La sécurité par le chiffrement

Transcription

1 Université Paris-Est Créteil Val de Marne Faculté Administration et échanges internationaux Master 2 - AEI Spécialité Commerce Electronique Sécurisation des réseaux & télécoms Polycopie 2013/2014 Page 1

2 Contenu du chapitre 1. Les fondamentaux et la 2. Les infrastructures à clef publique (PKI) 3. Mise en application de la : SSL et S/MIME Page 2

3 La genèse de la notion de sécurité La naissance de la sécurité est généralement associée à l'art de la guerre et à celui de l'espionnage. Depuis longtemps, les hommes ont essayé de se protéger de leurs ennemis en construisant des fortifications, des châteaux forts, et plus tard des bunkers et abris antiatomiques. Le besoin fondamental adressé par ce type de sécurité était de se garantir contre les risques d'intrusion destinés à prendre le contrôle ou à détruire une communauté. On retrouve la notion de sécurité dans un contexte guerrier avec l'espionnage. En effet, dès l'antiquité, les chefs de guerre ont ressenti le besoin de transmettre des informations confidentielles à leurs troupes et ont ainsi cherché des moyens de s'assurer du caractère indéchiffrable de ces informations. Un exemple fameux est celui de la scytale spartiate utilisée par les Grecs au Ve siècle avant Jésus Christ. Son principe était le suivant: le commandant enroulait un ruban de parchemin autour d'une sorte de bâton cylindrique, puis écrivait son message sur le support ainsi créé. Le parchemin était ensuite transmis à plat, sous une forme illisible. À l'arrivée, un soldat disposant d'un, bâton identique enroulait à nouveau le parchemin, et pouvait relire le message. La scytale était ainsi une sorte de clef de chiffrement. Page 3

4 À partir de la Renaissance, sont apparus des mécanismes de chiffrement basés sur la permutation de lettres, puis sur les mathématiques, comme le montreront les paragraphes sur la. Ces outils, appelés chiffres, se complexifiaient un peu plus à chaque fois qu'ils étaient vaincus. Le besoin de s'assurer de l'identité de son interlocuteur correspond à la même époque et au même contexte guerrier. Ainsi un roi confiait à son messager un objet unique et reconnaissable (comme un bijou rare) afin de lui assurer la confiance de son hôte. L'hôte appliquait le principe suivant: la confiance que j'accorde au roi est étendue au porteur de l'objet qu'il a confié à son messager. Aujourd'hui, les papiers d'identité et les passeports émis par les états assurent le même rôle. La naissance de l'écrit au cours de l'antiquité a fait apparaître le problème de sa permanence. Jusqu'alors, les textes fondateurs, comme l Iliade, étaient transmis par la parole avec un important risque d'altération. L'écrit a permis d'avoir pour la première fois une référence figée dans le temps et fiable. C'est ainsi que sont apparues les premières bibliothèques, comme celle d'alexandrie qui ont rapidement été confrontées au problème de la conservation de ces documents dans de bonnes conditions de sécurité, c'est-à-dire à la non altération de l'information qu'ils contenaient. Page 4

5 Dans l'exemple d'alexandrie, cette démarche de conservation a été mise en échec lors de son incendie en 47 avant Jésus Christ. Inscription du besoin en sécurité dans le cadre informatique Ce chapitre présente les fondamentaux de sécurité à prendre en considération dans le cadre d'un développement informatique. Dans le cadre de la sécurisation d'une architecture Web, on retrouve la problématique du chiffrement des données, le plus souvent lorsque ces dernières sont amenées à circuler sur Internet dans le cadre de communication avec des partenaires. Ce chiffrement peut être assuré au niveau de la couche transport, ou bien au niveau de la couche application par des algorithmes cryptographiques implémentés dans des composants spécifiques, dans chacun des langages éligibles au développement d'applications (Java,.NET, PHP, etc.). Ces composants peuvent faire partie du framework de base du langage, être vendus par des éditeurs, ou encore être mis à disposition par la communauté Open Source. Le besoin de s'assurer de l'identité de son interlocuteur est généralement résolu en informatique par la saisie d'un identifiant et d'un mot de passe, ou par la présentation d'un certificat numérique. Page 5

6 Ce dernier joue alors en quelque sorte le rôle d'une carte d'identité électronique. Les certificats sont décrits dans le chapitre sur les infrastructures à clef publique. Dans le monde numérique, la problématique de conservation des informations est différente de celle du monde réel. En effet, l'information numérique est décorrélée de son support physique du fait qu'elle peut être recopiée à l'infini sans altération du contenu. Ainsi un support donné n'est plus qu'un maillon temporel dans la vie d'une information potentiellement éternelle. Une base de donnée métier d'entreprise pourrait en conséquence perdurer pendant des siècles si l'on respectait les bonnes pratiques de réplication régulière des données. Cette méthode de sécurisation repose sur les architectures de sauvegarde utilisant des automates de réplication sur disque ou sur bande, des disques montés en grappes. Ces principes sont liés à l'administration et la maintenance des systèmes informatiques Sur le plan logiciel, il existe d'autres mécanismes permettant de s'assurer de la non altération des informations. Ces mécanismes peuvent utiliser le calcul de parité ou le calcul d'empreinte. Page 6

7 » Le principe de la parité consiste à calculer, pour chaque octet, le produit logique de ses bits afin d'obtenir un bit supplémentaire appelé bit de parité (Ex: pour , le bit de parité est 1 AND 0 AND 1 AND 0 AND 0 AND 1 AND 1 AND 1 = 0).» Le calcul d'empreinte utilise quant à lui des mécanismes plus complexes basés sur des algorithmes spécifiques. On peut ainsi décomposer les besoins en sécurité des architectures Web en grandes familles:» la sécurité des infrastructures physiques,» la sécurité des échanges,» la sécurité des accès à des systèmes ou à des applications,» et la sécurité des informations en termes de protection contre l'altération. Définition de la Le mot vient des mots grecs kruptos, qui signifie caché, et graphein, qui signifie écrire. Il désigne l'ensemble des procédés permettant de transformer un message en clair en un message chiffré ou crypté, par le moyen de codages convenus entre l'émetteur et le destinataire du message. Le texte reçu n'est en principe compréhensible que par son destinataire qui seul connaît la méthode de décodage. La suite de ce chapitre a pour objectif de présenter les standards du chiffrement. Page 7

