Sécurité informatique, cryptographie, certificats et signature électronique (DESS NTSI) Florent Guilleux, octobre 2004 florent.guilleux@cru.fr www.cru.fr
Ce cours dans votre formation découvrir la problématique de la sécurité avoir quelques bases pour comprendre des argumentaires techniques et les discours informatique, la cryptographie et la signature informatique commerciaux relatifs à la sécurité électronique
Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé
Pourquoi de la sécurité informatique? l informatique est omniprésente, dans des secteurs de plus en plus critiques certaines dimensions changent dans le monde virtuel : l espace, le temps ainsi que les ordres de grandeurs ; par conséquent le danger des attaques aussi les menaces pour les libertés professionnelles et individuelles sont réelles la sécurité informatique devient primordiale
Vocabulaire sûreté : protection contre les actions non intentionnelles sécurité : protection contre les actions intentionnelles malveillantes menace : moyen potentiel par lequel un attaquant peut attaquer un système risque : prise en compte à la fois la probabilité d'une menace et de sa gravité si elle réussit
Les objectifs théoriques authentifier les utilisateurs, gérer leurs autorisations assurer la confidentialité et l intégrité des données et des communications assurer la disponibilité des services
Principales définitions identifier : obtenir l identité d une personne ou d une entité authentifier : vérifier qu une personne ou une entité correspond bien à son identité déclarée (par exemple par identifiant et mot de passe) autoriser : vérifier qu une personne ou une entité à les droits nécessaires pour accéder ou modifier à une ressource
Principales définitions confidentialité : propriété d'une information qui n'est ni disponible, ni divulguée aux personnes ou entités non autorisées intégrité : propriété d une information qui n a pas été modifiée ou altérée lors d un échange (par exemple sur un réseau) ou pendant sa conservation disponibilité : capacité d une ressource à être accessible
Quelques difficultés historiques : Internet n a pas été conçu en tenant compte de contraintes de sécurité législatives : retard du législatif sur la technologie, diversité des législations nationales
Quelques difficultés économiques : la sécurité informatique est coûteuse et sans bénéfices visibles directs les attaques informatiques sont de plus en plus motivées par des gains financiers («intelligence économique», spam ) ignorance : beaucoup de discours politiques ou commerciaux simplificateurs
Quelques difficultés humaines et organisationnelles : formation, responsabilisation (cf. l ingénierie sociale) la sécurité dépend des personnes, celles qui attaquent et celles qui défendent l aspect humain est primordial en sécurité informatique
Difficultés techniques évolution permanente et soutenue (cf. attaques virales) systèmes très complexes, non séquentiels et couplés «le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible»
Difficultés techniques la standardisation rend possible les class breaks : une faille de sécurité dans un produit peut affecter beaucoup d organismes, d institutions et de personnes à la fois les attaques sont désormais automatisées : des programmes sont disponibles et permettent d exploiter une faille sans la comprendre couplée à l automatisation des attaques, les class breaks rendent profitables les attaques avec un taux marginal de retour et un taux marginal de réussite
Difficultés techniques il est très difficile d évaluer la qualité d un produit de sécurité ou d un algorithme cryptographique: ses conditions d utilisation peuvent être très variées, il est délicat de mettre au point des tests exhaustifs en général on ne peut pas prouver théoriquement la fiabilité d un procédé de sécurisation les mesures sont difficilement quantifiables souvent la confiance dans un produit de sécurité ou algorithme de sécurité vient du fait : 1. qu il soit utilisé par une large communauté depuis un certain temps 2. et que des failles de sécurité trop nombreuses ou trop graves le concernant n aient pas été découvertes en général un produit ayant un code source accessible ou un algorithme publique est considéré plus sûr
Les solutions efforts de rationalisations : normes, protocoles, méthodes d évaluation amélioration des produits élaboration d une politique de sécurité harmonisation des législations, coopération internationale utilisation de procédés techniques, par exemple la cryptographie
Sécurité et secret relation subtile et souvent contre intuitive un secret est souvent difficile à : créer partager conserver détruire un secret doit pouvoir être facilement changé principe de Kerchoff : un algorithme de chiffrement / déchiffrement doit être publique, seules les clés doivent être secrètes
Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé
Cryptographie Chiffrement symétrique Chiffrement asymétrique Attaques possibles contre les techniques de chiffrement
