Cours protocoles cryptographiques

Transcription

1 Cours protocoles cryptographiques Mercredi 13 Février 2013 Polytech SICA2 (4ème année) Sécurité, cryptographie et protocoles Gabriel Risterucci

2 - Plan du cours 3x2 heures de cours, 3x2 heures de TP Cours 1 Cours 2 Cours 3 TP 1 Proj. 1 Proj. 2 Contenu des cours Cours 1 Rappels de sécurité et présentation des protocoles cryptographiques Cours 2 Construction de protocoles cryptographiques, exemples de protocoles (DH, TLS, TOR...) Cours 3 Utilisation de la cryptographie en programmation Java (JCA)

3 - Plan du cours 3x2 heures de cours, 3x2 heures de TP Cours 1 Cours 2 Cours 3 TP 1 Contenu des TP TP 1 Prise en main de JCA Proj. 1 Mini-projet de programmation mettant en œuvre les concepts vu en cours Proj. 2

4 - Introduction Rappels Propriétés classiques de sécurité Primitives cryptographiques Protocoles Généralités Classes de protocoles Constitution d'un protocole Un exemple

5 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Authenticité Non-répudiation

6 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Principe selon lequel l'accès à une information est restreint à ceux ayant effectivement le droit d'y accéder Intégrité Authenticité Non-répudiation

7 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Pouvoir garantir que les données sont toujours tels qu'elles ont été crées, sans altération Authenticité Non-répudiation

8 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Authenticité Avoir la possibilité de vérifier qu'une donnée provient bien du bon émetteur Non-répudiation

9 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Authenticité Non-répudiation Ne pas pouvoir nier être à l'origine d'un message ou d'une transmission

10 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Chiffrement asymétrique, signatures Fonctions de hachage

11 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Principe : chiffrer avec une clé secrète «partagée» La sécurité dépend du secret partagé Chiffrement par blocs, efficace sur de grandes quantités de données Exemples : DES, AES, Blowfish, KASUMI...

12 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Principe : chiffrer avec une clé secrète «partagée» En pratique : le chiffrement par bloc présente des défauts Il existe différents modes d'utilisation : ECB, CTR, CBC, GCM...

13 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Problèmes : Fournit seulement la confidentialité Pas de distinction des rôles (aspect symétrique) Les modes d'utilisation rendent les algorithmes de base efficaces Possibilité d'ajouter des propriétés via les modes d'utilisations (intégrité, authenticité...)

14 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement asymétrique Principe : utiliser des fonctions non symétriques pour chiffrer et déchiffrer Utilisation de deux clés distinctes pour les deux opérations (clé publique, clé privée) Plus coûteux en ressources (temps de calcul, taille des données) Exemples : RSA, DSA, ElGamal, XTR...

15 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement asymétrique Principe : utiliser des fonctions non symétriques pour chiffrer et déchiffrer Applications : chiffrement, signature Certains algorithmes permettent les deux, d'autres sont spécifiques

16 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement asymétrique Problèmes Inapplicable sur de grandes quantités de données Problème d'authenticité des clés

17 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Fonctions de hachage Principe : calculer l'empreinte d'un message Fonctionnement déterministe : une entrée donne une unique empreinte Sécurité : résistance à la 1ère pré-image, 2ème pré-image, collision forte Exemples : SHA-(0,1,2,3), MD(4,5,6)... SHA-3 date d'octobre 2012 (Keccak)

18 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Fonctions de hachage Principe : calculer l'empreinte d'un message Selon la fiabilité de l'algorithme, une preuve sur une empreinte peut avoir la même valeur que sur l'original Permet d'effectuer efficacement des vérifications d'intégrité, la création d'index, les signatures numériques...

19 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Fonctions de hachage Problèmes Les algorithmes doivent être sûrs et fournir une empreinte de taille raisonnable en restant peu coûteux en terme de ressources Paradoxe des anniversaires (64bits= possibilités)

20 - Généralités Définition d'un protocole : 1. Ensemble des règles, questions, etc., définissant une opération complexe. 2. (informatique) Ensemble de règles définissant le mode de communication entre deux ordinateurs. Pour les protocoles cryptographiques, les deux s'appliquent... On se concentrera ici sur les protocoles de communication

21 - Classes de protocoles Quelques grandes classes de protocoles : Échange de clés (Diffie-Hellman...) Authentification (Kerberos...) Transferts sécurisés, au-delà de la confidentialité Protocoles de routage (TOR...)...