8 Il aborde tout d'abord rapidement l'histoire de la et l'évolution vers les principaux algorithmes cryptographiques actuels. Avant de commencer, il est nécessaire de définir quelques termes:» On appelle cryptographes les spécialistes du chiffrement qui manient les codes et les améliorent afin de préserver leur opacité.» Leurs ennemis sont appelés cryptanalystes : ce sont les personnes chargées de briser les codes afin de pénétrer les messages confidentiels.» Tout mécanisme cryptographique est basé sur un algorithme et une clef. L'algorithme est le principe logique utilisé pour chiffrer, tandis que la clef est l'information qu'il faut posséder pour pouvoir chiffrer et déchiffrer. Dans le cas de la scytale spartiate, l'algorithme est le principe d'enroulement, la clef est la scytale ellemême. Dans les exemples suivants, on utilisera des minuscules pour écrire le message en clair, et des majuscules pour présenter le message chiffré. L enfance de la Le premier objectif de la est d'assurer la confidentialité des échanges en rendant des messages chiffrés illisibles par l'ennemi. Page 8

9 Les premiers systèmes cryptographiques étaient souvent basés sur des astuces utilisant des objets spécifiques (la scytale par exemple) et leur usage était difficile à généraliser dans de bonnes conditions de sécurité. De ce fait, il a fallu rapidement inventer des principes recourant uniquement à des transformations sur des textes, et donc indépendants de leur support physique. Deux familles de systèmes firent ainsi leur apparition: la par transposition et la par substitution. La par transposition» Le principe de la par transposition est simple.» Il s'agit, à partir du texte à chiffrer, d'opérer un décalage des lettres d'un nombre prédéfini de lettres.» Exemple: chiffrement d'une phrase par transposition de 3 lettres.» La guerre de Troie n'aura pas lieu OD JXHUUH GH WURLH Q'DXUD SDV OLHX» Algorithme: principe de transposition Clef: 3» Le principe de transposition est facile à comprendre et à utiliser.» Les écoliers l'utilisent par jeu.» Il a cependant un défaut: il n'existe que 25 transpositions possibles. Page 9

10 » Il suffit donc de les essayer toutes pour retrouver le message chiffré.» Les cryptographes durent donc chercher un mécanisme plus complexe pour préserver leurs secrets. La par substitution» La par substitution consiste non plus à décaler simplement des lettres mais remplacer une lettre par une autre en suivant une règle définie par la clef.» La clef va ainsi définir un alphabet opaque qui sera utilisé pour écrire le message chiffré.» Un exemple de clef pour la substitution: Alphabet normal: abc d e f g h i j k l m n o p q r s t u v w x y z Une clef possible: T R Q G F H A P Y X 0 E L Z D J K N U M C W S B I V» Le texte précédent chiffré avec cette clef:» La guerre de Troie n'aura pas lieu ET ACFNNF GF MNDYF Z'TCNT KTU EYFC Algorithme: principe de substitution Clef: voir ci dessus Avec la par substitution, il existe autant de clefs possibles que de combinaisons de lettre de l'alphabet, soit environ 4 X Il devient donc inenvisageable de tester toutes les clefs, à une époque où les ordinateurs n'existent pas. Page 10

11 Un problème subsiste: celui de la mémorisation de la clef. Il peut être résolu assez simplement en utilisant une phrase facile à mémoriser. Cette phrase sera alors débarrassée de ses lettres en double, complétée par les lettres de l'alphabet inutilisées et placées dans l'ordre alphabétique. Exemple de clef facile à retenir: Prenons comme clef: Jean Giraudoux Une fois débarrassée des lettres en double: JEANGIRUDOX La clef complète donne donc: J E A N G I R U D 0 X B C F H K L M P Q S T V W Y Z Le texte précédent chiffré avec cette clef: La guerre de Troie n'aura pas lieu BJ RSGMMG NG QMHBG F'JSMJ KJP BDGS Algorithme: principe de substitution Clef: Jean Giraudoux Il devient ainsi facile pour quiconque d'appliquer le principe de substitution avec une clef banalisée. Cependant, les cryptanalystes ont vite su tirer parti du défaut du principe de substitution. S'il mélange bien les lettres, il fait toujours correspondre la même lettre chiffrée à une lettre en clair. Page 11

12 Sachant, que certaines lettres sont plus souvent utilisées que d'autres (comme le «e» dans la langue française), il est donc possible d'appliquer des principes statistiques pour reconstituer la clef dans le cas de textes longs. Ainsi, les cryptanalystes ont utilisé le principe d'analyse des fréquences en se basant sur des statistiques faites à partir de romans ou de journaux. Par exemple, en français, ces statistiques donnent les occurrences suivantes: E: 15,8 %, A: 9,4 %, S: 7,9 %, etc. Il est ainsi possible de faire des recoupements en se basant sur les statistiques sur les textes chiffrés. Le principe de substitution a aussi été utilisé en remplaçant non plus des lettres, mais des mots entiers. Dans ce mode d'utilisation, la clef de déchiffrement est une sorte de dictionnaire qui met en regard des listes de mots. La limite de cet usage de la substitution est qu'il faut s'échanger non plus une phrase facile à mémoriser mais un fascicule de correspondance. Cette contrainte d'échange a poussé les cryptographes à chercher un nouveau système résistant à l'analyse des fréquences et fonctionnant avec une clef mémorisable par un cerveau humain. Page 12

13 Une quasi-parfaite: le chiffre de Vigénère Le chiffre de Vigenère porte le nom de son inventeur Blaise de Vigenère. Il a été créé au milieu du XIVe siècle. Il est basé sur la par substitution mais il en complexifie l'usage pour lutter contre l'analyse des fréquences. Il utilise pour cela un tableau alphabétique appelé carré de Vigenère. Ce tableau est composé de 26 lignes correspondant à des alphabets décalés d'une lettre (cf. figure 1.1). Page 13

