Contenu. Hachage, certification et protocoles sécurisés. Solution par le hachage. Hachage. Hachage. Certification.

Transcription

1 Contenu Hachage Certification Hachage, certification et protocoles sécurisés Gestion des clés Identification et authentification Exemple de protocole de sécurité d internet Hachage Signature utilisable que pour des messages de petite taille. Solution naïve : découper le message à signer en blocs (de 60 bits) et signer chaque bloc. Plusieurs problèmes : taille de la signature lenteur des algos de signatures Solution par le hachage Utiliser une fonction de hachage cryptographique, rapide à calculer, qui transforme un message de longueur arbitraire en une empreinte numérique de taille fixe. On signe l empreinte : message m longueur arbitraire # empreinte z = h(m) 60 bits # signature s = sig sk (z) 320 bits Principe : Bob signe m : il calcule l empreinte z = h(m) signe en s = sig sk (z) et transmet (m, s). N importe qui vérifie (m, s) en recalculant l empreinte ẑ = h(m) puis en utilisant le procédé de vérification de ver pk (ẑ, s).

2 Conditions à satisfaire Une fonction de hachage h calcule z = h(m) pour m message de taille arbitraire et z, empreinte de taille fixe. On veut que h soit être à sens unique, i.e. h(m) doit être facile à calculer à partir de m z doit être difficile à inverser. Collision de h : couple de mots distincts (x, x 0 ) tq h(x) =h(x 0 ). h est faiblement résistante aux collisions si, pour un x donné, il est difficile de calculer une collision. fortement résistante aux collisions s il est difficile de calculer la moindre collision (x, x 0 ). Paradoxe des anniversaires Donnée : B =(b,...,b k ) 2 {, 2,...,n} k. Problème : proba p qu il existe au moins 2 éléments de B identiques? On prend k messages m i tirés aléatoirement avec i 2 [, k] et on étudie la proba pour que deux m i aient la même image. z i = h(m i ). Proba pour que les z i soient tous différents : p = q = ky ky n k (n i) = i=0 i= i = n n k n Où est la proba de tirer z, ( n ) celle de tirer z 2 6= z (car il i y a une chance sur n que z = z 2 ),..., ( n ) celle de tirer z i 6= z,...,z i. On approche Q k i= i n par Q k e x = x + x 2 x 3 2! qui est notre cas). Donc q = Q k i i= n (k )k ln q 2n 2n ln( q q ) k 2 2n ln( p ) k i= e i n car 3!, donc e x x si x est petit (ce i n e i n. e n P k i= i = e (k )k 2n p = /2, proba d avoir au moins une collision pour k p 2n ln 2 Exemple : n = 365, k = 23 personnes ; on a plus d une chance sur deux que deux personnes aient le même jour anniversaire. Utilité : trouver la taille n de l image par la fonction de hachage pour éviter les collisions. On a k en O( p n). Attaque basée sur le paradoxe Calculer et trier autant de couples (x, h(x)) que possible. Détecter une (ou plusieurs) collisions. Il y a 2 n valeurs qui correspondent aux «jours anniversaires» ;. On suppose que les images par h suivent une distribution uniforme. En considérant k entrées on a plus d une chance sur deux d avoir une collision avec k 2 n 2. En passant au logarithme, n log 2 k 25, 24 50, 24 75, 24 00, 24 Ainsi, en calculant un peu plus que 2 n/2 images par h, on trouve une collision avec une probabilité > /2. Pour h fortement résistante, on choisit n pour que le calcul de 2 n/2 images par h soit irréaliste. A ce jour, n 28, voire n 60.