Cryptographie : vocabulaire Cryptologie La science du secret Cryptographie Concevoir des mécanismes destinés à assurer un secret Cryptanalyse Déjouer les mécanismes destinés à assurer un secret Cryptographie à clé secrète (chiffrement symétrique) Cryptographie à clé publique (chiffrement asymétrique)
Vocabulaire chiffrer : utiliser une clé cryptographique pour coder un message afin de le rendre illisible déchiffrer : utiliser une clé cryptographique pour décoder un message codé et pouvoir le lire message «en clair» : version lisible d un message décrypter : réussir à décoder un message chiffré sans avoir initialement la clé cryptographique permettant de le décoder «casser» un algorithme cryptographique : trouver une méthode permettant de décrypter tous les messages chiffré par cet algorithme
Chiffrement symétrique
Chiffrement symétrique principe de base contexte : Alice veut envoyer à Bob un message illisible par un tiers solution : Alice utilise une clé secrète pour chiffrer (= coder) son message la clé est un nombre ou un mot que seuls Alice et Bob connaissent (ils se la sont communiquée avant l échange de leur message) le message codé n est décodable qu avec la clé secrète
Histoire du chiffrement symétrique depuis la nuit des temps les hommes, surtout les militaires, ont pratiqué l espionnage et le contreespionnage le chiffrement des messages est donc né presque en même temps que l écriture disque de Phaïstos (Crète 1700 av. JC ) le Scytale (Sparte 400 av. JC)
Chiffrement : Substitution de caractères 1 f x g h x t d o v x r v y u Il suffit de tester tous les décalages possibles pour retrouver le message en clair ules César : chiffrement d un message par décalage es lettres dans l alphabet (a->d, b->e, c->f ) c u d e u q a l s u o s v r
Chiffrement : Substitution de caractères 2 solution : utiliser des décalages différents suivant les lettres (a->r, b-> q, c->a ) mais par analyse statistique de la fréquence des lettres on retrouve les correspondances qui ont servi au codage (cryptanalyse au IX siècle par Al-Kindi)
Chiffrement : Substitution de caractères 3 u a n b i b v y e a r b s b i y t a e b utilisation d un mot secret et d u alphabet de substitution pou procédé de Vigenère (1586) chaque mot v p k u f t u h u g une lettre devient codé différemment à chaqu occurrence, plus d analy statistique possible a méthode n est plus secrète, c est le mot utilisé (la «clé») pour coder qui renferme le secret
Amélioration du procédé de Vigenère le procédé de Vigenère a été «cassé» en 1854 en exploitant la répétition de la clé -> tentatives d améliorations successives Machine Enigma (Allemagne, 1920) Bombe rapide (Angleterre, 1945)
Le chiffre à usage unique avec une clé secrète de la longueur du message à coder, il es ossible de coder un message absolument indéchiffrable pa n tiers (Vernam 1917)!!! méthode utilisée pour le téléphone rouge entre Moscou e ashington, par Che Guevara pour ses communications ave astro ais la clé secrète doit être «parfaitement aléatoire» elle ne doit être utilisée qu une unique fois problème de la transmission et du stockage de la clé secrète
Chiffrement symétrique : synthèse tilisation d une clé secrète de chiffrement partagée par l expéditeur et destinataire pour chiffrer un message message en clair message chiffré message en clair message chiffré
Algorithmes de chiffrement symétrique algorithme DES Triple DES IDEA RC4 Blowfish AES longueur de la clé 56 bits 128, 156 bits 128 bits variable 1-448 bits 128, 192, 256 bits
Data Encryption Standard normalisé en 1976 par le NBS (NIST) chiffrement de blocs de 64 bits par une clé de 56 bits mal adapté à une réalisation logicielle (conçu pour être câblé) aujourd hui taille de clé insuffisante utiliser le Triple DES ou l AES
Advanced Encryption Standard 1997 le DES était en fin de vie, le NIST organise un concours international pour le remplacer cahier de charges : longueur de clés variables implémentable sur des plates-formes variés rapide libre de droits Rijmen et Daemen (cryptographes belges) vainqueurs en 2001
Chiffrement symétrique : les défauts il faut réussir à communiquer la clé secrète au destinataire par un moyen sûr il faut une clé différente pour chaque destinataire Nb de personnes 2 5 100 n Nb de clés 1 10 4450 n(n-1)/2 seuls les militaires et les diplomates utilisaient la cryptographie
Chiffrement asymétrique
désormais utilisé partout : carte bancaire écurisation d Internet, télévision cryptée, carte identité électroniques Chiffrement asymétrique : la révolution conception théorique par Diffie et Hellman (1976) système le plus utilisé : RSA créé en 1977 on peut se transmettre des messages chiffrés sans devoir préalablement s échanger une clé secrète
Principe de base (dans le monde réel) Bob distribue à qui en veut une copie de son cadenas personnel ; mais lui seul possède la clé permettant d ouvrir ce cadenas Alice utilise ce cadenas pour verrouiller un coffre contenant le message confidentiel qu elle veut lui transmettre seule la clé que possède Bob permet d ouvrir le coffre et de lire le message confidentiel transmission sécurisée sans échange de secret au préalable comment rendre impossible la fabrication de la clé à partir du cadenas?