14 Le chiffrement de Vigenère utilise comme clef un mot ou une phase quelconque. Son principe est le suivant: on utilise le mécanisme de substitution en changeant de ligne pour chaque lettre, les règles de changement étant dictées par la clef. L'emplacement des lettres de la clef dans la colonne située sous la lettre «a» donne la ligne à utiliser pour chiffrer. Lorsqu'on a parcouru tous les caractères de la clef, on reboucle. Si la clef est JEAN, le premier caractère sera chiffré avec la ligne 9, le second avec la ligne 4, le troisième avec la ligne 26, le quatrième avec la ligne 13, le cinquième avec la ligne 9, le sixième avec la ligne 4, etc. (voir figure 1.2). Page 14

15 Notre texte chiffré avec l'algorithme de Vigenère : La guerre de Troie n'aura pas lieu UE GHNVRR MI TEXME A'JYRN YES YRIU Algorithme: Vigenère Clef: Jean L'algorithme de Vigenère s'est révélé extrêmement efficace pour lutter contre les cryptanalystes. Il n'a pu être cassé qu'au milieu du XIXe siècle. Cependant, on s'est rendu compte qu'en employant une phrase aussi longue que le texte à chiffrer, il redevenait quasi-indéchiffrable. On l'a encore renforcé au cours de la première guerre mondiale en utilisant des clefs aléatoires à usage unique. S'est alors posé un nouveau problème, celui de générer en quantité des clefs réellement aléatoires. En effet, avant l'ère de l'informatique, ce type de clef devait être généré manuellement. L'opérateur chargé de les créer pouvait avoir des automatismes involontaires, comme par exemple utiliser les lettres de son nom, et il était difficile de s'assurer du caractère réellement aléatoire des clefs générées. Une autre difficulté résidait dans la distribution de ces clefs. En effet, il fallait d'une part générer des quantités énormes de clefs aléatoires, du fait que leur usage était unique. Page 15

16 D'autre part il fallait les faire parvenir aux deux équipes de chiffreurs et de déchiffreurs. Cependant malgré ces problèmes, c'est seulement avec l'arrivée des premiers calculateurs informatiques qu'on a pu mettre au point des algorithmes réellement plus efficaces que celui de Vigenère. La numérique Les systèmes de cryptage numériques sont apparus à la suite de l'invention de la TSF, qui a permis d'échanger des messages par ondes radio. Ces transmissions échangées par voie aérienne étaient inévitablement interceptées par l'ennemi, il était donc indispensable de les chiffrer. De ce fait, il a fallu créer de nouveaux systèmes de. Les messages à chiffrer n'étaient plus traités caractères par caractère mais transformés en code binaire en utilisant les codes ASCII (American Standard Code for Information Interchange) correspondants à ces caractères. Rappelons que l'ascii code les caractères sur 7 bits, par exemple: A = , B = , etc. Page 16

17 Les premiers algorithmes utilisés pour chiffrer ces messages numériques étaient fondés sur une méthode de brouillage par permutation et sur le principe de substitution. Ainsi, on faisait subir un certain nombre de permutations à des blocs d'octets avant de les chiffrer selon le principe de substitution. L'un des plus fameux systèmes de chiffrement de ce type fut la machine Enigma utilisée par l'allemagne nazie lors de la seconde guerre mondiale. Ces algorithmes ont été perfectionnés peu à peu avec la montée en puissance des calculateurs. Un des algorithmes de ce type le plus remarquable fut inventé par IBM au début des années 70. Il se nommait Lucifer. La NSA (National Security Agency) est l'organisme central qui gère les usages de la militaire aux États-Unis. Dans les années 70, face à l'utilisation grandissante des ordinateurs et du chiffrement par les entreprises américaines, la NSA a cherché à définir un standard cryptographique pour permettre l'interopérabilité des systèmes. Ce standard, créé à partir de Lucifer, fut établi en 1976 sous le nom de DES (Data Encryption Standard, standard de cryptage de données). DES est très efficace et c'est seulement à la fin du XX e siècle qu'on a songé à le remplacer. Page 17

18 La longueur des clefs utilisée par DES est de 56 bits. Il existe une variante appelée triple DES qui revient à l'utilisation de l'algorithme trois fois de suite, en utilisant des clefs à 168 bits. DES fut le premier algorithme numérique utilisé de façon industrielle. C'est aussi le précurseur des algorithmes à clef secrète. On entend par algorithme à clef secrète, un algorithme qui utilise la même clef pour le chiffrement et le déchiffrement. Parmi les fondamentaux de la sécurité, ce type d'algorithme assure la confidentialité des échanges. Il nécessite bien entendu un échange préalable de la clef entre les interlocuteurs. La sécurité du système est basée sur la sûreté de l'échange, puis sur le confinement de la clef par les deux interlocuteurs. Son principe de fonctionnement est le suivant:» Alice et Bernard conviennent ensemble d'une clef secrète pour échanger leurs documents, dont ils auront chacun une copie.» Puis, lorsque Alice veut envoyer un document à Bernard, elle le chiffre avec la clef symétrique.» À l'arrivée, Bernard utilisera cette même clef pour déchiffrer le document. Si Ève réussit à intercepter le document, elle ne pourra le déchiffrer sans la clef secrète. Page 18

19 DES offrait dans les années 70 un très bon niveau de sécurité car il n'existait pas d'ordinateur assez puissant pour le casser. Cependant, on va rapidement s'apercevoir que l'échange des clefs constitue un problème crucial. Page 19

