Cryptographie à clé publique École de technologie supérieure (ÉTS) Département de génie électrique

Transcription

1 MGR850 Automne 2014 Cryptographie à clé publique École de technologie supérieure (ÉTS) Département de génie électrique 1

2 Plan Introduction Problème cryptographie symétrique Cryptographie asymétrique Fonctions à sens unique RSA - chiffrement RSA signature numérique Modèles d infrastructure Implementation Conclusion 2

3 Introduction Cryptologie Cryptographie Cryptanalyse Crypto symétrique Clé secrète Crypto asymétrique Clé privée - Clé publique Protocoles Chiffrement par flot Chiffrement par bloc 3

4 Introduction Cryptographie symétrique (rappel) Chiffrement et déchiffrement de données en se basant sur une clé secrète partagée entre les parties impliquées dans l échange de données 4

5 Problème cryptographie symétrique Echange de la clé secrète Rencontre personnelle. Parties de clé envoyées par des canaux séparés. La clé correspond au ou-exclusif de deux séquences envoyées séparément CANAL SECURISE 5

6 Problème cryptographie symétrique Gestion des clés Si N intervenants veulent s échanger des informations sans l aide d un tiers, chaque intervenant doit avoir une clé différente avec chacun des autres intervenants. Nombre de clés: N*(N-1)/2 => N 2 clés K(A,B) A K(A,C) B K(C,B) C K(A,D) K(D,C) K(D,B) D 6

7 Cryptographie à clé publique Concept présenté par Diffie et Hellman en 1976 Clé publique pour chaque intervenant Cette clé peut être connue de tous. Par exemple, disponible dans un répertoire accessible publiquement. Toute personne connaissant cette clé peut envoyer un message chiffré au propriétaire de cette clé. Les clés publiques doivent être distribuées de façon authentifiée. A A A B B B C C C D D D 7

8 Cryptographie à clé publique Clé privée pour chaque intervenant Doit demeurer confidentielle. Liée (mathématiquement) à la clé publique correspondante. Permet de déchiffrer tout message chiffré avec la clé publique correspondante A A B A C B B D C C Répertoire Publique D D 8

9 Cryptographie à clé publique Source: 9

10 Fonctions à sens unique (rappel) One-way functions Une fonction à sens unique est une fonction dont il est facile d obtenir le résultat mais difficile, voire impossible, à partir du résultat d obtenir les arguments initiaux. Exemples: Briser un œuf. Mélanger un pot de peinture blanche et un pot de peinture rouge. Calculer le ou-exclusif de deux chaines de bits dont une des deux chaines est aléatoire one-time pad. Utilisées en cryptographie asymétrique et dans les fonctions de hachage cryptographiques. 10

11 Fonctions à sens unique computationnelle Computationally one-way function Une fonction à sens unique computationnelle est une fonction dont il est facile d obtenir le résultat mais difficile en un temps raisonnable à partir du résultat d obtenir les arguments initiaux. Exemples: Multiplication de deux «grands» nombres premiers. 11

12 Concours élémentaire Trouver les deux facteurs premiers des produits suivants:

13 Concours RSA-640 Trouver les deux facteurs premiers du produit suivant: = Défi RSA-768, résolu en 2010 Effort de calcul: équivalent à 2000 années de calcul d une machine 2.2GHz- Opteron-CPU 13

14 Fonction à sens unique computationnelle à porte dérobée Computationally one-way trapdoor function Une fonction à sens unique computationnelle à porte dérobée est une fonction dont il est facile d obtenir le résultat mais difficile en un temps raisonnable à partir du résultat d obtenir les arguments initiaux à moins d en connaître la clé ouvrant la porte dérobée. 14

15 RSA - chiffrement Premier algorithme à clé publique proposé en 1977 par Rivest, Shamir et Adleman pour répondre aux concepts de Diffie-Hellman. Voici l idée: L idée Le Maintenant, message principale peut si est une donc de personne être séparer envoyé désire le cadenas vous publique de envoyer la puisque clé. un Vous message seul devez le récipiendaire aussi il lui suffit publier des Chaque légitime copies participant de sera d encode votre capable cadenas possède son d ouvrir message mais un cadenas le votre cadenas avec clé avec votre doit avec sa cadenas. rester clé la clé correspondante toujours pertinente secrète Source: 15

16 RSA - chiffrement Pour comprendre RSA, 3 concepts sont nécessaires: Calcul de modulo Fonction indicatrice, aussi appelée fonction phi d'euler (Euler s totient function) Théorème d Euler-Fermat φ N = # 16

17 RSA - chiffrement Basé sur une fonction à sens unique computationnelle à porte dérobée: Soient p et q deux grands nombres premiers d au moins 512 bits. Soit N = p q. Soient e et d tels que e d 1 mod φ (N). Fonction de Euler φ (N) = (p 1) (q 1). Clé publique: N et e. Généralement, e est égal à 3 ou (par choix). Clé privée: d ou (p, q) équivalent. 17

