Cryptographie appliquée

Transcription

1 Cryptographie appliquée Les bases de la cryptographie et ses applications 5INFO INSA m2ri réseau et sécurité Stage sécurité ENSTB 15 mai

2 Grandes idées Cryptographie ancienne : les bases César, Vigenère, Stéganographie Cryptographie moderne : chiffrement symétrique Fleistel Chiffrement par flot Cryptographie moderne : chiffrement asymétrique Principes généraux : complexité mathématique Clés privée et publique, Signatures Chiffrement hybride Club informatique, 15 mai /77

3 Grandes idées Quelques grands protocoles RC4, WEP, MD5 RSA, Diffie-Hellman Applications de la cryptographie Authentifications CHAP, Kerberos, SESAME Applications webs Chiffrement des données (md5), Protocole personnalisé Signatures PGP, s Réseaux Club informatique, 15 mai /77

4 Sommaire Partie 0 : Introduction Buts de la cryptographie Club informatique, 15 mai /77

5 Partie 0 : Introduction Buts de la cryptographie Assurer la confidentialité des données Écriture cachée / couverte : stéganographie Connaissance de l existence de l information connaissance de l information Écriture cachée / brouillée : cryptographie Connaissance de l existence de l information connaissance de l information Assurer l intégrité des données Assurer l authentification d entités Club informatique, 15 mai /77

6 Partie 0 : Introduction Stéganographie Message couvert Caché sur le bras, le crâne du messager Cachée dans une image Message invisible Encre invisible (seulement à la lumière) Techniques simples : faible sécurité mais haut niveau de sécurité en pratique Images : volume important de données De nombreuses techniques Club informatique, 15 mai /77

7 Partie 0 : Introduction - Stéganographie Méthodes de camouflage «modernes» bits de poids faibles (LSB) Message caché dans un fichier Logiciels : Steganos Security Suite, Invisible Secrets, Hide & seek Détection : Attaque passive et active Analyse fréquentielle Analyse statistiques «Signatures» des logiciels de stéganographie Coefficients DCT : images JPEG Logiciels «Le mieux est de tester avec un petit programme les méthodes les plus classiques.» Suite de guillermito, Outguess Club informatique, 15 mai /77

8 Partie 0 : Introduction - Stéganographie Exemples : utilisation de la technique LSB et détection camouflag e Club informatique, 15 mai /77

9 Démo Camouflage Décamouflage Partie 0 : Introduction - Stéganographie Club informatique, 15 mai /77

10 Partie 0 : Introduction Donc stéganographie Simple, théoriquement faible Mais en pratique fiable (?) Cryptographie : grandes propriétés Diffusion Modification du message en clair => modification complète du chiffré Confusion Aucune propriété ne peut être déduit du chiffré Importantes pour le lien clé - qualité Club informatique, 15 mai /77

11 Sommaire Partie 1 : Cryptographie ancienne César Vigenère Club informatique, 15 mai /77

12 Cryptographie ancienne César César substitution Décalage de 3 dans l alphabet A->D, B->E.. X >-A,Y->B et Z-> C errara humanum est => huudud kxpdqxp hvw Cas particulier de la substitution monoalphabétique A B C D E F Y Z Attaque : cryptanalyse fréquentielle Pas de diffusion, pas/peu de confusion Club informatique, 15 mai /77

13 Cryptographie ancienne Vigenère Vigenère Substitution polyalphabétique Choix de l alphabet : lettre de la clé A B C D E F Y Z A B C D E F G H I.. B C Club informatique, 15 mai /77

14 Cryptographie ancienne Vigenère Attaque : cryptanalyse fréquentielle avancée 19ème siècle, C. Babbage Retrouver la taille de la clé Analyse mono alphabétique sur chaque sous phrase Pas de diffusion, pas/peu de confusion Club informatique, 15 mai /77