20 En effet, ces dernières étaient livrées la plupart du temps par des coursiers ce qui introduisait une faille dans le système. Un coursier malhonnête pouvait mettre en danger la sécurité des échanges. De plus, les coûts logistiques engendrés par ces livraisons devinrent vite prohibitifs. Dans les années qui suivirent, les chercheurs en travaillèrent donc à résoudre l'épineux problème de l'échange des clefs. DIFFIE HELMAN: La sécurisation de l échange des clefs La problématique de l'échange des clefs sera résolue en 1976 par Whitfield Diffie et Martin Hellman. Ils mirent au point un algorithme qui porte leur nom et qui permet d'échanger une clef à distance en toute sécurité. Le principe de cet algorithme est le suivant:» Alice veut transmettre une clef à Bernard pour pouvoir échanger des documents confidentiels. Elle crée donc une clef, par exemple de manière aléatoire, puis la chiffre avec une clef qu'elle garde secrète.» Elle envoie cette clef chiffrée à Bernard.» Bernard rechiffre la clef chiffrée avec sa clef secrète, puis transmet la clef surchiffrée à Alice.» Alice opère alors un déchiffrement de sa partie du chiffrement de la clef (le mécanisme exact est plus complexe, mais le principe est celui-ci). Page 20

21 La clef devient alors déchiffrable avec la clef que seul Bernard possède.» Elle l'envoie donc à Bernard qui la déchiffre.» Ils disposent ainsi tous les deux d'une clef secrète qui n'a à aucun moment circulé en clair. Si Ève a réussi à intercepter l'un ou l'autre des échanges, elle est incapable de restituer la clef secrète. Diffie et Hellman ont ainsi donné une réponse complète à la problématique de l'échange de données confidentielles. Les paragraphes suivants abordent la résolution des problématiques d'intégrité et d'authentification/nonrépudiation. Page 21

22 Le calcul d empreinte Les algorithmes de calcul d'empreinte sont aussi appelés algorithmes de hachage. Ils ont été inventés pour répondre à la question de l'intégrité. On verra qu'ils sont aussi utilisés pour la signature numérique. Leur principe est le suivant: à partir d'un document donné, on applique un certain nombre de transformations qui débouchent sur une chaîne de caractères à taille fixe. Cette chaîne est appelée empreinte du document. Si l'on parle aussi de hachage c'est parce qu'on réduit un document qui peut être important en une succession de caractères à taille finie. Le premier intérêt des algorithmes de calcul d'empreinte est qu'ils associent à un document donné une empreinte unique et qu'il est quasiment impossible d'avoir deux documents avec la même empreinte. Pour qualifier cette propriété des algorithmes de hachage de bonne qualité, on parle en général de faible taux de collision. Il existe donc une relation de parité entre le document et son empreinte (cf. figure 1.5). Le second intérêt des algorithmes de calcul d'empreinte est qu'il est impossible de restituer le document à partir de son empreinte. Page 22

23 On parle en général de non-réversibilité (figure 1.5). Les algorithmes de calcul d'empreinte permettent ainsi un chiffrement irréversible qui peut se révéler intéressant dans certains cas. Un de leurs usages les plus classiques est le stockage des mots de passe en base de données ou dans les systèmes d'exploitation. Lorsqu'un utilisateur s'authentifie en présentant son mot de passe, on calcule l'empreinte de ce dernier et on la compare à celle qui est stockée. Page 23

24 Si elles sont identiques, l'utilisateur est authentifié. Il est ainsi impossible de restituer le mot de passe d'un utilisateur. S'il est oublié, la seule alternative pour l'administrateur du système sera de le changer. Le hachage offre donc un très bon niveau de sécurité pour le stockage des mots de passe. Le hachage satisfait aussi l'un des objectifs fondamentaux décrits dans le début de ce chapitre: l'intégrité. En effet, grâce au calcul d'empreinte, on peut s'assurer qu'un document n'a pas été altéré lors de son transport d'un point à un autre. Page 24

25 Alice veut transmettre un document à Bernard en lui garantissant son intégrité. Pour cela, elle calcule l'empreinte de son fichier, puis envoie simultanément document et empreinte. À réception, Bernard recalcule l'empreinte du document et la compare à celle que lui a envoyée Alice. Si le document a été altéré en cours de route, par exemple à cause d'une action de malversation d'ève, Bernard le découvrira en comparant les empreintes. Notons que le document n'est pas ici chiffré: Ève peut donc prendre connaissance de son contenu. Les paragraphes suivants montreront comment le calcul d'empreinte est utilisé en complément des algorithmes de à clef publique pour fabriquer la signature numérique. RSA: La à clé publique Les parties qui précèdent ont montré que la à clef secrète résout la problématique de la confidentialité (en particulier grâce à DES), que Diffie et Hellman ont solutionné le problème de l'échange des clefs, et que les algorithmes de calcul d'empreinte permettent de garantir l'intégrité des documents. Cependant, elles n'ont pas solutionné la problématique d'authentification/nonrépudiation. Page 25

26 En effet, lorsqu'alice transmet une clef à Bernard en utilisant l'algorithme de Diffie Hellman, rien ne garantit à Bernard qu'il communique bien avec Alice et non avec un escroc qui se ferait passer pour Alice. De plus, les documents qu'alice envoie à Bernard ne l'engagent en rien puisque ce dernier ne peut prouver que c'est bien elle qui les lui a envoyés. Par ailleurs, l'échange des clefs, même s'il est opéré dans des bonnes conditions de sécurité, pose toujours un problème: celui du stockage des clefs secrètes. En effet, lorsqu'on confie sa clef à plusieurs interlocuteurs, on n'a aucune garantie sur le soin qu'ils mettront à la conserver sous forme sécurisée. Ainsi, plus une clef est distribuée à un nombre important de partenaires, plus elle risque d'être divulguée. Diffie et Hellman n'ont donc pas résolu tous les problèmes des cryptographes. Les chercheurs en ont donc proposé d'utiliser un nouveau mécanisme, celui de la à clef publique, ou clef asymétrique. Son principe est le suivant: chacun possède une paire de clefs (ou bi-clef), dont l'une, appelée clef privée, doit être gardée secrète, tandis que l'autre, appelée clef publique, peut être distribuée à tous. Chaque clef privée est associée à une clef publique unique et il est quasiment impossible d'avoir deux clefs publiques identiques. Il existe ainsi une relation de complémentarité entre les deux clefs de la bi-clef (figure 1.7). Page 26