raduction en langage cryptographique comment coder un message avec un nombre de sorte qu i ne puisse être décoder qu avec un second nombre associé? comment rendre impossible la déduction du second nombre à partir du premier? Monde réel Cadenas Clé adenasser le coffre Décadenasser le coffre Monde virtuel Nombre Autre nombre Opération mathématique Autre opération mathématique Terme cryptographique Clé publique Clé privée Algorithme de chiffrement Algorithme de déchiffrement
Exemple avec le chiffrement RSA Trois étapes : création d une clé publique et d une clé privée pour Bob (la clé publique est diffusée à tout le monde, par exemple à Alice) à chaque fois qu Alice veut envoyer un messag confidentiel à Bob, elle utilise la clé publique de Bob pou chiffrer le message Bob utilise sa clé privée pour déchiffrer le message envoyé par Alice
RSA : 1. création des clés Choix aléatoire de deux nombres premiers p et q p = 3 et q =7 Calcul de n = p x q et de e un nombre premier avec f = (p-1) x (q-1) n = 3 x 7 = 21 ; f = 2 x 6 = 12 ; e = 5 Calcul de d tel que e x d = 1 modulo f d = 5 car 5 x 5 = 1 mod 12 la clé publique de Bob est constituée de n et e sa clé privée est d
RSA : 2. chiffrement d un message lice veut chiffrer le message B pour l envoyer à Bob Transformation du message en une suite de chiffres selon une convention connue de tous B devient x = 02 Chiffrage du résultat en utilisant la clé publique de Bob (n et e) et la formule y = x e modulo n y = 2 5 modulo 21 = 32 modulo 21 = 11 Envoi du résultat y à Bob
RSA : 3. déchiffrement Bob déchiffre le message y en utilisant sa clé privée d pour calculer z = y d modulo n z = 11 5 modulo 21= 161051 modulo 21 = 2 le nombre z est retranscrit en lettres selon la convention utilisée lors du chiffrement z = 2 => message en clair = B le procédé est le même pour un message de plusieurs lettres les nombres utilisés dans la réalité (n, p, q, e ) fon lusieurs centaines de chiffres
RSA : pourquoi ça marche? comment chiffrer un message avec une clé de sorte qu il ne puisse être décoder qu avec une autre clé associée? le théorème mathématique de Fermat-Euler assure que la formule de déchiffrement z = y d modulo n redonne le message initial z = y d = x ed = x modulo n
RSA : pourquoi ça marche? comment rendre impossible la découverte de la clé privée quand on connaît seulement la clé publique? en gros la clé privée est la décomposition en facteurs premiers de la clé publique. Pour retrouver la clé privée à partir de la clé publique il faut donc réussir à décomposer la clé publique en nombres premiers. C est une opération mathématiquement «impossible» pour des grands nombres.
Confiance dans RSA utilisé depuis 25 ans, quelques défauts mineurs ont été corrigés la confiance dans la sécurité de RSA est calculatoire : difficulté de factoriser un grand nombre en facteurs premiers mais il n existe pas de démonstration que RSA ne puisse pas être un jour pris en défaut : si un petit génie trouve demain une méthode pour factoriser facilement les grands nombres, l économie mondiale risque
Cryptographie : synthèse le chiffrement asymétrique est très lent (1000 fois plus que le chiffrement symétrique) -> utilisation combinée des chiffrements asymétrique et symétrique. d abord l expéditeur d un message choisit une clé secrète symétrique. il chiffre son message avec cette clé secrète. il envoie au destinataire ce message chiffré et ainsi que la clé secrète chiffrée avec la clé publique du destinataire. le destinataire déchiffre avec sa clé privée la clé secrète chiffrée. avec le clé secrète déchiffrée, il déchiffre le message
Cryptographie : synthèse RAND Clé publique du destinataire Chiffrement symétrique Chiffrement asymétrique déchiffrement symétrique déchiffrement asymétrique Clé privée du
Les attaques 1/4 il existe de nombreuses méthodes d attaque parfois extrêmement sophistiquées force brute : essayer toutes les clés possibles. Principal danger : l augmentation de la puissance des machines. Parades : augmenter la longueur des clés, choisir des algorithmes coûteux 1997 : 3 heures pour casser une clé secrète de 40 bits 1999 : factorisation d une clé asymétrique de 512 bits (155 chiffres décimaux)
Les attaques 2/4 analyse statistique basée sur les propriétés des messages en clair : le «e» représente 14.5 % des caractères utilisés dans un texte en français il existe des tables statistiques pour des motifs de plusieurs lettres. Parade : utiliser un algorithme tel que le cryptogramme ait une entropie maximale attaque sur l entropie des clés : elles doivent être «le plus possible» aléatoires
Les attaques 3/4 attaques physiques : un attaquant peut retrouver des informations sur une clé privée en mesurant les temps de calcul des opérations de chiffrement ou la consommation électrique d une carte à puce RSA il faut des années et l implication d une large communauté pour arriver à un certain niveau de confiance dans un procédé de chiffrement (RSA 25 ans)