22 - Constitution Un protocole de communication se déroule généralement en trois étapes Initialisation (setup) Négociation Exécution

23 - Constitution Un protocole de communication se déroule généralement en trois étapes Exemple rapide avec TLS : Initialisation (setup) : calcul des éléments aléatoires Négociation : échanges pour choisir les algorithmes à utiliser et échange du secret Exécution : transfert chiffré

24 - Constitution La plupart des protocoles sont construits à partir de briques plus élémentaires, pouvant elles même être des protocoles sous-jacent On peut considérer beaucoup d'éléments comme «protocoles» : Les primitives cryptographiques Les algorithmes de base (modes d'utilisation...) Les outils de base (combinaison empreinte+signature)...

25 - Constitution La plupart des protocoles sont construits à partir de briques plus élémentaires, pouvant elles même être des protocoles sous-jacent Par exemple : communication réseau sécurisée Échange de clé Authentification Génération de nombres aléatoires Intégrité, chiffrement/signature... Chiffrement Mode d'utilisation Algorithme de chiffrement par bloc

26 - Constitution Que doit définir un protocole? Tout. ou presque.

27 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion d'erreurs Forme des échanges

28 - Constitution Que doit définir un protocole? Nature des échanges L'objectif du protocole, ses paramètres... Ordre des échanges Différentes routes possibles Gestion d'erreurs Forme des échanges

29 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Pour les protocoles complexes (par exemple entre plus de deux pairs) Différentes routes possibles Gestion d'erreurs Forme des échanges

30 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion de cas différents, exceptions... Gestion d'erreurs Forme des échanges

31 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion d'erreurs Que faire en cas de problème pour ne pas «planter» l'ensemble du système Forme des échanges

32 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion d'erreurs Forme des échanges Structure exacte des messages, en particulier les problèmes d'endianness (boutisme)

33 - Constitution Qu'est-ce qu'il vaut mieux ne pas fixer : Les algorithmes sous-jacent Les algorithmes cryptographiques évoluent et sont remplaçables. De manière général, on précise les types d'algorithmes nécessaires et certains algorithmes «à utiliser» à un moment donné.

34 - Constitution Importance d'un protocole bien défini Interopérabilité Gestion de tous les cas Définition de bornes Prise en compte des contraintes Nature du média d'échange Capacité des différents systèmes

35 - Exemple Cas simple : envoi d'un fichier entre deux machines Problématiques : choix d'algorithmes, échange des paramètres... Le protocole définit quels paramètres attendre

36 - Exemple Cas simple : envoi d'un fichier entre deux machines Paramètres de l'envoi : Algorithmes (DES, AES, Blowfish...) Mode d'utilisation (ECB, CTR, CBC, GCM...) Détails : taille du fichier, nom du fichier... IV, clé de chiffrement

37 - Exemple Envoi d'un fichier chiffré A B algo mode algo mode taille taille IV IV

38 - Exemple Envoi d'un fichier chiffré A B algo mode algo mode taille taille IV tag tag IV tag

39 - Exemple Envoi d'un fichier chiffré A B algo mode algo mode taille taille IV tag tag IV tag

40 - Exemple Le protocole doit définir, en plus de la nature des échanges : La forme des échanges : comment transmettre le choix des algorithmes...? Les cas d'erreurs : algorithmes non supportés, paramètres inacceptables... Contrôle des valeurs de retours avec contrôles d'intégrité, d'authenticité...