27 Tout document chiffré avec une clef publique peut être déchiffré avec la clef privée correspondante. De la même façon, tout document chiffré avec une clef privée peut être déchiffré avec la clef publique correspondante. Lors d'un échange de données confidentielles, la clef publique sert à chiffrer, la clef privée sert à déchiffrer. Le fonctionnement est donc le suivant:» Si Alice veut envoyer un document confidentiel à Bernard, elle doit tout d'abord se procurer sa clef publique. Page 27

28 Cette récupération est simple puisque Bernard met sa clef publique à disposition de tous. Alice pourra donc la récupérer auprès d'un tiers qui la détient.» Avant d'envoyer son document, Alice va le chiffrer avec la clef publique de Bernard.» Bernard pourra ensuite le déchiffrer avec sa clef privée dont il est le seul détenteur. Si Ève réussit à intercepter le document, elle ne pourra le déchiffrer sans cette dernière clef. Le premier algorithme à clef publique a été inventé en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman. Ils l'ont baptisé de leurs trois initiales: RSA. Page 28

29 Le principe de RSA est basé sur la décomposition de grands nombres en facteurs premiers. Il est, depuis les années 70, l'algorithme standard pour la à clef publique. La à clef publique permet ainsi d'assurer la confidentialité des échanges de même que la à clef secrète. Sa grande force réside dans le fait que l'on peut l'utiliser «à l'envers» pour assurer l'authentification de son interlocuteur. Ce mécanisme est présenté dans le paragraphe suivant. La signature numérique L'utilisation «à l'envers» de la à clef publique permet d'authentifier son interlocuteur. Ainsi, Alice peut chiffrer un document avec sa clef privée pour prouver qu'elle est bien l'émettrice de ce document. Bernard pourra alors déchiffrer le document avec la clef publique d'alice qu'il aura préalablement récupérée. S'il parvient effectivement à le déchiffrer avec cette dernière clef publique, il aura la certitude que le document provient bien d'alice, seule détentrice de la clef privée correspondante. Ainsi on peut garantir l'origine d'un document. On a ainsi jeté les bases du principe d'authentification. Page 29

30 La signature numérique utilise ce principe avec en complément un calcul d'empreinte:» Lorsqu'Alice veut signer électroniquement un document, elle commence par calculer son empreinte.» Ensuite, elle chiffre cette empreinte avec sa clef privée, puis envoie simultanément à Bernard le document et l'empreinte.» Bernard recalcule l'empreinte à partir du document original, puis il déchiffre l'empreinte envoyée par Alice avec la clef publique de cette dernière qu'il aura préalablement récupérée.» Il compare alors les deux empreintes. Si elles sont identiques, il a la garantie que le document n'a pas été altéré et que c'est bien Alice qui l'a envoyé. Si Ève a intercepté et modifié le document, Bernard s'en rendra compte immédiatement. La responsabilité d'alice est ainsi engagée: en effet, elle ne pourra nier avoir envoyé ce document car elle est la seule à posséder la clef privée qui a servi à le signer. Ce mécanisme est appelé principe de nonrépudiation. Notons que n'importe qui pourra vérifier la signature apposée par Alice sur le document. Elle s'est donc engagée aux yeux de tous. Page 30

31 La signature numérique offre les garanties suivantes:» la signature authentifie le signataire;» la signature ne peut être imitée;» la signature appartient à un seul document;» le document signé ne peut être modifié;» la signature ne peut être reniée. Elle solutionne la problématique d'authentification / non-répudiation. Bilan: Réponse des algorithmes aux fondamentaux On a vu au cours des paragraphes précédents que: Page 31

32 » Les algorithmes de à clef secrète répondent au besoin de confidentialité.» L'algorithme de Diffie Hellman vient en complément des algorithmes de à clef secrète pour résoudre le problème de l'échange des clefs.» Les algorithmes de calcul d'empreinte répondent au besoin de garantie sur l'intégrité.» Les algorithmes de à clef publique répondent au besoin de confidentialité, et d'authentification /non-répudiation.. Le tableau 1.1 présente les principaux algorithmes de chacune de ces familles. Dans la pratique, les algorithmes à clef secrète les plus utilisés aujourd'hui sont 3DES, AES et la famille RC AES (Advanced Encryption Standard) est le remplaçant officiel de triple DES pour les administrations américaines: il a été désigné en 2000, à la suite d'un concours cryptographique, comme nouvel algorithme standard. La mise à la retraite de triple DES est liée à l'augmentation de la puissance de calcul des ordinateurs qui rendent possible sa cryptanalyse. Dans les faits, ce dernier est encore beaucoup utilisé car il est implémenté dans de nombreux logiciels et la transition vers AES se fait progressivement. Page 32

33 Page 33

34 Les algorithmes RC 4 et RC5 sont utilisés lorsque le besoin de rapidité de chiffrement est critique. Son champ d'application est plutôt la persistance de données, tandis que triple DES et AES sont utilisés pour chiffrer les échanges. Dans le domaine du hachage, MD4 est tombé en désuétude, MDS est encore utilisé même si son taux de collision est non négligeable, et SHAI est considéré par tous comme l'algorithme le plus fiable. Les algorithmes à clef publique RSA et OSA offrent un niveau de sécurité similaire. SA est aujourd'hui beaucoup utilisé. Son concurrent OSA est plus rapide et commence à être utilisé couramment. Page 34

35 Les infrastructures à clef publiques (PKI) Les algorithmes décrits dans les paragraphes précédents permettent de répondre à la quasi-totalité des fondamentaux de la sécurité. Cependant, ce paragraphe va montrer que la problématique d'authentification n'est pas solutionnée complètement par des principes techniques. En effet, la bi-clef d'alice permet de l'authentifier uniquement si on a la certitude que c'est bien Alice qui possède les clefs marquées à son nom. Les algorithmes à clef publique reposent sur la récupération de la clef publique de son interlocuteur. Le moment de cette récupération est crucial car il établit le lien existant entre une personne et une clef. Ainsi, si on communique avec ses interlocuteurs uniquement dans un monde numérique, l'association de la clef publique avec son propriétaire repose sur la confiance que l'on accorde à celui qui garantit ce lien. Il est donc indispensable qu'une personne digne de foi s'occupe de cette remise de clef. Cet intermédiaire à qui l'on accorde sa confiance est appelé tiers de confiance. L'État est un bon exemple de tiers de confiance. Il délivre des cartes d'identités (l'équivalent de nos clefs publiques numériques), et on accorde une valeur à ces cartes d'identité du fait qu'on fait confiance à l'état. Page 35