Les attaques 4/4 comment cambrioler une maison? comment lire un message chiffré? essayer toutes les ombinaisons de la serrure attaque par force brute crocheter la serrure casser la vitre voler la clé les attaques que l on vient de voir s introduire sur l ordinateur du destinataire pour y lire le message déchiffré voler la clé privée sur l ordinateur
Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé
Préalable : l empreinte numérique une empreinte numérique est un «résumé» d un document électronique (appelé aussi condensat) elle est de taille fixe (128 bits à 160 bits) deux documents très légèrement différents ont des empreintes différentes (propriété de «non collusion») il est très difficile de construire un document qui ait la même empreinte qu un autre document (propriété de «sens unique») algorithmes pour calculer une empreinte : MD5, SHA1 ces algorithmes sont appelés fonctions de hachage
Qualité d une fonction de hachage chaque bit de l empreinte dépend de l ensemble des bits du message le changement d un bit du message d entrée provoque en moyenne le changement de la moitié des bits du condensé connaissant H(M), il est difficile de trouver M tel que H(M)=H(M )
Exemples d empreinte exemples d empreintes générées par la commande unix md5sum cette phrase se termine par a cette phrase se termine par e cette phrase se termine par 3 cette phrase se termine par * 30aa5e7e92a8c71cc10f e9eeebe01a3b d7e1076cbe1d660e14f3 84683d82cc06 e93dde961b27878ae85 8c8e2f696aa7f 828b883f6a0ec783181a 6475c0aeefd2
La signature électronique Prouver l identité de l auteur d un document électronique (par exemple un email) Comment signer un document électronique? Comment vérifier une signature électronique? Quelles sont ses propriétés? Quel degré de confiance peut-on lui accorder? Utilisation du chiffrement asymétrique (clés privée et publiques)
Comment signer des données? L auteur chiffre l empreinte numérique du document avec sa clé privée ; le résulta constitue la signature électronique du document ; elle est ajouté à la fin du documen ocument initial document et son empreinte clé privée de l auteur document et sa signature
Comment vérifier une signature électronique? Le lecteur du document déchiffre la signature avec la clé publique de l auteur ; ensuite il calcule l empreint du document sans la signature ; il compare ces deu résultats ; s ils sont identiques la signature est valide cument et signature clé publique de l auteur empreinte =?
Propriétés de la signature électronique on ne peut pas imiter la signature électronique d une personne si on ne lui a pas volé sa clé privée (tant que l algorithme de chiffrement asymétrique est reconnu sûr) on ne peut pas recopier la signature électronique d un document pour l apposer sur un autre document à cause de l utilisation d empreinte numérique dans la signature de plus, et contrairement à la signature manuscrite, l intégrité du document électronique est garantie, i.e. toute modification du document après sa signature rend la signature invalide (même raison que précédemment)
ue peut-on déduire de la vérification d une signature électronique? si la vérification a échouée : soit le document a été modifié depuis sa signature soit la clé privée utilisée pour signer n est pas la clé privée associée à la clé publique utilisée pou vérifier la signature si la vérification est réussie cela signifie : 1. que le document n a pas été modifié depuis sa signature 2. et que la clé privée utilisée pour signer est bien la clé privée associée à la clé publique utilisée pou vérifier la signature
Attaque des anniversaires faire signer à un tiers un message correct mais pour lequel il existe un message frauduleux ayant la même empreinte on obtient ainsi une fausse signature parfaite cette attaque s appuie sur le paradoxe des anniversaires : il suffit de 23 personnes pour qu il y ait plus d une chance sur deux pour que parmi elles deux personnes soient nées le même jour! ce résultat probabiliste surprenant facilite une attaque sur les empreintes MD5 (128 bits) devient déconseillé, utiliser plutôt SHA1 (160 bits)
Attaques des anniversaires une fonction de hachage générant une empreinte de n bits donne 2 n sorties différentes d après le paradoxe des anniversaires on a une chance sur deux de retrouver un message ayant une empreinte donnée en 2 n/2 essai
Stratégie de Yuval 1. l attaquant choisit un message frauduleux et un message anodin que la victime acceptera de signer 2. il génère 2 n/2 variantes du message anodin (en le modifiant très légèrement) ; idem avec le message frauduleux 3. selon le paradoxe des anniversaires la probabilité qu un des messages frauduleux et qu un des messages anodins aient la même empreinte est supérieure à 1 sur 2 4. l adversaire fait signer cette variante du message anodin par la victime 5. il récupère la signature du message et l accole à la variante du message frauduleux
Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé
Chiffrement asymétrique : le point noir Comment s assurer de la provenance d une clé publique? Ou : comment s assurer qu une clé publique appartient bien à une personne donnée? pour communiquer sa clé publique à ses orrespondants potentiels il faut la transmettre par un anal (poste, Internet ) à priori non sécurisé une personne mal intentionnée peut alors intercepter ette clé publique et de la remplacer par une autre clé ublique de son cru
