Séminaire «Journées d Informatique Pratique JIP 2005» Département Informatique, ISET Rades 31 Mars, 1et 2 Avril 2005 «La Sécurité des Transactions et des Echanges Electroniques» Présenté par: Mme Lamia Chaffai Sghaier Agence Nationale de Certification Electronique
Sommaire Introduction Sécurité sur Internet Crypto systèmes symétriques et asymétriques Certificat et signature numérique Autorité de Certification Quelques protocoles de sécurité Rôle de l Agence Nationale de Certification Electronique Applications Perspectives futures
Sécurité des transactions et des échanges électroniques Pas de présence physique L'interaction se fait à travers un réseau ouvert risques : écoute, répudiation d un acte de vente, d achat ou de payement problèmes de spoofing, sniffing, phishing,. Nécessité de services de sécurité cryptographie
Cryptographie Cryptographie: Science pour définir les crypto systèmes et les algorithmes de chiffrement pour assurer la confidentialité des communications Cryptanalyse : L art de «casser» les techniques cryptographiques Cryptologie : Cryptographie + Cryptanalyse
Chiffrement 2 types de chiffrement: chiffrement à clé symétrique chiffrement à clé asymétrique (à clé publique)
Chiffrement à clé symétrique Principe: On utilise une seule clé «secrète» pour chiffrer et déchiffrer les messages
Chiffrement à clé symétrique Il existe plusieurs algorithmes de chiffrement à clé symétrique: DES (Data Encryption Standard), Triple DES, Blowfish, IDEA (International data Encryption Algorithm) nouveau : AES (Advanced Encryption Standard 256 bits, adopté par le NIST, FIPS 197) http://csrc.nist.gov/cryptotoolkit/aes/ Avantage: rapidité d exécution Problème de gestion (distribution) des clés
Chiffrement à clé publique Utilisation d une paire de clé : une clé privée (secrète) une clé publique destinée à être distribuée. Principe: Lorsqu un message est chiffré par une clé il ne peut être déchiffré que par l autre clé Les deux clés sont reliés par une fonction mathématique Il est impossible de déduire la clé privée à partir de la clé publique
Chiffrement à clé publique 1- Le Récepteur communique sa clé publique à l émetteur 2- L émetteur chiffre le message avec la clé publique puis l envoi 3- Le récepteur déchiffre le message avec sa clé privée
Chiffrement à clé publique Introduit en 1976 par W.Diffie et M. Hellman Il existe plusieurs algorithmes à clé publique: Diffie-Hellman, RSA, ElGamal, le plus récent : Elliptic Curve Cryptography ECC Avantage: gestion de clé simple inconvénient: coûteux en temps de calcul
Fonction de Hachage (hash function) Traitement mathématique pour générer un condensé (message digest) du message de manière irréversible Deux messages différents ne peuvent pas avoir le même condensé exemple d algorithmes de hachage: MD5: Message Digest SHA: Secure Hash Algorithm SHA 1 délaissé, SHA 256 et SHA 512 (NIST)
Qu est-ce qu une signature numérique Une signature numérique = résultat du traitement du message par un calcul mathématique pour obtenir une empreinte digitale du message Utilisation d un logiciel ou d une carte à puce
Qu est-ce qu une signature numérique Cette empreinte digitale doit permettre d authentifier l émetteur Elle doit garantir l intégrité du message Non répudiation par l émetteur
Signature numérique à clé publique Principe: Utiliser une paire de clés : publique: pour vérifier les signatures privée: pour signer les messages Utiliser une fonction de hachage (Hash Function) Standard DSS (1994): Digital Signature Standard défini l algorithme DSA pour obtenir une signature
Obtention de la Signature à clé publique 1- L émetteur opère la fonction de hachage sur le message et obtient un condensé 2- le condensé est chiffré par la clé privée de l émetteur pour obtenir la signature numérique du message
Vérification de la Signature à clé publique 1- Le Récepteur fait le même traitement de hachage sur le message qu il reçoit 2- Il déchiffre la signature avec la clé publique de l émetteur 3- Il compare les deux condensés
Vérification de la Signature à clé publique Token