36 Les infrastructures à clef publiques (PKI)» Note» Il existe un logiciel qui s appuie sur la à clef publique et fonctionne sans tiers de confiance: il s agit de PGP, Petty Good Privaty.» PGP a été crée en 1991 par Phil Zimmerman qui l a distribué gratuitement sur Internet pour permettre l échange de données confidentielles par le citoyen lamda.» Dans PGP, le lien entre la clef publique et son propriétaire n est pas attesté. Les acteurs d une PKI Dans le monde informatique, l'équivalent de la carte d'identité est le certificat numérique (le détail de son fonctionnement est exposé dans le paragraphe 2.5). Ce dernier est délivré par une autorité de certification, tiers de confiance réputé digne de foi dans la sphère numérique. Ces autorités de certification délivrent des certificats numériques d'après le processus suivant:» Elles vérifient l'identité des candidats à l'utilisation de certificats numériques.» Elles signent l'assemblage constitué de la clef publique du candidat et de ses informations d'état civil en utilisant le mécanisme de signature numérique décrit précédemment. Le résultat de cette opération de signature est le certificat numérique (cf. figure 2.1). Page 36

37 Les infrastructures à clef publiques (PKI) Ces certificats ont une durée de validité limitée (généralement un an), et peuvent être révoqués à tout moment, de la même façon qu'une carte bleue peut être désactivée en appelant le central des cartes bleues. Le tiers de confiance s'engage sur l'association entre une personne et une clef publique. Elle permet ainsi d'établir un climat de confiance qui vient en complément des principes techniques présentés précédemment. Dans la pratique, l'autorité de certification délègue les étapes administratives et de fabrication du certificat à d'autres entités. Page 37

38 Les infrastructures à clef publiques (PKI) On appelle autorité d'enregistrement l'entité qui s'occupe des tâches administratives (gestion des demandes, vérification d'identité) et opérateur de service de certification l'entité en charge de la fabrication des certificats. L'organisation mise en œuvre entre ces acteurs, autorité de certification, autorité d'enregistrement et opérateur de service de certification, est appelée une infrastructure à clef publique. On utilise souvent l'acronyme anglais PKI (private Key Infrastructure) pour qualifier ces organisations (cf. figure 2.2). Page 38

39 Les infrastructures à clef publiques (PKI) La dimension organisationnelle d'une PKI est ainsi basée sur trois tiers: une autorité de certification, une autorité d'enregistrement, et un opérateur de service de certification.» On peut considérer l'autorité de certification comme la maîtrise d'ouvrage de la PKI. Elle joue le rôle de tiers de confiance, elle s'engage sur les informations figurant sur les certificats qu'elle délivre. Son équivalent est l'état qui s'engage sur la validité des cartes d'identités délivrées aux citoyens.» L'autorité d'enregistrement constitue la partie administrative de la PKI. Un équivalent de l'autorité d'enregistrement est la mairie qui se charge pour le compte de l'état des échanges avec les citoyens désireux d'obtenir une carte d'identité. Un autre équivalent est la poste qui effectue un contrôle d'identité avant de remettre une lettre en recommandé avec accusé de réception.» On peut considérer l'opérateur de service de certification comme la maîtrise d'œuvre de la PKI. Il est en charge de la partie purement technique. Les sociétés qui fabriquent les cartes bleues pour le compte des banques sont un équivalent de l'opérateur de service de certification. Page 39

40 Les infrastructures à clef publiques (PKI) La chaîne de la confiance Pour accorder sa confiance à un certificat numérique, il existe deux cas de figure: soit on fait confiance à l'autorité de certification qui l'a émis, soit on fait confiance à une autorité de certification supérieure qui fait elle-même confiance à l'autorité émettrice. En général, cette autorité supérieure a délivré le certificat qui identifie l'autorité émettrice, de la même façon qu'elle-même émet des certificats utilisateurs. On appelle autorités racines, les autorités placées en haut de la chaîne de la confiance. Ces autorités de certification racines sont reconnues par tous comme dignes de confiance. Il existe ainsi des hiérarchies de confiance, illustrées par le schéma de la figure 2.3. Les autorités de certification racines les plus connues sont Verisign, Entrust, Thawte, etc. Elles sont référencées dans les principaux logiciels du marché (Internet Explorer, Mozilla), c'est-à-dire que leurs certificats sont livrés avec ces logiciels: un utilisateur leur fait donc implicitement confiance. Dans Internet Explorer, il est possible de les visualiser au travers du magasin de certificats Windows (cf. figure 2.4). Enfin, il existe une catégorie spécifique d'autorités de certification, appelées autorités qualifiées. Ces autorités sont nommées par arrêté du Premier Ministre et peuvent émettre des certificats ayant une valeur légale dans le cadre de la loi française sur la signature électronique. Page 40

41 Les infrastructures à clef publiques (PKI) Page 41

42 Les infrastructures à clef publiques (PKI) Les mécanismes techniques d une PKI Sur le plan technique, une PKI est basée sur une biclef d'autorité de certification, c'est-à-dire la bi-clef qui permet de signer les certificats émis par l'autorité de certification. La clef publique de cette bi-clef peut être signée par une autorité de certification racine qui transmet ainsi sa confiance à l'autorité de certification en lui délivrant un certificat. Elle peut aussi être auto-signée dans le cadre d'une autorité de certification indépendante, par exemple sur un Intranet. L'autorité de certification doit disposer d'outils pour fabriquer les certificats, de serveurs pour gérer les demandes et délivrer les certificats, de serveurs d'annuaire pour publier les certificats et les listes de certificats révoqués. Ces dernières listes sont standardisées et appelées listes de révocation (CRL, pour Certificate Revocation List). Les mécanismes des PKI sont fondés sur des standards appelés PKCS pour Public~Key Cryptography Standards. Ces PKCS ont été créés par la société RSA et sont au nombre de 12. Ils standardisent les mécanismes décrits plus haut. La consultation de la CRL fait appel au standard OCSP, Online Certificate Status Protocol, qui permet d'accéder en temps réel à la CRL d'une PKI, et évite d'avoir à distribuer les CRL. Page 42