Attaque type man-in-the-middle Bob Bob message message Alice Chris Chris Alice Chris message Chr Chris Chris (privée) message Alice Alice Alice Alice Communication d une clé publique message Alice (privée) 2. Transmission d un mail chiffré messag
Les certificats électroniques certifier qu une clé publique est bien celle d une personne identifiée un certificat électronique (aussi appelé certificats X509) est un fichie informatique contenant les informations suivantes : une clé publique le nom du propriétaire de cette clé (le propriétaire peut être un personne, une machine, un logiciel ) la durée de validité du certificat (comme pour une carte national d identité) d autres informations appelées attributs
La confiance dans un certificat 1 Qui certifie que dans un certificat le nom du titulaire est bien celui du propriétaire de la clé publique? C est une Autorité de Certification (AC ou Autorité de Confiance), un organisme chargé de délivrer des certificats en vérifiant l identité du demandeur du certificat (AC et certificat mairie et passeport)
La confiance dans un certificat 2 comment sait-on qu un certificat est certifié par une Autorité de Certification? un certificat est signé par l AC qui le certifie une Autorité de Certification possède donc une clé privée et une clé publique le fait que les certificats sont signés assurent de leur intégrité : s ils sont modifiés, cela sera détecté
La confiance dans un certificat 3 comment installe-t-on la confiance en une Autorité de Certification? on télécharge dans son logiciel (navigateur, client de messagerie ) ou son système d exploitation les certificats des AC dans lesquelles on décide d avoir confiance sur quels critères? en principe en lisant la politique de certification de l AC
Hiérarchie d AC
Hiérarchie d AC une Autorité de Certification (AC) peut signer le certificat d une autre autorité de certification on parle alors d autorités de certification mère et fille si l on a confiance dans une AC mère, on a automatiquement confiance dans une AC fille ; l inverse n est pas vrai ce mécanisme est appelé hiérarchie de confiance des ACs il permet de définir différents espaces de confiance et d usage une AC qui n a pas d AC mère est appelée AC racine ; son certificat est auto signé
Un certificat électronique établit un lien fort entre le nom du titulaire et sa clé publique un sorte de carte d identité informatique fichier stocké sur un ordinateur, une carte à puce (format 509) document publique, distribué à tout le monde possède une période de validité et des usages précis il est signé par une Autorité de Certification seul le titulaire d un certificat possède la clé privée associée Clef publique Nom de l AC Nom Signature De l AC Période De Validité Attributs
Usages des certificats électroniques chiffrement signature électronique authentification
Compatibilité des usages chiffrement signature signature authentification sécurisée chiffrement oui non oui signature oui non non signature Sécurisée non non non uthentification oui non non
Compatibilité des usages un certificat permettant de signer (au sens législatif de «signature sécurisée») ne pourra pas servir à l authentification ni au chiffrement la signature (sécurisée ou non) et l authentification sont incompatibles un certificat peut servir à la fois pour chiffrer et authentifier un certificat peut servir à la fois pour chiffrer et signer (mais au sens législatif de «signature sécurisée»)
ncompatibilité chiffrement et signature chiffrement : un document chiffré doit toujours pouvoir être déchiffré, même en cas de perte de la clé privée permettant de déchiffrer il faut un service de recouvrement des clés privées, i.e. que les clés privées associées aux certificats émis par l IGC soient conservées par un tiers signature électronique sécurisée : la loi impose que la clé privée soit sous le contrôle exclusif du titulaire, cette clé privée ne peut donc être conservée par un tiers pour un service de recouvrement
Incompatibilité entre authentification et signature quand on signe électroniquement un document on utilise sa clé privée pour chiffrer un «résumé» du document (une empreinte) pour authentifier un certificat client, un serveur envoie au client une chaîne que ce dernier doit chiffrer avec sa clé privée puis il doit renvoyer le résultat au serveur un serveur malveillant pourrait envoyer comme chaîne à chiffrer le «résumé» d un document frauduleux à un client il obtiendrait ainsi une signature parfaite d un document frauduleux
Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé
IGC IGC = Infrastructure de Gestion de Clés en Anglais, PKI = Public Key Infrastructure
Infrastructure de Gestion de Clé C est toute l infrastructure nécessaire au fonctionnement d une ou plusieurs ACs pour délivrer des certificats : matériel : ordinateurs, locaux informatique : logiciels humain : les employés organisationnel : procédures d enrôlement, de révocation administratif : désignation d un responsable moral financier : assurance des risques en cas de dommage par utilisation de certificat