3 Hachage par compression Construire une fonction de hachage Dans MD5, SHA, découper m en n blocs de longueur fixe puis : valeur initiale bloc bloc 2 message bloc n MD5 MD5 MD5 valeur hachée On part de e k, chiffre sym. construire fonction de compression g : {0, } m! {0, } n pour m, n 2 N, m > n On utilise g pour construire une fonction de hachage : h : {0, }?! {0, } n pour n 2 N Proposition h est résistante aux collisions si g l est aussi. Fonction de compression A partir de e k : {0, } n {0, } n! {0, } n on construit g, fonction de compression g : {0, } n {0, } n! {0, } n pour n 2 N dont la taille de l image par la fonction de hachage est n. La fonction de chiffrement est utilisée soit directement si elle est résistante aux collisions soit en la «perturbant» : g(k, x) =e k (x) x g(k, x) =e k (x) x k g(k, x) =e k (x k) x g(k, x) =e k (x k) x k Fonction de hachage Merkle : construction de fonction de hachage à partir d une fonction de compression g : {0, } m! {0, } n. Soit r = m n >. On veut construire h : {0, }?! {0, } n. Soit x 2 {0, }? et ` sa longueur en binaire. compléter x avec des "0" : u = 0i x t.q. u 0 mod r compléter ` avec des "0" : y = 0j` t.q. y 0 mod r découper y en blocs de r bits et ajouter un "" au début de chacun des blocs pour former le mot v construire w = u0r v composé de t blocs de longueur r. Exemple : r = 4, x = 0, ` = 0. u = 000 0, v = 0. w = = w w 2 w 3 w 4 (t = 4) H définie ind. : H 0 = 0 n et H i = g(h i w i ),apple i apple t h(x) =H t

4 Fonctions de hachage efficaces Application à DSA Les fonctions de hachages utilisées en pratique sont construites selon le principe ci-dessus. Les plus courantes : nom bits tours étapes vitesse relative MD SHA ,28 Digital Signature Algorithm : standard de signature qui combine l utilisation d une fonction de hachage (MD5 ou SHA) et DSS, qui améliore le schéma de signature d El Gamal. Plan de l exposé Certificat de clé publique Hachage Certification Gestion des clés Identification et authentification Exemple de protocole de sécurité d internet Un certificat de clé publique de B est la donnée de Id B et pk B signée par un tiers de confiance, Ivan. Utilité : déjouer l attaque de l homme du milieu Un certificat de la clé publique de B contient sa clé publique des infos concernant B (nom, ... ) la signature d un tiers de confiance Ivan Ivan signe à la fois la clé les infos concernant B Ivan certifie la relation entre la clé publique et l identité de B.

5 Réalisation «asymétrique» Certification réalisée au moyen d un schéma de signature. Celui-ci consiste en [2] : une signature après hachage cryptographique une opération de vérification correspondant à la signature. Exemple : si le contenu du message est celui décrit par la norme X509, on fournit de cette manière un identificateur numérique ou Digital ID, sorte de carte d identité numérique. Certificat (X.509) Associe une clé publique à l identité d un sujet ; comprend : Subject : Nom Distingué, Clé publique Issuer : Nom Distingué, Signature Period of Validity : date de début, date de fin Administrative Information : version, numéro de série Extended Information : L information «Nom Distingué» comprend : Common Name : nom à certifier Organization Company : contexte UNSA Organizational Unit : contexte spécifique Deptinfo City/Locality : ville State/Province : pour US PACA Country : code pays fr Bruno Martin Sophia Antipolis Certification & Vérification Chaîne de certification Id S,PKS hachage h Sign AC Sign AC (h(id S,PKS)) AC r Id ACr,K ACr AC Id S,PKS Id S,PKS Clé de S certifiée par AC Sign AC (h(id S,PKS)) AC Id S,PKS Clé de S certifiée par AC hachage h Ver AC Id S,PKS Sign AC (h(id S,PKS)) h(id S,PKS) Algorithme public de vérification de AC AC peut aussi fournir un certificat à une autre AC. Alice peut ainsi remonter une chaîne de certification jusqu à trouver une AC en qui elle a confiance. AC r Id B,clé B ACr Id AC,K AC AC Id AC,K AC AC Id S,PKS AC r Id C,clé C oui/non