18 RSA - chiffrement Il faut d abord convertir le message à chiffrer M en nombres pour pouvoir le chiffrer: Entier entre 0 et N 1. Le chiffrement de M: C E e M M mod N e, N Le déchiffrement du cryptogramme: M D C d, N C d mod N Note: connaissant p et q, il existe un autre algorithme de déchiffrement plus efficace utilisant le théorème du reste chinois (CRT). Mais c est la version longue de l histoire. 18

19 19 RSA - chiffrement N M M E C e N e mod, N M N M C d e d e d mod mod ) ( l N N l d e M M M M ) ( ) ( ) ( 1 ) ( mod 1 N e d ) ( 1 N l e d M N mod N 1 ) ( Selon le théorème d Euler-Fermat N M C d mod

20 Exercice RSA - chiffrement A B C D Z Message à crypter M = secret Clé publique (5,91) = (e,n) Chiffrer M C E e M M mod N e, N S E C R E T Cryptogramme C Déchiffrer C sachant que la clé privée est (d,n)= (29,91) 20

21 RSA - chiffrement Bien que l algorithme soit simple, il est très coûteux en terme de ressources. Par exemple, une carte à puce peut calculer Une itération AES ou DES en 1 à 5 millisecondes (voir nanosecondes avec un accélérateur matériel) Un déchiffrement RSA (utilisant la version CRT et un accélérateur matériel) en millisecondes!!! Personne n a encore trouvé comment: Calculer d avec l aide de e sans avoir une connaissance de la factorisation de N Déchiffrer le cryptogramme sans la connaissance de la clé privée d. 21

22 RSA - chiffrement En pratique, RSA n est pas utilisé pour le chiffrement des messages, mais plutôt pour l échange sécuritaire de clés de sessions pour le chiffrement symétrique (Hybrid cryptosystem) Système hybride Le message est chiffré rapidement grâce à une clé secrète DES ou AES, qui ne sert que pour un message. C est une clé de session. La clé de session est chiffrée grâce à un algorithme de cryptographie à clé publique tel que RSA. Autre alternative: La clé de session est obtenue grâce à un protocole d échange de clé tel que Diffie-Hellman (voir CrypTool). 22

23 Échange de clé avec RSA Supposons qu Alice veuille envoyer un message M à Bob. Alice choisit une clé de session K au hasard (p.e. DES 56 ou 112 bits.) Alice chiffre le message M avec cette clé K. Texte en clair M 64 bits 64 bits K DES K DES 64 bits 64 bits Cryptogramme du message Alice chiffre K avec la clé publique de Bob. Bob [ Padding sans 00 ] 00 Clé K RSA longueur de la clé N Alice envoie les deux cryptogrammes à Bob. Cryptogramme 23

24 Problèmes Cryptographie Asymétrique Alice: Voici ma clé publique Bob: Voici la clé de session chiffrée C C Clés publiques doivent être certifiées comme étant authentique. 24

25 Signature numérique (Digital signature) La signature numérique permet de: S assurer de l intégrité du message; Vérifier l origine du message (non-repudiation). L authentification d un message grâce à un Message Authentication Code (MAC) permet au destinataire de vérifier l intégrité du message et l authenticité de l envoyeur. Toutefois, il n est pas possible de déterminer si l envoyeur ou le destinataire a réellement envoyé le message. Puisque les deux intervenants possèdent la clé secrète utilisée pour calculer le MAC, ils peuvent être tous les deux l envoyeur. 25

26 RSA- Signature numérique La signature digitale RSA est la notion duale du chiffrement RSA. La signature du message M: Signature D Puisque le signataire est le seul possédant sa clé privée, il est le seul pouvant signer. La vérification de la signature: Message E d M M mod N d, N e Signature Signature mod N e, N Puisque tous les intervenants peuvent obtenir la clé publique, ils peuvent tous vérifier la signature. 26

27 Infrastructures à clé publique La cryptographie à clé publique repose essentiellement sur l authenticité des clés publiques. Pour s assurer de l authenticité des clés publiques: Sources non-réfutables en qui les intervenants peuvent avoir confiance. 27

28 Modèles d infrastructure Modèle hiérarchique Infrastructure à clé publique (ICP) Public key infrastructure (PKI). Utilisé par les organismes commerciaux et gouvernementaux. Réseau de confiance (Web of trust) Modèle distribué sans autorité centrale. Utilisé par le logiciel PGP. 28

29 Modèle hiérarchique Ce modèle repose sur une autorité certifiant les clés des divers intervenants. Le rôle de l autorité de certification (Certification Authority CA) est de s assurer de la validité de la correspondance entre un nom d une personne et une clé publique. Le CA émet des certificats X.509 aux personnes qu elle a pu authentifier. Une personne faisant confiance à un CA devrait pouvoir identifier toutes les personnes authentifiées par ce CA. 29