15 Cryptographie ancienne Vigenère Démo Chiffrement : Cryptanalyse : pas à pas : Club informatique, 15 mai /77

16 Enigma Enigma Substitution polyalphabétique Rotors : 26 alphabets (rotation) ( * 6 * ) : 26! / (12! * 14!) * 12! / (6! * 2^6)) Club informatique, 15 mai /77

17 Sommaire Partie 2 : Cryptographie moderne Chiffrement symétrique Chiffrement asymétrique Quelques grands protocoles RC4, WEP MD5 RSA Diffie-Hellman Club informatique, 15 mai /77

18 Sommaire partie 2.1 Théorie Chiffrement symétrique Chiffrement asymétrique Club informatique, 15 mai /77

19 Chiffrement symétrique Chiffrement symétrique Une clé, K Chiffrer : [M]K Déchiffrer : [[M]K]K Une fonction de chiffrement Services Confidentialité Intégrité? Authenticité? Avantage : algorithmes rapides (XOR) Inconvénients Secret partage => N * (N-1) / 2 clés Club informatique, 15 mai /77

20 Chiffrement symétrique 2 grandes catégories Chiffrement par flot Stream cipher Bluetooth A5/1 RC4 Chiffrement par blocs Block cipher Schémas de Fleistel Club informatique, 15 mai /77

21 Chiffrement symétrique Chiffrement par blocs Schéma de feistel ECB Même bloc, même chiffré Blocs independants Club informatique, 15 mai /77

22 Chiffrement symétrique PCBC Blocs dépendants Pas de réordonancement possible Propagation d erreurs Club informatique, 15 mai /77

23 Chiffrement asymétrique Chiffrement asymétrique Deux clés Une secrète, la clé privée, priv Une publique, la clé publique, pub 2N clés Deux fonctions de chiffrement Services Confidentialité : [M]pub Authenticité et intégrité : [M]priv Cryptanalyse mathématique complexe Factorisation de grands nombres (pub -> priv, ) Club informatique, 15 mai /77

24 Chiffrement asymétrique Chiffrement Alice veut envoyer un message à Bob Signature Bob veut prouver son identité à Alice Club informatique, 15 mai /77

25 Chiffrement hybride Intérêts Atouts du chiffrement symétrique rapidité Atouts du chiffrement asymétrique Moins de clés Plus de fonctionnalités Note : Alice, Bob, Oscar, Nestor et Eve Club informatique, 15 mai /77

26 Cryptographie moderne un livre Un livre : Handbook of Applied Cryptography Chapitre 4 Introduction aux clés publiques Chapitre 6 Chiffrement par flot Chapitre 7 Chiffrement par blocs Chapitre 8 Chiffrement asymétrique Chapitre 9 Fonctions de hachage Club informatique, 15 mai /77

27 Sommaire partie 2.2 Quelques grands protocoles RC4, WEP MD5 RSA Diffie-Hellman Club informatique, 15 mai /77

28 RC4, WEP Quelques grands protocoles RC4, WEP chiffrement à flot 1987 par Ronald Rivest Fonctionnement K : initialisée avec la clé S : initialisée avec K i = 0 j = 0 Pour chaque octet du texte clair. Ajouter 1 à i Ajouter S[i] à j Permuter S[i] avec S[j] n = S[i] + S[j] Retourner le résultat du OU-Exclusif entre S[n] et l'octet du texte clair) Fin Pour Club informatique, 15 mai /77

29 Quelques grands protocoles RC4, WEP Sécurité Clé de 256 : actuellement symétrique = 128 bits Table S de RC4 : états Jusqu à maintenant résistant aux attaques Et le WEP chiffrement par flot : même clé pas être utilisée deux fois IV de 24 bits : pas assez long Et plein d autres problèmes Cf. la mini présentation «pratique» sur le cassage de clé WEP Club informatique, 15 mai /77