6 Création d une AC «racine» Rupture dans la chaîne Problème des chaînes de certification : il faut une AC «racine». Celle-ci ne peut se faire certifier. Dans ce cas, le certificat est auto-signé par l AC racine. L entité qui délivre le certificat est identique au sujet certifié. La confiance réside dans une large distribution de la clé publique de l AC. Les systèmes d exploitation sont configurés pour faire confiance à certaines AC par défaut, comme CertiSign ou VeriSign. Ces sociétés proposent des techniques pour demander des certificats, ont des procédures de vérification de l information, délivrent et gèrent des certificats. Contenu Echange de clés Hachage Certification Gestion des clés Identification et authentification Exemple de protocole de sécurité d internet Tous les chiffres nécessitent l échange sécurisé de clés. Evident dans le cas de la crypto à clé secrète ; pour la crypto à clé publique, pour éviter une attaque de "l homme du milieu". Comment faire? Quelques solutions. En se fixant un rendez-vous 2. En envoyant la clé par courrier spécial 3. En utilisant une clé commune aux deux parties pour chiffrer une clé supplémentaire. 2 premiers cas : fixer un rendez-vous pour échanger la clé. Pas toujours possible. P.e. dans un conflit, si deux unités de votre armée sont séparées physiquement par un ennemi.

7 Techniques de gestion de clés [] Reposent sur mécanismes de chiffrement utilisation des clés politique de sécurité permettent d éviter : la modification la destruction malintentionnée le rejeu la divulgation (disclosure) génération Prête Active Usée destruction activation réactivation désactivation Pendant toute la durée de vie des clés, il faut assurer : destruction la génération sûre suppression révocation la certification l enregistrement distribution destruction installation Modèles pour l établissement de clés Procédé qui permet de rendre disponible une clé à une ou plusieurs entités. Recouvre : mise en accord transport de clés (publiques, secrètes) mise à jour des clés dérivation des clés Mise en accord Imaginer une solution basée sur la complexité des problèmes facile à calculer pour les utilisateurs légaux et difficile à trouver pour un ennemi. Il faut donc trouver une fonction à sens unique Un bon candidat est le log discret. Protocole de mise en accord de Diffie Hellman On choisit q un grand premier et a, < a < q. Chaque utilisateur U choisit secrètement une valeur aléatoire X U,< X U < q et la conserve secrète publie Y U = a X U mod q A et B construisent une clé commune, connue d eux seuls. A calcule K = Y X A B mod q B calcule K = Y X B A mod q A et B ont alors une clé commune K : Y X A B (a X B) X A a X BX A a X AX B (a X A) X B Y X B A mod q

8 Sécurité. l information privée est sûres : si un ennemi calcule la clé secrète X A de A à partir de Y A = a X A mod q, il résout le problème du log discret réputé difficile 2. Est-il possible de retrouver la clé partagée par A et B à partie de leur clé publique sans calculer les clés secrètes? C est un problème qui est aussi difficile que le problème du log discret. Mécanismes de transport de clés secrètes Procédé qui permet de transférer une clé secrète créée ou obtenue s il s agit d un tiers de confiance par une entité à une autre entité. En utilisant du chiffrement, asymétrique ou symétrique. ISO/IEC et 3 définissent 8 mécanismes, dont 5 sont point à point, les autres utilisant des tiers de confiance comme centre de distribution de clés. En résumé : distribution au sein d un domaine entre des domaines Autres exemples à prodtechnol/windows2000serv/reskit/distrib/dsch_key_ xihm.mspx?mfr=true Modèles de distribution de clés A 2 KDC 3 Modèle pull A B 2 3 KDC 2 A Modèle mixte KDC 2 4 Modèle push B 3 3 B Exemple de Kerberos Permettre à un client travaillant pour un utilisateur de faire la preuve de son identité à un service ou à un serveur d application sans que ces données transitent par le réseau. Requiert un tiers de confiance qui sert de centre de distribution de clé (KDC) pour le domaine ; il est composé de : serveur d authentification (AS) distributeur de tickets (TGS) qui sont sécurisés U/ C U,TGS,T,L AS K U (K,N,T c,tgs ) S,N,T c,tgs,a c,tgs K(T c,s,k') K'(T+) T c,s,a c,s 5 3 serveur S TGS T c,tgs =K TGS (U,C,TGS,T,L,K) ticket TGT T c,s =K S (U,C,S,T, L,K') ticket de session A c,tgs =K(C,T) authentificateur pour T c,tgs A c,s =K'(C,T ) authentificateur pour T c,s