43 Les infrastructures à clef publiques (PKI) Il est utilisé surtout pour la non-répudiation. OCSP est aujourd'hui implémenté dans de nombreux logiciels clients et serveurs, mais il n'est pas utilisé massivement du fait d'un certain nombre de limitations. Tout d'abord la réponse OCSP n'est pas signée par l'autorité de certification, elle est donc potentiellement falsifiable. De plus, le protocole génère beaucoup de trafic réseau. Il est probablement voué à être remplacé par des standards basés sur XML comme XKMS, présenté dans la suite de cet ouvrage. Page 43

44 Les infrastructures à clef publiques (PKI) Les certificats numériques Les certificats numériques sont fabriqués suivant le standard X509 aujourd'hui dans sa version 3. Ils sont associés à une bi-clef, dont ils contiennent la clef publique. Un certificat reprend les informations d'état civil de son propriétaire, précise ses usages possibles, sa durée de validité. Dans le monde Windows, un certificat a la forme suivante (figure 2.6). Page 44

45 Les infrastructures à clef publiques (PKI) Un certificat référence le nom de l'autorité de certification qui l'a délivré, et éventuellement les noms des autorités supérieures afin de présenter toute la chaîne de confiance. Il peut contenir les certificats de toutes les autorités de certification correspondantes. Dans le monde Windows, on peut facilement visualiser le chemin de certification et consulter les certificats correspondants (cf. figure 2.7). Page 45

46 Les infrastructures à clef publiques (PKI) L utilisation d un certificat dans le cadre de l authentification Les parties qui précédent ont montré comment les certificats numériques permettent d'établir un climat de confiance: un de leurs usages fondamentaux est donc l'authentification. Lorsqu'une personne désire s'authentifier au travers d'un certificat, elle présente son certificat ainsi qu'un fichier signé avec sa clef privée suivant un principe appelé «challenge/response ". Ce mécanisme fonctionne de la manière suivante:» L'interlocuteur qui réclame une authentification par certificat crée un fichier appelé «challenge» en anglais: il contient une chaîne de caractères choisie aléatoirement ainsi que son instant d'émission (on parle souvent de timestamp).» La personne qui désire s'authentifier retourne un fichier appelé «response», qui consiste en la signature numérique du challenge. Le fichier response prouve au serveur que le certificat est présenté par son émetteur puisqu'il possède la clef privée qui lui est associée.» La datation permet de plus d'empêcher le rejeu du challenge par une personne qui l'aurait capturée.» À réception du fichier response, l'interlocuteur vérifie si l'autorité de certification émettrice du certificat est référencée dans sa racine de confiance et donc s'il existe une chaîne de confiance entre lui et l'autorité de certification émettrice. Page 46

47 Les infrastructures à clef publiques (PKI)» Si tel est le cas, il va ensuite interroger la liste de révocation de l'autorité de certification émettrice afin de vérifier que le certificat n'est ni expiré, ni révoqué.» Si le certificat est valide, la chaîne de confiance est établie et l'authentification est faite. Dans la pratique, les étapes d'authentification par certificat sont prises en charge automatiquement par les logiciels du marché comme Internet Explorer ou Mozilla. Page 47

48 Les infrastructures à clef publiques (PKI) Les typologies de certificats Il existe trois grandes familles de certificats numériques: les certificats personnels, les certificats serveurs, et les certificats de code signing. Les paragraphes qui précèdent ont surtout évoqué les certificats personnels qui permettent de s'authentifier auprès d'une application (par exemple auprès d'une application bancaire de consultation de compte), de chiffrer des documents à échanger (comme par exemple des s), ou de signer des documents. Un certificat serveur permet quant à lui d'authentifier une application Web afin d'avoir la certitude qu'elle est bien proposée par la société dont elle porte les couleurs. Il permet aussi de gérer des tunnels SSL (Secure Socket Layer) afin de sécuriser les échanges entre un client et un serveur, par exemple dans le cas de paiement sécurisé sur Internet. La dernière famille de certificat, dite de code signing, permet à un logiciel en provenance d'internet de garantir son origine à l'utilisateur qui hésite à l'installer. Ce type de certificat est surtout utilisé pour des extensions de navigateurs (Plug-In, Applet Java, Active X) qui permettent à des applications Web d'accéder aux couches systèmes du poste utilisateur. Compte tenu du risque que représente ce type d'application en terme de sécurité, elles doivent présenter un certificat qui apporte une garantie sur leur rattachement à une société connue. Page 48

49 Les infrastructures à clef publiques (PKI) Dans le cadre des certificats utilisateurs, on définit de surcroît trois «classes de certificats» correspondant à trois niveaux de garantie sur l'identité de l'utilisateur.» Un certificat de classe 1 est obtenu en remplissant un formulaire sur Internet, il ne donne donc pas de garantie, car rien n'empêche le demandeur de certificat de fournir une identité imaginaire.» Pour délivrer un certificat de classe 2, l'autorité de certification demande au candidat de fournir par courrier postal une photocopie de sa carte d'identité et un engagement signé. Le certificat est ensuite envoyé par un canal sécurisé.» Enfin, un certificat de classe 3 est obtenu par remise en main propre au candidat qui doit se présenter dans les bureaux de l'autorité de certification. Le demandeur est ainsi contrôlé en face à face avant remise du certificat, comme pour l'obtention d'une carte d'identité. La classe 3 offre évidemment le plus haut niveau de sécurité. Bilan: La PKI aujourd hui Les paragraphes précédents ont montré qu'une infrastructure à clef publique permet d'établir un climat de confiance dans le mode numérique, ceci au travers de :» Un tiers de confiance appelé autorité de certification. Page 49