30 Quelques grands protocoles MD5 MD5 Message Digest 5 Ronald Rivest 128 bits probabilité très forte:2 messages différents, 2 empreintes différentes Principe des fonction de hachage K[i] : constantes (sinus) A,B, C, D :initialisés par une clé statique Club informatique, 15 mai /77

31 Quelques grands protocoles MD5 «la sécurité du MD5 n'étant plus garantie selon sa définition cryptographique, les spécialistes recommandent d'utiliser des fonctions de hachage plus récentes comme le SHA-256» SHA-256 : algorithme NSA Variante de SHA Helena Handschuh et Henri Gilbert : analyse de SHA-256, 384, 512 pas atteints par les attaques sur les autres fonctions de hachage Club informatique, 15 mai /77

32 Quelques grands protocoles RSA Mathématique modulaire Petit théorème de Fermat Si pgcd(a,n) = 1, a phi(n) = 1 mod n inverse de a : a phi(n) - 1 mod n (Euler) Racine e ième modulaire trouver x / x e = c mod n Logarithme discret trouver x / a x = b mod p (Diffie Hellman) Club informatique, 15 mai /77

33 Quelques grands protocoles RSA RSA Initialisation : p & q e : pgcd(e, phi(n)) = 1 C = M e (mod n) { (n,e) : clef publique (n,d) : clef privée Club informatique, 15 mai /77

34 Quelques grands protocoles RSA Sécurité de RSA : Factoriser n (publique) Trouver p et q En déduire e et d Aucun algorithme performant, et aucune étude mathématique Cryptanalyse depuis 25 ans 2005 : 663 bits officiellement Actuellement : 1024 très utilisé 2048? 4096 = incassable?? Club informatique, 15 mai /77

35 Quelques grands protocoles RSA Démo Décryptage avec Mapple Données : p = q = n = chiffres : 10 * 3 chiffres (2^10)^10 bits Clé de 100 bits Club informatique, 15 mai /77

36 Quelques grands protocoles RSA Club informatique, 15 mai /77

37 Diffie-Hellman Quelques grands protocoles Diffie- Hellman But : Créer un secret entre deux entités Données g < p Pour tout n e [1, p-1], il existe k / n = g ^ k % p a : secret de A g^a % p : clé publique de A B : secret de B g ^b % p : clé publique de B Clé secrète commune : g ^ ab % p Club informatique, 15 mai /77

38 Sommaire Partie 3 : exemples d applications Authentifications CHAP Kerberos SESAME Applications webs Signatures Réseaux VPN SSL Club informatique, 15 mai /77

39 Authentifications - CHAP CHAP Challenge-Handshake Authentication Protocol But : authentification par challenge-réponse Algorithme symétrique Exemple : CHAP with md5 CHAP : RFC décrit les principes mais gestion des secrets non spécifié Club informatique, 15 mai /77

40 Authentifications - CHAP Club informatique, 15 mai /77

41 Authentifications - Kerberos Kerberos (RFCs) But : serveur d authentification, algorithmes asymétriques, tickets d accès Limiter l utilisation de la clé client Kc (attaque statistique) Club informatique, 15 mai /77

42 Authentifications - Kerberos Attaques sur Kerberos attaque par répétition messages: rejoués pendant la durée de vie des tickets (~8h) services de datation toutes les horloges du réseau doivent être plus ou moins synchronisées plupart des protocoles de maintien du temps en réseau : pas sûrs Paris de mots de passe collectionner les premières moitié du message KRB_AS_REP (Eksource(Kconnex)) prévoir la valeur de Ka (en général, H(P)) parier sur P et vérifier avec des messages de la source Club informatique, 15 mai /77

43 Authentifications - SESAME SESAME Secure European System for Applications in a Multivendor Envrionnment Serveur 1 : interaction authentification client et authentification droits d accès Serveur 2 : interaction droits d accès vendeur (service) Club informatique, 15 mai /77