Rôles d une IGC délivrer des certificats auxquels on peut associer un certain niveau de confiance (comme on a plus ou moins confiance dans un passeport selon le pays qui l a émis) l enjeu est alors de formaliser le degré de confiance requis pour mettre en œuvre le niveau de sécurité qui en découle prouver un niveau de sécurité est plus difficile que de mettre en œuvre celui-ci
Description fonctionnelle d une IGC
Les services que doit rendre une IGC vérifier l identité du titulaire lors de l émission de certificat publier le certificat assurer le renouvellement d un certificat révoquer les certificats compromis publier la liste de révocation de chaque AC assurer parfois le recouvrement de la clé privée
Architecture et composantes d une IGC Vérifie la demande de certificat clé publique Autorité d enregistrement 3 Transmission signée de la demande de certificat 4 Créé le certificat Centre de certification Annuaire de publicatio clé publique 2 Interface utilisateur clé publique 1 Publie le certificat 5 clé privée clé publiq
Le centre de certification protège la clé privée des AC (bunker informatique) vérifie les demandes de certificats provenant des autorités d enregistrement génère les certificats génère les listes de certificats révoqués
L autorité d enregistrement vérifie l identité des demandeurs de certificats et les éléments de la demande transmet les demandes valides par un canal sûr au centre de certification (les demandes sont signées par l opérateur d enregistrement) recueille et vérifie les demandes de révocation
L annuaire de publication offre une interface (web, LDAP ) pour récupérer les certificats émis par les ACs d une IGC idem pour les listes de révocation il y a donc de fortes contraintes de disponibilité et d intégrité sur ce service
L interface utilisateur offre une interface de demande de certificat, de révocation (en général un formulaire web) pré-formate ces demandes de certificat pour le transmettre à l Autorité d Enregistrement deux modes de génération de la clé publique et de la clé privée : par le demandeur : elles sont générées sur son poste centralisé : les clés sont générées par le centre d certification ; la clé privée est renvoyé au demandeur par u moyen qui doit être sécurisé
Politique de certification
Pourquoi? une autorité de certification est une entité commerciale, administrative, corporative dans le monde virtuel des réseaux peu ou pas de repères pour juger de la confiance en une AC la politique de certification (PC) d une AC est un document qui affiche les pratiques de l AC elle doit ainsi permettre d estimer la confiance dans les certificats qu elle émet
Formalisme d une PC le RFC 2527 propose une structure de ce document ; cela autorise la comparaison de PC et assure d une certaine exhaustivité des points abordés il existe des PC types qui définissent différents niveaux de confiance (DCSSI niveau basique, moyen, élevé) un OID identifie de façon unique une PC et sa version ; il doit être présent dans les certificats
Points abordés dans une PC Les fonctions et les usages Responsabilités Contrôle de conformité Identification et authentification Révocation Archives et journaux Plan anti-sinistre Personnels Protection des clés Profil des certificats Administration des spécifications
Limites d une PC lecture très difficile, quasi-illisible pour un utilisateur final les points cruciaux se noient dans une masse de détails ce qui est écrit n est pas forcément ce qui est fait on est censé faire confiance à ce qui est écrit dans ce document qui doit inspirer confiance! d où le besoin de contrôle de conformité
Limites des certificats
Un discours ambiant «optimiste» le certificat est souvent présenté comme une solution universelle à beaucoup de problèmes de sécurité syndrome de la techno béatitude : c est nouveau donc c est un progrès c est complexe donc cela permet de résoudre des problèmes complexes
Des critiques anciennes et étayées technologie ancienne dont l avènement tarde (X509 : 1988, SSL 1994) concepts sophistiqués mais usages basiques les implémentations très éloignées du modèle (surtout les navigateurs) critiques radicales des IGC depuis au moins 4 ans, arguments surtout théoriques par exemple sur la révocation : «ten risk of PKI», «too late for digital certificates», «Only Mostly Dead RIP PKI»,
Navigateur et ACs de confiance les navigateurs sont pré configurés avec des listes d autorités de certification commerciales (AC) choix opaque difficilement modifiable par défaut un utilisateur fera confiance sans le savoir aux IGC qui ont payé les éditeurs de navigateur les ACs sont toutes sur le même plan : quelle que soit «la qualité» de l AC quels que soient les usages
Navigateur et protection des clés privées un point critique de la confiance dans les certificats Mozilla, IE, Netscape : stockage de la clé sur le disque dur chiffrement avec une passphrase réglage par défaut de IE : certificat exportable sans passphrase pas d administration possible des mots de passe (perte, complexité minimale, etc.)