50 Les infrastructures à clef publiques (PKI)» La distribution de certificats numériques à tous les acteurs voulant intégrer le réseau de confiance. Ainsi, les grands principes de la PKI sont aujourd'hui parvenus à maturité. Les standards PKCS sont reconnus et implémentés dans les solutions et les frameworks de développement du marché. Par ailleurs, le besoin d'assurer la confiance est de plus en plus pressant dans le cadre des échanges B2B sur Internet. En effet, les partenariats entre sociétés rendent de plus en plus fréquents les interconnexions de systèmes d'information. De plus, l'avènement des Web Services et l'industrialisation du Web permettent d'automatiser des processus très demandeurs en sécurité. Enfin, la maturation globale du monde informatique fait progresser les exigences en terme d'authentification fiable. Ainsi, les besoins en PKI sont bien là. Cependant, l'essor de ces infrastructures n'existe pas encore dans les faits pour un certain nombre de raisons. Tout d'abord la complexité des mécanismes de PKI nécessite de les abstraire derrière des interfaces simplifiées pour permettre leur usage par des non techniciens (comme c'est le cas pour les cartes bleues). Page 50

51 Les infrastructures à clef publiques (PKI) Du fait du manque d'industrialisation, les coûts de mise en œuvre sont encore élevés et le déploiement nécessite des experts extrêmement pointus. Enfin, un certain nombre de standards basés sur XML pour la gestion des certificats sont encore en cours d'écriture, ce qui place le marché dans une situation d'attentisme. Page 51

52 Mise en application de la : SSL et S/MIME Ce chapitre présente deux standards: SSL et S/MIME. Ces standards sont basés sur les mécanismes décrits dans le cadre de l'introduction à la et PKI, à savoir la à clef secrète, la à clef publique, les certificats numériques. Ils constituent en cela une mise en pratique des principes théoriques décrits précédemment. Sécurisation des échanges avec SSL SSL signifie Secure Socket Layer. Ce protocole a été développé à l'origine par Netscape, entreprise pionnière dans la conception des premiers serveurs utilisés dans les architectures Web à la fin des années 90. SSL version 2.0 a été publié par Netscape en À partir de 1996, il a été standardisé et son développement a été repris par l'ietf. C'est un protocole de chiffrement des échanges qui agit entre la couche application et la couche transport dans le modèle OSI (cf. figure 3.1). SSL peut donc être utilisé comme sous-couche de sécurisation, ou tunnel de sécurité pour les protocoles applicatifs comme HTTP, SMTP, ou FTP. Il utilise une authentification du serveur au travers d'un certificat X509, ceci afin d'assurer la confiance de l'utilisateur sur le lien qui existe entre elle et la société qu'elle représente. Le rôle du certificat numérique est d'attester ce lien. Page 52

53 Mise en application de la : SSL et S/MIME Depuis la version 3 de SSL, le client peut optionnellement être authentifié par certificat de la même manière à l'initialisation du protocole. SSL utilise des principes de chiffrement et d'authentification qui reposent sur les algorithmes à clef publique et les algorithmes à clef secrète. Il permet ainsi de créer un tunnel chiffré entre deux tiers. Les étapes de l'initialisation du tunnel, appelées SSL Handshake, sont les suivantes:» Le client fait requête SSL auprès du serveur.» Le serveur présente alors son certificat afin de créer un contexte de confiance.» Le client peut éventuellement lancer une requête OCSP pour vérifier la validité du certificat. Page 53

54 Mise en application de la : SSL et S/MIME» De façon optionnelle, le serveur peut demander au client de présenter aussi un certificat.» Puis les deux tiers négocient, en fonction de leurs capacités cryptographiques, les types et longueurs de clefs qu'ils vont utiliser par la suite.» Le client génère alors une clef secrète de session de façon aléatoire (cette clef sera inférieure à 56 bits en SSL V2, inférieure à 128 bits en SSL V3).» Il chiffre cette clef avec la clef publique du serveur et l'envoie à ce dernier.» Le serveur déchiffre la clef de session avec sa clef privée.» Puis les deux tiers dialoguent en utilisant un algorithme à clef secrète pendant toute la durée de la session SSL (cf. figure 3.2).» SSL est donc basé sur un échange de clef utilisant la à clef publique, puis sur une session à base de à clef secrète.» La à clef publique n'est pas utilisée pour chiffrer l'ensemble des sessions pour deux raisons: d'une part, le client est dispensé de posséder une bi-clef, d'autre part le chiffrement à clef secrète est beaucoup plus rapide et donc plus performant que le chiffrement à clef publique.» Notons que SSL gère une session différente de celle de l'application Web. Page 54

55 Mise en application de la : SSL et S/MIME Cette session a sa gestion propre: elle peut être terminée par demande du client ou bien par timeout (paramètre du serveur stipulant le temps de rémanence de la session en cas d'inactivé du client). Certains apports de SSL V3 par rapport à SSL V2 ont été présentés plus haut: la gestion des clefs de session à 128 bits et la possible authentification du client par certificat X509. SSL V3 permet de plus de contrôler l'intégrité sur les échanges en introduisant un hachage des informations échangées. Page 55

56 Mise en application de la : SSL et S/MIME L'empreinte générée par ce hachage est chiffrée avec la clef de session, de la même manière que les informations elles-mêmes. Ce système est appelé HMAC pour Hash Message Authentication Code. SSL est la norme la plus couramment utilisée pour assurer la confidentialité et l'intégrité des échanges dans les architectures Web. SSL peut être utilisé avec une grande variété de protocoles à condition de déployer un certificat sur le serveur correspondant:» HTTP et FTP pour les échanges sur le Web;» SMTP, POP3, IMAP pour les échanges d' s;» NNTP pour les échanges sur les forums de discussion;» LDAP pour l'interrogation d'annuaires;» TELNET pour la prise de contrôle à distance;» IRC pour la messagerie instantanée;». Etc. Notons que SSL offre un moins bon niveau de sécurité que le protocole IPSEC qui agit au niveau de la couche de transport. Un nouveau vocable a été introduit vers l'année 2000: TLS, qui signifie Transport Layer Security. C'est le nouveau nom de SSL correspondant à sa standardisation par IETF. Page 56