41 - Résumé Un protocole est une «langue» permettant de communiquer entre plusieurs éléments Les primitives cryptographiques ainsi que les différents protocoles servent de «brique» pour la construction de protocoles cryptographiques Objectif de la définition de protocoles : interopérabilité, validation de paramètres, contrôle de cas d'exceptions... En terme de sécurité, le choix des divers éléments doit faire l'objet d'une étude attentive : le point le plus faible de l'ensemble définit la résistance du système

42 Cours protocoles cryptographiques Mercredi 13 Février 2013 Polytech SICA2 (4ème année) Sécurité, cryptographie et protocoles Gabriel Risterucci

43 - Plan du cours 3x2 heures de cours, 3x2 heures de TP Cours 1 Cours 2 Cours 3 TP 1 Proj. 1 Proj. 2 Contenu des cours Cours 1 Rappels de sécurité et présentation des protocoles cryptographiques Cours 2 Construction de protocoles cryptographiques, exemples de protocoles (DH, TLS, TOR...) Cours 3 Utilisation de la cryptographie en programmation Java (JCA)

44 - Plan du cours 3x2 heures de cours, 3x2 heures de TP Cours 1 Cours 2 Cours 3 TP 1 Contenu des TP TP 1 Prise en main de JCA Proj. 1 Mini-projet de programmation mettant en œuvre les concepts vu en cours Proj. 2

45 - Introduction - Rappels Propriétés classiques de sécurité Primitives cryptographiques Protocoles Généralités Classes de protocoles Constitution d'un protocole Un exemple

46 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Authenticité Non-répudiation

47 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Principe selon lequel l'accès à une information est restreint à ceux ayant effectivement le droit d'y accéder Intégrité Authenticité Non-répudiation Principal support de la confidentialité : le chiffrement symétrique. On contrôle les droits d'accès via le partage de la clé par exemple.

48 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Pouvoir garantir que les données sont toujours tels qu'elles ont été crées, sans altération Authenticité Non-répudiation L'intégrité n'a pas qu'un rôle de sécurité contre les attaques : elle sert aussi à contrôler le bon fonctionnement d'un système, comme dans les échanges réseaux... pour éviter les corruptions accidentelles.

49 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Authenticité Avoir la possibilité de vérifier qu'une donnée provient bien du bon émetteur Non-répudiation Les mécanismes d'authenticité permettent d'assurer non seulement l'origine d'un message, mais également par exemple qu'une donnée soit passée par un circuit donné, pour confirmer sa chaîne de transmission.

50 - Propriétés de sécurité Propriétés classiques de sécurité : Confidentialité Intégrité Authenticité Non-répudiation Ne pas pouvoir nier être à l'origine d'un message ou d'une transmission La non-répudiation est une propriété importante notamment dans les systèmes avec contraintes légales.

51 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Chiffrement asymétrique, signatures Fonctions de hachage

52 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Principe : chiffrer avec une clé secrète «partagée» La sécurité dépend du secret partagé Chiffrement par blocs, efficace sur de grandes quantités de données Exemples : DES, AES, Blowfish, KASUMI... Le partage du secret est l'élément clé de la sécurité du chiffrement symétrique. Chiffrement par blocs, le plus souvent 16 octets (AES) KASUMI est utilisé pour certains protocoles de téléphonie mobile

53 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Principe : chiffrer avec une clé secrète «partagée» En pratique : le chiffrement par bloc présente des défauts Il existe différents modes d'utilisation : ECB, CTR, CBC, GCM... Problèmes de l'utilisation du mode ECB (fake mode) : répétition des données en entrée, détection de schémas... CTR résous ces problèmes. CBC est auto-synchronisant. GCM ajoute le contrôle d'intégrité et d'authenticité.

54 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement symétrique Problèmes : Fournit seulement la confidentialité Pas de distinction des rôles (aspect symétrique) Les modes d'utilisation rendent les algorithmes de base efficaces Possibilité d'ajouter des propriétés via les modes d'utilisations (intégrité, authenticité...) L'absence de distinction des rôles empêche de fait la non-répudiation.

55 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement asymétrique Principe : utiliser des fonctions non symétriques pour chiffrer et déchiffrer Utilisation de deux clés distinctes pour les deux opérations (clé publique, clé privée) Plus coûteux en ressources (temps de calcul, taille des données) Exemples : RSA, DSA, ElGamal, XTR... Grosse différence avec la crypto. Symétrique : l'utilisation de clés distinctes. Souvent basé sur des problèmes mathématiques importants comme le logarithme discret/l'exponentiation. Généralement basé sur l'idée que connaître un secret permet de calculer rapidement quand l'absence de secret le rend difficile.