Support externe pour les clés la solution cryptoki (PKCS#11) permet la génération du bi-clé sur un support USB ou carte à puce API PKCS#11 = accès au service de chiffrement asymétrique sans accéder à la clé privée elle-même «ce que l on a» + «ce que l on sait» niveau de protection des clés très élevé
Protection des clés privées avantage avancé pour les tokens USB cryptoki : pas de lecteur spécifique il faut cependant déployer : un driver = obstacle à la mobilité configurer les applications gérer la distribution de ce matériel (initialisation, perte, panne, récupération, perte du code pin, ) caractère impersonnel du support en complète contradiction avec sa vocation
Conclusion sur les navigateurs leur gestion des certificats est insatisfaisante il n est pas possible d appliquer une gestion centralisée des navigateurs des utilisateurs quelques pistes : protection des clés avec token USB cryptoki (ou un serveur de tokens virtuels) applet JAVA pour les opérations sur le poste de travail serveur de validation (RFC 3029) pour la vérification de signature
Principe de la révocation un certificat peut être compromis, i.e. sa clé privée dupliquée ou volée par un tiers chaque AC diffuse une liste de révocation (CRL) qui indique tous les certificats non valides à partir d une certaine date cette liste de révocation est signée par l AC elle a une période de validité (par exemple un mois ou une semaine)
La révocation : temps de propagation ol de la clé privée Demande de révocation MAJ CRL Prise en compte de la CRL dans l application Détection du vol Réactivité de l IGC (1 min à infini) (qqs minutes à une journée) Diffusion de la CRL (très variable) Fenêtre de vulnérabilité
La révocation : temps de propagation Il faut minimiser la fenêtre de vulnérabilité, i.e. le délai entre une compromission et sa prise en compte dans les applications 1. détecter / suspecter la compromission et avertir l IGC : le plus difficile 2. réactivité de l IGC pour mettre à jour la CRL : le plus cher 3. diffuser la CRL jusqu aux applications : le plus inefficace
La révocation : propager l info le modèle des CRLs est un non sens pour la propagation de l info de révocation : la CRL est diffusée en pull (et non push) la validité de la CRL est déterminée a priori sans moyen de forcer une mise à jour des utilisateurs en cas d avalanche de révocation la durée de validité de la CRL est un compromis entre la fenêtre de vulnérabilité la charge réseau et serveur
La révocation : alternative aux CRLs Online Certificat Status Protocol (OCSP, RFC 2560) : l application interroge un serveur pour connaître la validité d un certificat c est une solution seulement pour le troisième facteur de la fenêtre de vulnérabilité, la diffusion des informations sur la compromission aux applications
La révocation des difficultés théoriques très connues qu on ne peut pas balayer en arguant du caractère exceptionnel de la révocation en évaluant les conséquences d une compromission de clé on conclut toujours sur la nécessité d un système de révocation
Conclusion sur les limites le certificat est un outil technique pour la sécurité qui n affranchit pas des mesures organisationnelles et de sensibilisation son déploiement et la formation des utilisateurs est très coûteux («20 % de technique, 80 % d organisation») des alternatives existent pour l authentification unifiée notamment les certificats restent incontournables pour la signature électronique
Plan 1. Sécurité informatique 2. Cryptographie 3. Signature électronique 4. Certificats électroniques. Législation sur la signature électronique 5. Infrastructures de gestion de clé
Directive européenne décret 1999/93/CE directive européenne concernant la signature électronique donner un cadre légal à la signature électronique et proposer un cadre communautaire faciliter l interopérabilité entre les législations des états membres
Motivations le développement des échanges électroniques nécessitent des moyens d authentification sûrs risques de divergence des législations nationales risque sur «la libre circulation des biens et des personnes»
Objectif principal rendre équivalentes du point de vue juridique la signature électronique avancée et la signature manuscrite sous réserve «que les exigences appliquées à la signature manuscrite ont été appliquées» principe de non rejet des signatures électroniques qui ne sont pas avancées
Contraintes la directive ne doit pas imposer de moyens techniques particuliers elle doit prendre en compte les services connexes associés à la signature sa mise en œuvre ne doit pas nécessiter d autorisation préalable
Contraintes elle ne doit pas violer les dispositions nationales concernant la cryptographie «il est important de trouver un équilibre entre les besoins des particuliers et des entreprises» elle ne doit pas préjuger des règles nationales concernant le droit des contrats
Définitions signature électronique : «une donnée sous forme électronique qui est jointe ou liée logiquement à d autres données électroniques et qui sert de méthode d authentification»
Signature électronique : loi du 13 mars 2000 l écrit électronique est reconnu au même titre que l écrit papier pour cela il faut que l auteur d un écrit électronique puisse être identifié d où la reconnaissance juridique de la signature électronique
Signature électronique le procédé de signature doit garantir : l identification du signataire l intégrité de l acte mais par défaut la fiabilité du procédé de signature électronique n est pas acquise il va falloir remplir plusieurs conditions pour une signature électronique soit présumée fiable