9 Etablissement de clés entre deux domaines Un CDC (ou autorité de sécurité) par domaine. Domaine A AS entité A Domaine B AS entité B Si A et B ont une confiance mutuelle ou si chaque entité a confiance en l AS de l autre domaine, tout se passe comme s il n y en avait qu un. Réalisations asymétriques ou symétriques. Mise à jour des clés Faire évoluer la clé session après session : mise à jour des clés. Procédé qui permet de partager des clés construites au préalable en les faisant évoluer au moyen de paramètres obtenus pour la session On définit une nouvelle clé de session K à partir : d une clé partagée K AB d un paramètre F (aléa, estampille, numéro de séquence) d une fonction de calcul de clé f Fonctionnement en deux étapes :. l initiateur A choisit paramètre de dérivation F transmis à B 2. A et B calculent la nouvelle clé K par f t.q. K = f (K AB, F) Exemple de fonction f : fonction de hachage cryptographique h à la concaténation de données : K = h(k AB ; F ) Contenu Id & auth Hachage Certification Gestion des clés identification affirmation de l identité d une entité au moyen de son identifiant. (Je suis Bruno) authentification procédé de vérification de l identité d une entité. (Je suis Bruno et en voici la preuve) L identification permet de connaitre l identité d une entité et l authentification de vérifier cette identité. Identification et authentification Exemple de protocole de sécurité d internet

10 Exemple d authentification «asymétrique» Contenu Hachage msg-alea DeB(MD(msg-alea) Si on n utilise pas de calcul de l empreinte du msg-aléa, ce protocole peut subir une attaque à clair/crypto connu (msg-aléa/de B (msg-aléa)). Requiert qu Alice connaisse la clé publique de Bob au préalable. Certification Gestion des clés Identification et authentification Exemple de protocole de sécurité d internet Sécurité IP Sécurité de TCP Ajout de mécanismes cryptographiques aux protocoles standards de l infrastructure Internet (IPSec). L architecture de sécurité au niveau IP fournit des mécanismes de sécurité (de la RFC825) qui implémentent les services d authentification, d intégrité, de contrôle d accès et confidentialité. SMTP HTTP FTP TCP (Transmission Control Protocol) Protocoles pour sécuriser TCP : Secure Socket Layer utilisé par Netscape Private Communication Technology de Microsoft (arrêt avec SSL3) Transport Layer Security standard IETF SMTP HTTP Transport Layer Security (SSL, TLS) TCP (Transmission Control Protocol) IP (Internet Protocol) IP Security Protocol (AH, ESP) IP Internet Protocol Et, plus récemment, ou

11 SSL & TLS Authentification SSL fournit authentification, compression, intégrité, chiffrement. Supporte plusieurs mécanismes d authentification et de chiffrement et protège tout protocole applicatif. SSL est devenu (par l IETF) un standard en tant que TLS qui repose sur SSL3.0. Deux couches le composent : Rencontre ou Handshake Protocol Communication ou Record Protocol qui fournissent les services suivants : confidentialité de la connexion par AES, IDEA, RC2, RC4,... ainsi que du chiffrement de type Vernam intégrité de la connexion par un MAC utilisant une clé en valeur initiale (SHA- ou MD5) C est le moyen pour Alice de vérifier l identité de Bob. On appelle SKB la clé privée de Bob et PKB sa clé publique A! B B! A r = un message aléatoire c = {r} SKB Signer avec sa clé un message aléatoire r fourni par un tiers et le réexpédier peut s avérer dangeureux. Une idée serait d utiliser une fonction de hachage h afin que Bob signe en chiffrant h(r). Mais le danger persiste. Authentification Identification Mieux vaut que Bob chiffre un message de son cru, tout en évitant d envoyer un message m et sa version signée ensemble : A! B "Bonjour, est-ce Bob?" B! A m = "Alice, je suis bien Bob" c = {h(m)} SKB Alice ne connait pas forcément la clé publique de Bob. Comment informer sûrement quelqu un de sa clé publique? A! B B! A A! B B! A "Bonjour" "Bonjour, je suis Bob. Voici ma clé publique" PKB "Prouve-le." m = "Alice, c est bien Bob" c = {h(m)} SKB N importe qui peut se faire passer pour Bob aux yeux d Alice, en donnant sa propre clé publique, correspondant à sa clé privée.