Subject: Order Author: rqz@ipc.com October 30, 1995 Exemple de message signé (PGP) ---BEGIN PGP SIGNED MESSAGE--- Dear Order Department: We commit to purchase 10,000 widgets at your price of $175 per hundred. Ship to: Industrial Products Co. 555 Retail Drive Chicago, Illinois 60061 Sincerely, Purchasing Department, Industrial Products Co. ----BEGIN PGP SIGNATURE---- Version: 2.6.2 owhtwx1su1uup+91g+22ysbhdhcbezavmq7l9iaunj@uuhx2souspaufvsfu8tby1kuxtgsghay h9b+epbgarbgnselgpinefm5a80xizeopipseimrfbpfr/ajw7rlbjr/zbf0/eed9+599177j3nds9c WlcIlqe3Dflw45vqJ85+dZ5hPywt6u0jb5zYvRmy2drFnZKT17a/97n/Tt11d8dNmyvqV12K7jt8Lxf ---END PGP SIGNATURE---
Certificat Numérique Sommaire Qu est-ce qu un certificat numérique? Quels sont les différents types de certificats? Quels sont les usages d un certificats? Autorité de certification rôle de l autorité de certification Hiérarchie des autorités de certification Chaînes de certificats Protocoles sécurisés IPsec SSL / S/MIME SET / 3D Secure SSH
Le certificat numérique : un passeport électronique Contrôle D accès Signature Électronique De document Commerce Electronique Messagerie sécurisée Authentification Non répudiation Nom Prenom Nom E-Mail Prenom.nom@societe.tn Clé Publique F330CBEC876DE554A 46B52C35F0E7ABCF4 Intégrité Exp.12/05 Certificat Confidentialité
Qu est-ce qu un certificat numérique? 1- un ensemble d information (standard UIT X.509): nom du détenteur du certificat et certaine information l identifiant (adresse E-mail) clé publique du détenteur nom de l autorité de certification qui a lui a fourni le certificat numéro de série (unique) date de validité autres informations 2- signature de l autorité de certification
CONTENU D UN CERTIFICAT (X.509) Certificate: Data: Version: v3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: PKCS #1 MD5 With RSA Encryption Issuer: OU=Ace Certificate Authority, O=Ace Industry, C=US Validity: Not Before: Fri Oct 17 18:36:25 2004 Not After: Sun Oct 17 18:36:25 2005 Subject: CN=Jane Doe, OU=Finance, O=Ace Industry, C=US Subject Public Key Info: Algorithm: PKCS #1 RSA Encryption Public Key: Modulus: 00:ca:fa:79:98:8f:19:f8:d7:de:e4:49:80:48:e6:2a:2a:86: ed:27:40:4d:86:b3:05:c0:01:bb:50:15:c9:de:dc:85:19:22: 43:7d:45:6d:71:4e:17:3d:f0:36:4b:5b:7f:a8:51:a3:a1:00: 98:ce:7f:47:50:2c:93:36:7c:01:6e:cb:89:06:41:72:b5:e9: 73:49:38:76:ef:b6:8f:ac:49:bb:63:0f:9b:ff:16:2a:e3:0e: 9d:3b:af:ce:9a:3e:48:65:de:96:61:d5:0a:11:2a:a2:80:b0: 7d:d8:99:cb:0c:99:34:c9:ab:25:06:a8:31:ad:8c:4b:aa:54: 91:f4:15 Public Exponent: 65537 (0x10001)
CONTENU D UN CERTIFICAT (X.509) (Suite) Extensions: Identifier: Certificate Type Critical: no Certified Usage: SSL Client Identifier: Authority Key Identifier Critical: no Key Identifier: f2:f2:06:59:90:18:47:51:f5:89:33:5a:31:7a:e6:5c:fb:36: 26:c9 Signature: Algorithm: PKCS #1 MD5 With RSA Encryption Signature: 6d:23:af:f3:d3:b6:7a:df:90:df:cd:7e:18:6c:01:69:8e:54:65:fc:06: 30:43:34:d1:63:1f:06:7d:c3:40:a8:2a:82:c1:a4:83:2a:fb:2e:8f:fb: f0:6d:ff:75:a3:78:f7:52:47:46:62:97:1d:d9:c6:11:0a:02:a2:e0:cc: 2a:75:6c:8b:b6:9b:87:00:7d:7c:84:76:79:ba:f8:b4:d2:62:58:c3:c5: b6:c1:43:ac:63:44:42:fd:af:c8:0f:2f:38:85:6d:d6:59:e8:41:42:a5: 4a:e5:26:38:ff:32:78:a1:38:f1:ed:dc:0d:31:d1:b0:6d:67:e9:46:a8: dd:c4
Comment obtenir un certificat Générer sa paire de clé (navigateur, autre logiciel) Générer une requête: soumettre la clé publique ainsi que d autres informations à l autorité de certification Eventuellement s identifier physiquement (classe de certificats 1à 4) Récupérer le certificat signé par l autorité de certification
Les usages d un certificat numérique Authentifier les utilisateurs dans certaines applications (accès aux ressources Internet, Intranet, Extranet) Authentifier les serveurs Vérifier les signatures numériques Sécuriser des messages électroniques
Les usages des certificats SSL(Secure Socket Layer): certificat client et serveur S/MIME(Secure Multipurpose Internet Mail Extensions) certificat client SET et 3D-Secure certificats marchand certificats porteur de la carte de crédit certificats passerelle de payement SSH (Secure Shell) IPsec
Autorité de Certification Une entité de confiance (gouvernementale ou privée) qui délivre les certificats numériques et qui offre: une combinaison de technologies: protocoles et standards de sécurité (PKI, SSL, SET...). une infrastructure de services hautement sécurisés incluant des systèmes redondants. un recueil de procédures et des engagements de responsabilités qui établissent sa capacité à agir en tant que tiers partie de confiance. Un cadre légal permettant de régler les litiges.
