ) problème de l homonymie dans les certificats comment garantir l unicité de l identité dans un certificat?

132 Responsabilité des ACs une AC est responsable si l usage du certificat est respecté et que le montant plafond n est pas dépassé mais l AC ne contrôle pas unitairement l usage des certificats il existe une difficulté pour calculer le plafond de responsabilité. Il existe donc une difficulté pour se faire assurer une AC peut-elle exercer sans assurance? droit civil : «nul ne peut se constituer de preuve par soi même» ; doit-on externaliser son IGC?

133 Hiérarchie des ACs une entreprise possède sa propre AC non qualifiée son certificat d AC est signé par un PSC qualifié les certificats délivrés par l AC sont-ils qualifiés? la réglementation n indique pas comment interpréter des certificats dans une chaîne de certification

134 Conclusion le marché de la signature électronique ne décolle pas il n existe pas aujourd hui les outils techniques pour faire de la signature présumée fiable le domaine combine les difficultés techniques, législatives et normatives pourtant le besoin se fait sentir (spam?, marchés publiques )