44 Authentifications - SESAME Similaire à Kerberos, mais version européenne SESAME adds to Kerberos Heterogeneity sophisticated access control features better manageability, audit and delegation. Sensible aux mêmes attaques que Kerberos Exemple d applications : Sésame de Rennes 1 (portail)? ICL's Access Manager Bull SA's Integrated System Management AccessMaster (ISM AccessMaster) Webmail INSA Club informatique, 15 mai /77

45 Authentifications Mais aussi RADIUS X509 Club informatique, 15 mai /77

46 Applications web MD5 Applications web MD5 Chiffrement des mots de passe Bases de données : risque moins important Club informatique, 15 mai /77

47 Applications web MD5 Mais... Project RainbowCrack hash cracker «do all cracking time computation in advance» «store the result in files so called "rainbow table"» Club informatique, 15 mai /77

48 Applications web MD5 Applications web MD5 version 2 Signatures Authentification du logiciel intégrité du transfert Être «sûr» de ce que l on télécharge Piratage: modifier l exécutable Md5 différents Modifier l information sur le site de l auteur Club informatique, 15 mai /77

49 Applications web MD5 Mais MD5 collision databases Février 2005 : équipe chinoise Exploitation générique d une faille Mais pré requis important (structure du message original) Club informatique, 15 mai /77

50 Applications Applications web - Protocole personnalisé Interface locale : administration Interface web : publication Buts mises à jour locale -> web Automatique (quelques clicks) Cacher l aspect sécurité Club informatique, 15 mai /77

51 Solution Applications web - Protocole personnalisé Interfaces préconfigurées password d authentification : suite aléatoire de caractères, 1024 bits Signature de l interface locale : authentification Message : («connexion», id, k(hash(id)))) Mais protéger les données : chiffrer ou signer? Message m -> k(m) ou (m, k(h(m)) Trop de données Analyse (chiffrement symétrique) clé retrouvée Club informatique, 15 mai /77

52 Applications web - Protocole personnalisé Chiffrement hybride Clés de sessions Calculées au début de la session Cassable, mais avec du temps Ne sert pas à l authentification Club informatique, 15 mai /77

53 PGP, s Authentification des s Un peut être forgé Serveurs sans authentification pour l envoi Comment être sur de l emetteur? Exemple (ThunderBird) Gnupg, Enigmail, Signature du message : identité Identité vérifiée si désiré (action du destinataire) Chiffrement du message : confidentialité Mais message lisible que par des personnes habituées ou client configuré Club informatique, 15 mai /77

54 PGP, s Club informatique, 15 mai /77

55 Sécurité Réseau Sécurité Réseau Principes : pile TCP/IP Protéger un niveau Lequel? Comment? Club informatique, 15 mai /77

56 TLS/SSL TLS/SSL Secure Sockets Layer SSL is designed to establish a secure connection between two computers Mécanisme très utilisé : Utilisation de certificats hiérarchiques Confiance dans les trusted Root Certificate Délivrés par des autorités internationnales Club informatique, 15 mai /77

57

58

59

60 Sommaire Partie 4 : extensions Preuves formelles Méthode B Méthode BAN Méthode par réduction Cryptographie et ordinateur quantique Grandes idées Perspectives Club informatique, 15 mai /77

61 Sécurité des protocoles Sécurité des protocoles Buts Assurer la sécurité d un protocole Solutions Tester Fortes chance qu il reste des failles Prouver Méthodes formelles Logique donc sûr? Club informatique, 15 mai /77

62 Sécurité des protocoles Sécurité des protocoles : preuves Méthodes formelles classiques Méthode B : spécification sous forme mathématique Club informatique, 15 mai /77

63 Sécurité des protocoles Méthode BAN : Preuves par déduction, adaptée aux réseaux Modélisation dans la logique BAN Preuves formelles Applications Kerberos Neuman et stubblebine Diffie Helman Otway Rees Shamir-Rivest-Adleman Three Pass Protocol (auteurs de RSA) Club informatique, 15 mai /77