56 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement asymétrique Principe : utiliser des fonctions non symétriques pour chiffrer et déchiffrer Applications : chiffrement, signature Certains algorithmes permettent les deux, d'autres sont spécifiques Le chiffrement est coûteux et compliqué : taille de bloc limité, opération très longue par bloc. La signature agit sur un élément de petite taille, et reste donc praticable. Cas de RSA qui permet le chiffrement, et qui marche «dans les deux sens» : chiffrement avec la clé publique ou privée, indiféremment.

57 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Chiffrement asymétrique Problèmes Inapplicable sur de grandes quantités de données Problème d'authenticité des clés L'authenticité est la clé de voûte du système. Prouver l'authenticité d'une clé publique = prouver l'identité associée. Par ailleurs, la clé secrète est un élément critique qui ne doit jamais circuler. Idéalement, ne sort jamais d'un système, et y est stocké chiffré (passphrase ou autre).

58 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Fonctions de hachage Principe : calculer l'empreinte d'un message Fonctionnement déterministe : une entrée donne une unique empreinte Sécurité : résistance à la 1ère pré-image, 2ème pré-image, collision forte Exemples : SHA-(0,1,2,3), MD(4,5,6)... SHA-3 date d'octobre 2012 (Keccak) Fonctions de hachage = fonctions à sens unique avec une entrée une sortie. H(M)=h. 1ère pré-image : connaissant h, impossible de retrouver un M. 2ème pré-image : connaissant M, impossible de trouver M' tel que H(M)=H(M'). Collision forte : impossible de trouver M et M' arbitraires tels que H(M)=H(M').

59 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Fonctions de hachage Principe : calculer l'empreinte d'un message Selon la fiabilité de l'algorithme, une preuve sur une empreinte peut avoir la même valeur que sur l'original Permet d'effectuer efficacement des vérifications d'intégrité, la création d'index, les signatures numériques...

60 - Primitives cryptographiques Il existe différentes classes de primitives cryptographiques : Fonctions de hachage Problèmes Les algorithmes doivent être sûrs et fournir une empreinte de taille raisonnable en restant peu coûteux en terme de ressources Paradoxe des anniversaires (64bits= possibilités) Paradoxe des anniversaires : Nombre de possibilités insuffisant : on peut générer 2^32= (4M) messages valides variant légèrement, et 2^32 message invalides variant légèrement. Trouver deux messages (un valide et un invalide) ayant la même empreinte est très possible.

61 - Généralités Définition d'un protocole : 1. Ensemble des règles, questions, etc., définissant une opération complexe. 2. (informatique) Ensemble de règles définissant le mode de communication entre deux ordinateurs. Pour les protocoles cryptographiques, les deux s'appliquent... On se concentrera ici sur les protocoles de communication Dans les exemples de protocoles cryptographiques n'ayant pas trait aux communications, on peut évoquer le chiffrement de fichiers en local, l'authentification d'un utilisateur...

62 - Classes de protocoles Quelques grandes classes de protocoles : Échange de clés (Diffie-Hellman...) Authentification (Kerberos...) Transferts sécurisés, au-delà de la confidentialité Protocoles de routage (TOR...)...

63 - Constitution Un protocole de communication se déroule généralement en trois étapes Initialisation (setup) Négociation Exécution

64 - Constitution Un protocole de communication se déroule généralement en trois étapes Exemple rapide avec TLS : Initialisation (setup) : calcul des éléments aléatoires Négociation : échanges pour choisir les algorithmes à utiliser et échange du secret Exécution : transfert chiffré

65 - Constitution La plupart des protocoles sont construits à partir de briques plus élémentaires, pouvant elles même être des protocoles sous-jacent On peut considérer beaucoup d'éléments comme «protocoles» : Les primitives cryptographiques Les algorithmes de base (modes d'utilisation...) Les outils de base (combinaison empreinte+signature)... Il y a généralement peu de «niveaux» de briques élémentaires. Il est important de rester simple (KISS) même ici.

66 - Constitution La plupart des protocoles sont construits à partir de briques plus élémentaires, pouvant elles même être des protocoles sous-jacent Par exemple : communication réseau sécurisée Échange de clé Authentification Génération de nombres aléatoires Intégrité, chiffrement/signature... Chiffrement Mode d'utilisation Algorithme de chiffrement par bloc

67 - Constitution Que doit définir un protocole? Tout. ou presque. Environ.