Sources de doute sur une signature électronique la clé privée du signataire est mal protégée le certificat liant l identité du titulaire et la clé publique n est pas de confiance le logiciel de création de signature n est pas de confiance le logiciel de vérification de signature n est pas de confiance
Type de signature Type de signature Signature électronique Signature électronique sécurisée Signature électronique sécurisée présumée fiable Validité Identification du signataire et intégrité du document Idem + Signature personnelle sous contrôle exclusif Signature sécurisée, utilisant des moyens certifiés et des certificats qualifiés Présomption de fiabilité non non oui
Décret du 30 mars 2001 Transposition de la directive européenne Définition de la signature présumée fiable (signature électronique sécurisée) Usage de produits certifiés Usage de certificats qualifiés
Décret du 18 avril 2002 Description du processus de certification des produits et systèmes Condition d agrément des organismes chargés de l évaluation
Arrêté du 31 mai 2002 Description du processus de qualification des prestataires de service de certification Condition d agrément des organismes d évaluation des prestataires de service de certification
Les différents textes de loi Loi du 13 mars 2000 Décret du 30 mars 2001 Décret du 18 avril 2002 Arrêté du 31 mai 2002 Validité de l écrit sous forme électronique Reconnaissance juridique de la signature électronique Démonstration de la fiabilité à la charge du signataire Définition de la signature électronique sécurisée présumée fiable Description du processus de certification des produits et systèmes relatifs aux technologies de l information Description du processus de qualification des prestataires de certification électronique
Rapport de certification Agrée Rapport d évaluation Commande Premier Ministre Certifie DCSSI ESTI Editeur Contrôle informe informe Cofrac organisme accrédité Prestataire de certification Accrédite 2ans Rapport d évaluatio Vends Dispositif de signature Certificat Vends Qualifie 1ans Signe un acte/document Utilisateur Achète
Limites de la réglementation
Horodatage garantir électroniquement la date et l heure de données cela permet : de certifier la date et l heure d une signature électronique, d un accusé de réception de renforcer les fonctions de non répudiation de la signature électronique d avoir des preuves d existence, de possession de données électroniques
Nécessité de l horodatage Le signataire d un document ne peut pas indiquer lui-même la date de signature dans le document signature du document signature anti-datée vérification de la signature période de validité du période document de validité électronique FAUX PARFAIT! période de période validité de du validité certificat du certificat compromission temps
Nécessité de l horodatage soit un certificat valide de janvier 2004 à janvier 2005 ce certificat est compromis et révoqué en juillet 2004 car une personne malveillante a volé la clé privée associée cette personne utilise la clé privée volée pour signer un contrat. Il antidate le début de période de validité du contrat en indiquant janvier 2004 dans le document cette date est antidatée mais cela ne peut être détecté : en janvier 2004, à la prétendue date de signature du contrat, le certificat utilisé pour signer était valide cela montre que dater un document signé électroniquement en écrivant la date dans le document ne permet pas de s assurer de la véritable date de signature du document
Limites de la réglementation signature présumée fiable très complexe à mettre en œuvre le vocabulaire est très mal choisi : «présumé fiable», «signature sécurisée» tout l arsenal juridique porte sur la présomption de fiabilité, négligeant d autres aspects importants comme l horodatage, la délégation de signature la neutralité technologique n est pas respecté : certificats cités en permanence. Ils existent d autres solutions : SPKI, signature par algorithmes symétriques
Usages des clés la loi n interdit pas l usage d une clé pour signer et s authentifier pourtant c est dangereux : pour authentifier un client, un serveur lui envoie un challenge que le client doit signer avec sa clé privée un attaquant pourrait monter un serveur envoyant comme challenge l empreinte d un document qu il veut faire signer par la victime
Unicité des noms pas d autorité de nommage des Autorités de Certication (tout le monde peut créer une AC Microsoft ou Verisign ) problème de l homonymie dans les certificats comment garantir l unicité de l identité dans un certificat?
Responsabilité des ACs une AC est responsable si l usage du certificat est respecté et que le montant plafond n est pas dépassé mais l AC ne contrôle pas unitairement l usage des certificats il existe une difficulté pour calculer le plafond de responsabilité. Il existe donc une difficulté pour se faire assurer une AC peut-elle exercer sans assurance? droit civil : «nul ne peut se constituer de preuve par soi même» ; doit-on externaliser son IGC?
Hiérarchie des ACs une entreprise possède sa propre AC non qualifiée son certificat d AC est signé par un PSC qualifié les certificats délivrés par l AC sont-ils qualifiés? la réglementation n indique pas comment interpréter des certificats dans une chaîne de certification
Conclusion le marché de la signature électronique ne décolle pas il n existe pas aujourd hui les outils techniques pour faire de la signature présumée fiable le domaine combine les difficultés techniques, législatives et normatives pourtant le besoin se fait sentir (spam?, marchés publiques )