12 Transmettre un certificat Echanger un secret Un certificat garantit la correspondance entre une identité et sa clé publique. A! B B! A A! B B! A "Bonjour" "Bonjour, je suis Bob. Voici mon certificat" cert B "Prouve-le." m = "Alice, c est bien Bob" c = {h(m)} SKB Marjorie pourrait se substituer à Bob dans les trois premiers échanges, mais échouera à répondre au delà. La communication par clés publiques est coûteuse, une fois la phase d authentification achevée, mieux vaut s échanger une clé en vue d utiliser un chiffre symétrique A! B "Bonjour" B! A "Bonjour, je suis Bob. Voici mon certificat" cert B A! B "Prouve-le". B! A m = "Alice, c est bien Bob" c = {h(m)} SKB A! B "Ok Bob, voici notre secret :" s = {secret} PKB B! A m 0 = {message de Bob} secret Attaque L homme du milieu Melchior peut s interposer dans les 5 premiers échanges. Arrivé au sixième, il peut brouiller le message de Bob, quitte à ne pas envoyer un message très intelligible à Alice : B! M m 0 = {message de Bob} secret M! A altération de m 0 Alice n a aucune certitude quant à l existence de Melchior, même si elle trouve suspect le dernier message de Bob. SSL Pour éviter cette incertitude, mieux vaut utiliser un MAC : M = h( message de Bob secret) A! B "Bonjour" B! A "Bonjour, je suis Bob. Voici mon certificat" cert B A! B "Prouve-le". B! A m = "Alice, c est bien Bob" c = {h(m)} SKB A! B "Ok Bob, voici notre secret :" s = {secret} PKB B! A m 0 = {message de Bob} secret h(message de Bob secret) Melchior peut pertuber ce qu il veut, M aura au moins l avantage d en avertir le destinataire.

13 La rencontre C!S : (num. version, chiffres utilisés, aléa... ) S!C : (num. version, chiffres utilisés, aléa S, cert S [demande certif C]) C : vérifie le certificat de S. C : crée la pré-clé maître, la chiffre avec la clé publique de S et l envoie ; C calcule la clé maître par dérivation Si S a demandé auth(c), C envoie en plus Sign C(aléa S ) et cert C Si S a demandé auth(c), il vérifie le cert C et s il est convenable crée la clé maître par dérivation C et S utilisent la clé maître pour construire les clés de session (clé secrète pour chiffrement et authentification) C!S : avertit que les messages suivants seront chiffrés ; message chiffré séparé : fin de la rencontre S!C : avertit que les messages suivants seront chiffrés ; message chiffré séparé : fin de la rencontre début de la session SSL La communication Ce protocole permet de transmettre un message de taille arbitraire. Il le découpe en blocs, le comprime éventuellement, ajoute un MAC, chiffre et transmet le résultat en ajoutant un numéro de séquence pour détecter s il manque des messages ou si certains ont été altérés. Bibliographie W. Fumy. Key management techniques. In State of the art in applied cryptography, number 528 in LNCS, pages Springer Verlag, 997. RSA Laboratories. PKCS ] v2.0, RSA cryptography standard. Technical report, RSA Data Security, 998.