64 Sécurité des protocoles BAN : exemple Club informatique, 15 mai /77

65 Sécurité des protocoles Méthode par réduction Définir des hypothèses algorithmiques précises Considérer un attaquant Attaquer les hypothèses Différentes méthodes, différentes limites Attention au contexte Une Comparaison entre Deux Méthodes de Preuve de Sécurité Duong Hieu Phan David Pointcheval The exchanged key is provably secure in the sense of the BAN logic but it is not when we analyze it by reduction. Club informatique, 15 mai /77

66 Sécurité des protocoles Exemple Outils d administration : comptes par défaut Patchs de GCC : détections (buffer overflow) non parfaites Gcc 4.1 (2006) Mudflap, patch ProPolice d IBM Club informatique, 15 mai /77

67 Perspectives L avenir de la cryptographie Les clés Actuellement : 1024 bits (asymétrique) et 128 bits (symétrique) Problèmes légaux Mais 2048 et 256 bits? Les techniques Méthodes de bases fiables (cryptographie moderne) Protocoles exploitent ses bases IPv6 Club informatique, 15 mai /77

68 Perspectives Attaque de plus en plus performantes et avancées Faille d implémentation du protocole WEP et RC4 Faille du support Faille de sécurité dans les processeurs 2002 : Pentium 4 HT (9), processeur nouvelle génération SMT SMT : Simultaneous multithreading Simple Branch Prediction Analysis Attack (SBPA). Méthodes cryptographique de plus en plus performantes Généralisation de l utilisation des méthodes formelles techniques de plus en plus avancées et «sécuritaires» Trusted Base (confusion avec «Palladium») Next-Generation Secure Computing Base (NGSCB) Club informatique, 15 mai /77

69 Bonus - Ordinateur Quantique Présentation Bit : soit un 1 soit un 0 Qbit : 1, 0, superposition d'un 1 et d'un 0 distribution de phase 0 : 1, 90 : 0 superposition d'états : sin² et cos² de la phase puissance théorique: double à chaque fois qu'on lui adjoint un qubit Club informatique, 15 mai /77

70 Bonus - Ordinateur Quantique Utilisations mécanique quantique Problème = complexité calculatoire cassage de chiffrement Problème = complexité algorithmique Ordinateur quantique : «explose les capacités» ordinateur classique: 10 millions de milliards de milliards (10 24 ) d'années pour factoriser un nombre de 1000 chiffres. algorithme de Shor, 20 minutes! Processeurs 32 qbits au lieu de 32 bits /t/physique/d/lordinateur-quantique_552/c3/221/p7/ Club informatique, 15 mai /77

71 Bonus - Cryptographie quantique Aspect théorique incertitude d'heisenberg certaines quantités ne peuvent pas être mesurées simultanément Écoute (espion) => réémission protocole CH.Bennett et G.Brassard 0, 45, 90, 135. Mais si écoute à échouée que réemettre? Club informatique, 15 mai /77

72 Bonus - Cryptographie quantique Club informatique, 15 mai /77

73 Références Bruce Schneier, Applied cryptography: Protocols, algorithms, and source code in c, 2nd edition, Wiley, October Cours de m2ri supélec Ludovic Mé & Christophe Bidan, 2006 Et les éternels... Google Wikipedia ( et Club informatique, 15 mai /77

74 Références détaillées Stéganographie MD5 Club informatique, 15 mai /77

75 Références détaillées Handbook of Applied Cryptography table_of_contents.html Grands protocoles RSA, Kerberos, SHA (256), %C3%A9cifications_SHA-256 Club informatique, 15 mai /77

76 Références détaillées SSL Méthodes formelles Exemple B, Exemple BAN et méthode par réduction, Club informatique, 15 mai /77

77 Références détaillées IRISA /new/007/branchpredictionattack004 Bibmath Ordinateurs quantiques Club informatique, 15 mai /77