30 Modèle hiérarchique Certificats X.509v3 Certificate Version Serial Number Algorithm ID Issuer Validity Not Before Not After Subject Subject Public Key Info Public Key Algorithm Subject Public Key Issuer Unique Identifier (Optional) Subject Unique Identifier (Optional) Extensions (Optional) Certificate Signature Algorithm Certificate Signature Identification de la personne Signature du contenu par le CA 30

31 Modèle hiérarchique Certificat du CA Distribution du certificat du CA à tous les intervenants. Certificat auto-signé c.-à-d. que le CA signe son propre certificat. Le certificat est distribué de façon sécurisée p.e. avec le système d exploitation. 31

32 Modèle hiérarchique Certificat du client Chaque intervenant s inscrit au CA afin qu il puisse être identifié par un autre intervenant. L intervenant reçoit un certificat l identifiant signé par le CA. Alice Voici mon nom, ma clé et mes preuves Voici le certificat X.509 d Alice signé par CA 32

33 Modèle hiérarchique Identification Chaque intervenant ayant un certificat peut «prouver» son identité à tout autre intervenant ayant confiance au CA. Validation du certificat d Alice grâce au certificat du CA. Voici mon nom et ma clé (voici mon certificat) J accepte votre certificat Bob peut posséder le certificat de plusieurs CA afin de pouvoir identifier plusieurs intervenants. 33

34 Modèle hiérarchique La hiérarchie Afin de permettre une plus grande flexibilité, les CA peuvent s organiser en hiérarchie. Il suffit alors de faire confiance au root CA pour identifier tous les intervenants. Root CA Certificate chain 34

35 Modèle hiérarchique Certificate chain Une chaîne de certificats est composée: Du certificat de l intervenant Du certificat du CA 1 qui a authentifié l intervenant Du certificat du CA 2 qui a authentifié CA 1 Du certificat du CA 3 qui a authentifié CA 2 Du certificat du Root CA qui a authentifié CA k Ainsi, tout intervenant ayant le certificat du Root CA peut remonter la chaîne et identifier l intervenant initial. La confiance est transitive. 35

36 Modèle hiérarchique Problèmes Comment identifier et authentifier un intervenant pour un CA? Niveaux de certificats Comment distribuer de façon sécurisée le certificat d un Root CA? Comment faire pour révoquer un certificat? Vérification en ligne? Comment intégrer les certificats dans une application usager? Quel usager a les compétences pour comprendre et analyser un certificat? 36

37 Modèle du réseau de confiance Ce modèle du réseau de confiance est simple et sans autorité centrale. C est le modèle qu utilise PGP Pretty Good Privacy. Chaque intervenant construit son réseau de confiance. Il peut décider de faire confiance à un autre intervenant qui lui donne directement son certificat. Par exemple, vérification de l empreinte du certificat par téléphone. Il peut décider de faire pleine confiance à tout intervenant «connu» par un autre intervenant en qui il a pleine confiance. Plusieurs variantes de cette règle existent: Doit être connu par plus d un intervenant en qui il a pleine confiance. Peut avoir une confiance relative en ce nouvel intervenant. 37

38 Modèle du réseau de confiance Problèmes Est-ce que les amis de mes amis sont mes amis? Idéal pour un milieu informel, mais non pour une application où le cadre juridique est important. Bancaire Gouvernemental 38

39 Notions en vrac Près de 30 ans de recherche Elliptic-Curve Cryptosystem Systèmes cryptographiques très performants (longueurs de clé) Cryptosystème ElGamal Algorithme de chiffrement et de signature basé sur le problème du logarithme discret. DSA Digital Signature Algorithm Standard américain basé sur une variante de ElGamal Cryptosystème de Rabin Cryptosystème de Paillier Cryptographie à clé publique probabiliste Algorithmes à divulgation nulle (Zero-knowledge proofs) 39

40 La cryptographie mais où? IPSec + IKE (Internet Key Exchange) Authentification du serveur + Échange de clé Signature RSA, DSA, Chiffrement (AES, 3DES, DES, ) de la communication SSL/TLS Authentification du serveur + Échange de clé RSA, DH, Chiffrement (AES, 3DES, DES, ) de la communication 40

41 La cryptographie mais où? SSH Authentification du serveur + Échange de clé DH Empreinte de la clé publique présentée à l usager Configuration de la clé publique du serveur sur le poste client Certificat à clé publique Authentification du client (facultatif) Chiffrement (AES, 3DES, DES, ) de la communication Client courriel Outlook, PGP Signature des messages RSA, DSA Chiffrement des messages AES, 3DES, DES, 41

42 Conclusion La cryptographie est un outil essentiel afin de s assurer de la confidentialité, de l authenticité et de l intégrité des actifs informationnels. Règle d or #1 : ne jamais développer un nouvel algorithme cryptographique. Utiliser ceux qui sont disponibles depuis un certain temps. «Older is better». Règle d or #2: avant de déployer une solution cryptographique, il faut comprendre l architecture de sécurité et son implémentation: Confiance en qui? Gestion adéquate des clés (génération, entreposage, rotation, ) Implémentation logicielle et ses vulnérabilités 42

43 Signature vs chiffrement Source de l image: 43