Sécurité avancée des réseaux Cryptographie IUT d Auxerre Département RT 2ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr http://www-l2ti.univ-paris13.fr/~zhang/ 1
Outline Services de sécurité Chiffrement(Encryption) Réseaux Privés Virtuel(VPN)
Services de sécurité Confidentialité (Confidentiality) - préserver le secret d une information - protection de l information lors de sa conservation, du transfert ou du calcul Intégrité (Integrity) - préserver contre les modifications, sauf autorisation -vérifier la non altération frauduleuse Disponibilité (Availability) - Garantir la possibilité d accéder aux services - Eviter les interruptions, les obstructions - Pas de modèle de disponibilité(infrastructure) Autorisation (Authorization) - identification(nom) et authentification(garantir d identité) - contrôle les droits d accès, rendre un service de sécurité Authentification (Authentication) - identification, contrôle d accès, non réputation
service de sécurité et niveaux de l architecture OSI
Besoins de l émetteur et du récepteur Le message ne doit parvenir qu'au destinataire (confidentialité) Le message doit parvenir au bon destinataire (authentification) L'émetteur du message doit pouvoir être connu avec certitude (authentification) Il doit y avoir identité entre le message reçu et le message émis (intégrité) Le destinataire ne peut contester la réception d'un message (nonrépudiation) L'émetteur ne peut contester l'émission du message (non-répudiation) L'émetteur ne peut accéder à certaines ressources que s'il en a l'autorisation (contrôle d'accès)
Chiffrement Encryption
Mécanismes de chiffrement Définition Le chiffrement est un mécanisme issu d'une transformation cryptographique. Le mécanisme inverse est le déchiffrement. La cryptographie est une des disciplines de la cryptologie, s'attachant à protéger des messages, en s'aidant souvent de secrets ou clés. La cryptologie est la science du secret, et englobe la cryptographie - l'écriture secrète - et la cryptanalyse - l'analyse de cette dernière.
Autres définitions Chiffre Ensemble de procédés et ensemble de symboles(lettres, nombres, signes,etc.) employés pour remplacer les lettres du message à chiffrer Code Ensemble de procédés et ensemble de symboles(lettres, nombres, signes,etc.) employés pour remplacer les mots du message à coder Décryptement Restauration des données qui avaient été chiffrées à leur état premier(«en clair»), sans disposer des clefs théoriquement nécessaires Déchiffrement Obtenir la version originale d un message qui a été précédemment chiffré en connaissant la méthode de chiffrement et les clefs 8
Mécanismes de chiffrement
Mécanismes de chiffrement Normalisation ISO - Signature numérique Normalisation adaptée aux messages courts (320 bits maximum) Algorithme RSA ISO9796 - Gestion des clés Création, distribution, échange, maintien, validation et mise à jour de clés publiques ou secrètes Algorithmes symétriques ISO 8732 Algorithmes asymétriques ISO 11166 Normalisation IUT-T - Messagerie électronique X.400 (cryptographie RSA) - Annuaire électronique X.509 (certificats de clés publiques)
Algorithmes de chiffrement Définition Les algorithmes de chiffrement permettent de transformer un message écrit en clair en un message chiffré, appelé cryptogramme. Cette transformation se fonde sur une ou plusieurs clés. Chiffrement symétrique (Symmetric-key cryptography) Système à clés uniques et secrètes caractérisé par une transformation f et une transformation f -1, qui s'effectue à l'aide de la même clé. Chiffrement asymétrique (Public-key cryptography) Système à deux clés caractérisé par une transformation f effectuée par la clé public et une transformation f -1 effectuée à l'aide de la clé privée
Chiffrement symétrique Par exemple: Un algorithme de chiffrement symétrique transforme un message en clair P avec une clé secrète K. Le résultat est un message chiffré C
Chiffrement symétrique La fonction de chiffrement doit être inversible
Chiffrement symétrique
Chiffrement symétrique Historique
Chiffrement symétrique DES (Data Encryption Standard) 1977 Blocs chiffrés de 64 bits 1 clé de 56 bits 16 sous-clés de 48 bits chacune Transformation par des sommes modulo 2 du bloc à coder et de la sous-clé correspondante, avec des couplages entre les blocs à coder DES cassé en 1997 (4 mois) et 1999 (22h) Evolution : 3DES
Chiffrement symétrique AES (Advanced Encryption Standard) 2001 Blocs chiffrés de 128 bits 1 clé entre 128 et 256 bits Si il existe une machine qui peut casser DES en 1 sec, alors il lui faudrait 149 trillions d'années pour casser AES 128 bits.