Infrastructure à Clé Publique PKI Le standard de base X.509 défini le format des données et procédures relatives à la distribution des clés publiques à travers les certificats signés par les autorités de certification
Certification électronique: Request For Comments Depuis 1995, le WG PKIX de l IETF a publié 26 RFC et des Drafts disponibles sur : http://www.ietf.org/html.charters/pkix-charter.html Demande de certificat : Certificate Request Message Format :RFC 2511 Profil des certificats et de la Liste de Révocation des certificats (CRL): Certificate and CRL Profile : RFC 2459 Algorithme d échange des clés: Representation of Key Exchange Algorithm in X.509 Public Key Infrastructure Certificates: RFC 2528 Protocoles de Gestion des Certificats : RFC 2510 Certificate Policy and Certification Practices Framework : RFC 2527
Architecture d une autorité de Annuaire C.A. Production des Certificats certification PKIX Cross-certification Annuaire Annuaire R.A. Autorité d Enregistrement Principale Autorité d enregistrement secondaire R.A. R.A. Autorité d enregistrement secondaire Utilisateur Final
Modèles de confiance (Trust Models) Modèle hiérarchique (une racine root CA : cas de la Tunisie) Modèle en Mesh (pas de racine, les CA peuvent se co-certifier) Modèle hybride (+sieurs root CA avec des CA non root qui peuvent se co-certifier) Bridge CA (pas de racine, 1 autorité de cocertification) Listes de confiance (existe dans les navigateurs)
Modèle de confiance Hiérarchique
Modèle Hybride
Chaîne de Certificats
Le protocole IPsec Sécurité au niveau réseau / Paquets IP Algorithmes de cryptage: Diffie-Hellman et/ou RSA pour l échanges de clés DES et Triple-DES fonctions de hachage : SHA1 et MD5 Applications: VPN: matériel et logiciel Accès distant : matériel et logiciel Firewalls supportant IPsec
Le Protocole SSL SSL permet de: authentifier un serveur par son certificat authentifier un client par son certificat crypter une connexion client/serveur IETF: Transport Layer Security (TLS) Algorithmes: RSA, RC4, 3DES, DES, DSA, DH SHA1, MD5,
Applications: Le Protocole SSL authentification client(optionnelle)/serveur par certificats numériques et sécurisation des échanges réseaux Intranet/Extranet sécurisés SSL Versus IPsec SSL permet de sécuriser la connexion entre deux applications IPsec sécurise tout le réseau
SSL et Commerce électronique Limites du SSL: permet d authentifier le serveur web du marchand et pas le marchand lui même ne permet pas d authentifier le porteur de la carte de crédit les données de payement peuvent être transmises au site web marchand.