68 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion d'erreurs Forme des échanges

69 - Constitution Que doit définir un protocole? Nature des échanges L'objectif du protocole, ses paramètres... Ordre des échanges Différentes routes possibles Gestion d'erreurs Forme des échanges Les définitions de protocoles sont généralement complètes, y compris dans les paragraphes explicatifs entourant les échanges eux-mêmes.

70 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Pour les protocoles complexes (par exemple entre plus de deux pairs) Différentes routes possibles Gestion d'erreurs Forme des échanges

71 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion de cas différents, exceptions... Gestion d'erreurs Forme des échanges Par exemple, un branchement lorsqu'un client n'a pas encore la clé publique du serveur, pour communiquer la clé.

72 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion d'erreurs Que faire en cas de problème pour ne pas «planter» l'ensemble du système Forme des échanges Ex : si un échange envoi des paramètres incohérents ou non supportés.

73 - Constitution Que doit définir un protocole? Nature des échanges Ordre des échanges Différentes routes possibles Gestion d'erreurs Forme des échanges Structure exacte des messages, en particulier les problèmes d'endianness (boutisme) Endianness, mais aussi transmission de chaînes de caractères avec le problème de leur taille, et le risque d'overflow dans ce cas par exemple.

74 - Constitution Qu'est-ce qu'il vaut mieux ne pas fixer : Les algorithmes sous-jacent Les algorithmes cryptographiques évoluent et sont remplaçables. De manière général, on précise les types d'algorithmes nécessaires et certains algorithmes «à utiliser» à un moment donné. Exemple de SSL/TLS. Aussi, contreexemple de SSL/TLS, pour lequel la rétrocompatibilité s'avère être un problème.

75 - Constitution Importance d'un protocole bien défini Interopérabilité Gestion de tous les cas Définition de bornes Prise en compte des contraintes Nature du média d'échange Capacité des différents systèmes L'interopérabilité permet à différentes implémentation de dialoguer. La gestion de tous les cas est nécessaire notamment pour les cas d'erreur, mais aussi pour les exceptions, les arrêts volontaires, les coupures de communications... La définition de bornes permet de restreindre le risque d'explosion d'une implémentation si elles sont implémentées correctement.

76 - Exemple Cas simple : envoi d'un fichier entre deux machines Problématiques : choix d'algorithmes, échange des paramètres... Le protocole définit quels paramètres attendre

77 - Exemple Cas simple : envoi d'un fichier entre deux machines Paramètres de l'envoi : Algorithmes (DES, AES, Blowfish...) Mode d'utilisation (ECB, CTR, CBC, GCM...) Détails : taille du fichier, nom du fichier... IV, clé de chiffrement

78 - Exemple Envoi d'un fichier chiffré A B algo mode algo mode taille taille IV IV Transmission simple, le secret est partagé dès le départ.

79 - Exemple Envoi d'un fichier chiffré A B algo mode algo mode taille taille IV tag tag IV tag Ajout d'un contrôle d'intégrité

80 - Exemple Envoi d'un fichier chiffré A B algo mode algo mode taille taille IV tag tag IV tag Transmission de la clé : utilisation de chiffrement asymétrique.

81 - Exemple Le protocole doit définir, en plus de la nature des échanges : La forme des échanges : comment transmettre le choix des algorithmes...? Les cas d'erreurs : algorithmes non supportés, paramètres inacceptables... Contrôle des valeurs de retours avec contrôles d'intégrité, d'authenticité... Autres points : contrôle de l'intégrité de l'échange des paramètres par exemple.

82 - Résumé Un protocole est une «langue» permettant de communiquer entre plusieurs éléments Les primitives cryptographiques ainsi que les différents protocoles servent de «brique» pour la construction de protocoles cryptographiques Objectif de la définition de protocoles : interopérabilité, validation de paramètres, contrôle de cas d'exceptions... En terme de sécurité, le choix des divers éléments doit faire l'objet d'une étude attentive : le point le plus faible de l'ensemble définit la résistance du système