Chiffrement symétrique AES:Rijindael
Chiffrement symétrique Rijindael versus DES
Chiffrement symétrique En pratique
Chiffrement asymétrique Si vous voulez me renseigner quelle algorithme est le plus importante? Je veut dire «cryptographie à clé publique» «public-key cryptography»
Motivation avant 1976, toutes les méthodes de chiffrement sont proposés en une seul mode: 1. Alice a choisi un certain règle de chiffrement, et puis chiffrer les infos. 2. Bob doit utiliser le même règle pour le déchiffrer. Problème? 23
Échange de clés Diffie-Hellman En 1976, deux experts informatique Whitfield Diffie et Martin Hellman crée une méthode par laquelle deux personnes nommées conventionnellement Alice et Bob peuvent se mettre d'accord sur un nombre (qu'ils peuvent utiliser comme clé pour chiffrer la conversation suivante) sans qu'une troisième personne appelée Ève puisse découvrir le nombre, même en ayant écouté tous leurs échanges. Mode asymétrique : 1. Bob peut produire deux clés(clé publique et clé privée). 2. Alice prends la clé publique de Bob, et puis il l utilise pour chiffrer les infos. 3. Bob obtient les infos chiffrés, et il peut le déchiffrer avec la clé privée. 24
Chiffrement RSA Cet algorithme a été décrit en 1977 par Ronald Rivest, Adi Shamir et Leonard Adleman. C est toujours très largement utilisé.
Math-copremiers Nombres premiers entre eux(coprime integers): ils sont premiers entre eux si et seulement si leur plus grand commun diviseur est égal à 1. 1. Chaque deux nombre premiers sont de la relation copremier, ex 13 et 61. 2. l un est nombre premier, si l autre n est pas un multiple de l ancien, ils sont la relation copremier, ex 3 et 10. 3. Si entre deux nombres, le plus grand est un nombre premier, ils sont la relation copremier, ex 97 et 57. 4. 1 et n importe quel entier naturel sont la relation copremier, ex 1 et 99. 5. p est un entier relatif supérieur à 1, donc p et p-1 constitue la relation copremier, ex 57 et 56. 6. p est un nombre impair supérieur à 1, donc p et p-2 constitue la relation copremier,, ex 17 et 15. 26
Math-Indicatrice d'euler L'indicatrice d'euler est la fonction φ, de l'ensemble N* des entiers strictement positifs dans lui-même, qui à n associe le nombre d'entiers strictement positifs inférieurs ou égaux à n et premiers à n. Par exemple : φ(8) = 4 car parmi les nombres de 1 à 8, seuls les quatre nombres 1, 3, 5 et 7 sont premiers à 8, φ(1) = 1 car 1 est premier avec lui-même (c'est le seul entier naturel qui vérifie cette propriété, si bien que pour tout entier n > 1, on peut remplacer non seulement m N* par m N mais m n par m < n, dans la définition ci-dessus de φ(n)). φ(2) = 1. 27
Math-Calcul de Indicatrice d'euler Généralement ex: pour calculer indicatrice d euler de 1323
Math-Théorème d'euler
Math-Petit théorème de Fermat ex:
Math-Généralisation
Math-Inverse modulaire
Math-théorème euler et inverse modulaire
supposons que Alice veut communiquer avec Bob, comment peut-elle générer la clé publique et la clé privé?