Le Protocole S/MIME Permet de sécuriser les messages électroniques Permet de signer les messages électroniques
Le Protocole S/MIME Algorithmes: RSA pour la signature numérique RC2, DES, et Triple DES pour le cryptage symétrique SHA1 et MD5: fonctions de hachage Applications: S/Mime standard de base pour l EDI/INT (standard EDI sur Internet) envoie sécurisé des échanges bancaires, ordres de payement, messagerie électronique sécurisée
Protocole SET Protocole SET (Secure Electronic Transaction) mis en place par Visa, Mastercard et d autres partenaires. Permet de sécuriser les transactions par cartes de crédit sur Internet Permet d authentifier l acheteur, le vendeur et la passerelle de payement puisqu ils possèdent tous deux paires de clés (authentification, signature numérique)
Sécurisation d une transaction par SET 2. Initiate Request/Supplier Response CORPORATE BUYER 3. Purchase Request Internet OCTACON Certificate 5. Ship Goods Certificate Supplier Server 1. Control Parameters 8. Statement & LID Reporting Internet 6. Capture/Transmit Transaction Data 4. Authorization Request/Response ACQUIRER ISSUER 4. Authorization Request/Response Payment Gateway Certificat e 7. Clearing VisaNet 7. Line Item Detail Purchase Card
Protocole SET Algorithmes utilisés: RSA, SHA1, DES, HMAC-SHA1 Contraintes : déploiement du SET logiciel non disponible à large échelle (navigateur) investissement : certification, matériel et logiciel (client, marchand et passerelle de paiement) Nouvelle version : 3D-Secure
Favoriser la confiance et la sécurité des transactions Création de l Agence Nationale de Certification Electronique : http://www.certification.tn Autorité de certification racine (plus haut niveau de confiance) Génération, renouvellement et révocation des certificats électroniques Fournisseurs de Services de Certification Electronique (FSCEs) Etablissement des accords de reconnaissance mutuelle. Homologation des produits de cryptage
Architecture PKI Tunisienne Autorité Etrangère Accords de Reconnaissance mutuelle ANCE )ANCE )racine CA Privée CA Publique CA RA RA RA
Cadre réglementaire Loi sur le commerce et les échanges électronique (Août 2000): Définition du document électronique et de la signature électronique (génération, conservation, vérification ) Définition du certificat électronique Rôle et obligations des Fournisseurs de Services de Certifications (CSP) Transactions commerciales électroniques Protection des données personnelles
Cadre réglementaire Loi sur les Échanges et commerce électroniques Décret n 2001-1667 cahier des charges des fournisseurs de services de certification électronique. Décret n 2001-2727 Conditions d utilisation des moyens ou des services de cryptage. Arrêté du 19 juillet 2001 Données techniques relatives aux certificats électroniques et leurs fiabilités. Arrêté du 19 juillet 2001 Caractéristiques techniques du dispositif de création de la signature électronique.
Applications Commerce électronique E-gouvernement E-banking, E-finance E-santé E-learning,
Commerce électronique Utilisation des certificats électroniques pour l authentification des sites marchands et la sécurisation des transactions (exp. L inscription universitaire en ligne en utilisant le «E-dinar»)
E-gouvernement Un ensemble de projets prioritaires: Paiement des impôts en ligne Paiement des charges sociales en ligne (CNSS) Municipalités : état civil en ligne (Madania) Constitution juridique des entreprises en ligne
Télé-déclaration Fiscale Actuellement plus d une centaine d entreprises utilisent des certificats pour utiliser le service les transactions sont sécurisées et signées électroniquement. La loi de Finance 2005 impose la télédéclaration en ligne aux entreprises ayant un certain C.A..
E-Services & E-Finance : cas de la Poste III- TUNISIAN POST E-BUSINESS STRATEGY Ambitious strategy toward developing e-business strategy to empower SMEs & e-government Services e-finance /e-payment Certification Third-Trust-party e-business Strategy e-logistics Track & Trace DHL, FedEx, DPD, partnerships On-line Services e-shops / e-counter / Secure e-mail 4
E-Finance Télécompensation bancaire Signature électronique des images des chèques scannés Archivage électronique des images signées Commission nationale pour l archivage électronique
Perspectives futures Nom Prenom Nom E-Mail Prenom.nom@societe.fr Clé Publique Certificat F330CBEC876DE554A 46B52C35F0E7ABCF4 Exp.12/03 Télé-déclaration Fiscale Télé-déclaration CNSS E-banking (CCPnet) Création d entreprise en ligne
Perspectives futures Horodatage et Notariat Electronique Sécurité du commerce mobile (PKI mobile) Archivage électronique légal Intégration d éléments biométriques dans le certificat électronique
Projets PKI OpenSource PKI OpenSSL et TinyCA SSH PyCA, LDAP OpenLDAP
Invitation Conférence Régionale «Sécurité des transactions électroniques et PKI» du 20 au 22 Juin 2005 à Tunis, événement en préparation du SMSI Tunis 2005 Le programme sera disponible sur le site http://www.certification.tn
Merci pour votre attention Agence Nationale de certification Electronique http://www.certification.tn