Les démarches de calcul(1,2) 1. choisir deux nombres premiers non équivalent p et q Alice a choisi 61 et 53 2. calculer n=p * q Elle a calculé n= 61 * 53 = 3233 Longueur de n est longueur de la clé. 3233 en suite binaire est: 110010100001 qui a 12 bits, donc la longueur de cette clé est 12bits. 35
Les démarches de calcul(3,4) 3. Calculer phi(n): φ(n) = (p-1)(q-1) Alice a calculé φ(3233)=60*52=3120 4. Choisir un entier e, 1<e< φ(n) ainsi que e et φ(n) en copremier. Alice a choisi e=17 au hasard. 36
Les démarches de calcul(5) 5. Calculer le d qui est l inverse modulaire de e en fonction de φ(n) ed 1 (mod φ(n)) qui est équivalant de ed - 1 = kφ(n) on a e =17, φ(n)=3210 on va trouver le d et k dans 17d - 3210k=1 d après Algorithme d'euclide étendu, Alice a trouvé d=2753 et k=-15(pas important) 37
démarche d encapsuler encapsuler n et e à clé publique, n et d à clé privée donc dans l exemple de Alice clé publique est (3233,17) clé privée est(3233, 2753) et finalement les clés doit être encodé d après le standard ASN.1 38
La fiabilité de RSA(1) p, q, n, φ(n), e, d clé publique(n,e) est ouverte, les autres 4 sont en secret. d est le plus important. 39
La fiabilité de RSA(2) Questions: est-ce que vous pouvez obtenir d, si je vous donne n et e? 1. ed 1 (mod φ(n)), donc il faut savoir e et φ(n), puis calculer d. 2. φ(n)=(p-1)(q-1), donc il faut savoir p et q, puis calculer φ(n) 3. n=p*q, donc il faut faire la Décomposition en produit de facteurs premiers, puis calculer p et q Réponse: oui, si on peut décomposer n, on pourrait obtenir d, c est à dire on peut cracker la clé privée. (ex: décomposer 3233=61*53) 40
La fiabilité de RSA(3) mais en réalité = 41
chiffrer et déchiffrer Exemple: 42
The RSA Algorithm Bilan en anglais Example
Asymmetric Algorithms 44
Hashing Algorithms Fonction de hachage (Hash function) Algorithme de chiffrement dont la transformation inverse est quasiment impossible dans un laps de temps admissible. Soient deux nombres premiers p et q. Calculer x = pq est facile même si p et q sont très grands. Par contre, retrouver p et q à partir de x est irréalisable en pratique si p et q sont suffisamment grands.
Signature numérique (Digital signature) Permet d'authentifier l'émetteur Utilise le cryptographie asymétrique L'émetteur code le message signature par une clé qu'il est le seul à connaître. La vérification s'effectue par le biais d'une clé publique Depuis mars 2000, la signature numérique d'un document a en France la même valeur légale qu'une signature sur papier (J.O n 62 du 14 mars 2000 page 3968), sous réserve de vous adresser à un tiers de confiance (agréé et certifié)
Caractéristiques des algorithmes de sécurité Cryptologie : 2 branches
Caractéristiques des algorithmes de sécurité
Certificats Autorité de certification (Certification Authority) Organisme, appelée tiers de confiance, offrant un service de gestion de clés publiques et émettant des certificats au sujet de ces clés Un certificat est constitué d'une suite de symboles et d'une signature
Certificats Exemple d'utilisation Serveur Web, cf. TLS, X.509. E-mail, cf. OpenPGP. Poste de travail, cf. 802.1x. VPN, cf. IPSEC. SSH, TLS. documents électroniques.
X 509 certificate
PKI
PKI
Exemples d'environnements de sécurité
Exemples d'environnements de sécurité
Authentification
Authentification Authen par défi-réponse
Intégrité des données
Non-répudiation
Fonctions de sécurité Identification et authentification Résumé
Pas mal de federations
Mécanismes de sécurité
Introduction
Introduction Sécurité des systèmes distribués
Introduction Sécurité des systèmes distribués
Introduction Sécurité des réseaux
Introduction Sécurité des réseaux-introduction
Introduction Sécurité des réseaux-menaces
Introduction Sécurité des réseaux-menaces
Introduction Sécurité des réseaux-menaces
Introduction Sécurité des réseaux-parades