Protocoles et Tunnels de Sécurité

Documents pareils
SSL ET IPSEC. Licence Pro ATC Amel Guetat

Le protocole sécurisé SSL

SSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse. GRES 2006 Bordeaux 12 Mai Ahmed Serhrouchni ENST-PARIS CNRS

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Action Spécifique Sécurité du CNRS 15 mai 2002

La sécurité des réseaux. 9e cours 2014 Louis Salvail

EMV, S.E.T et 3D Secure

Les fonctions de hachage, un domaine à la mode

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

La Technologie Carte à Puce EAP TLS v2.0

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Sécurité des réseaux IPSec

Le protocole SSH (Secure Shell)

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Protocole industriels de sécurité. S. Natkin Décembre 2000

Réseaux Privés Virtuels

Le protocole RADIUS Remote Authentication Dial-In User Service

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Devoir Surveillé de Sécurité des Réseaux

1. Présentation de WPA et 802.1X

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Authentification de messages et mots de passe

PACK SKeeper Multi = 1 SKeeper et des SKubes

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

INSTALLATION D'OPENVPN:

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Cours 14. Crypto. 2004, Marc-André Léger

TP 2 : Chiffrement par blocs

Du 03 au 07 Février 2014 Tunis (Tunisie)

WTLS (Wireless Transport Layer Security)

StoneGate Firewall/VPN

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

Sécurité des RO. Partie 6. Sécurisation des échanges. SSL : Introduction. Rappel: Utilités la sécurité à tous les niveaux SSL SSH.

LES SECURITES DE LA CARTE BANCAIRE

Mise en route d'un Routeur/Pare-Feu

Une introduction à SSL

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Les solutions de paiement CyberMUT (Crédit Mutuel) et CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Architectures PKI. Sébastien VARRETTE

Utilisation des certificats X.509v3

La sécurisation du flux média pour la VoIP. Duc-Anh NGUYEN Florian MERCERON Cedric L OLLIVIER Institut National des Télécommunications Evry

Approfondissement Technique. Exia A5 VPN

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Logiciel de conférence Bridgit Version 4.6

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

INF 4420: Sécurité Informatique Cryptographie II

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

CS REMOTE CARE - WEBDAV

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Mise en place d'un Réseau Privé Virtuel

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

L identité numérique. Risques, protection

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cisco Certified Network Associate

1 L Authentification de A à Z

Hébergement de sites Web

Sécurité des réseaux sans fil

Politique d utilisation par AC. Certification et protocoles. Contenu d un certificat (X.509)

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

Oracles Cryptographiques. Trouver une joke de padding

Manuel des logiciels de transferts de fichiers File Delivery Services

NOUVELLES TECHNOLOGIES RESEAUX SSH SSL TLS

IPSEC : PRÉSENTATION TECHNIQUE

Introduction. Adresses

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Présentation du modèle OSI(Open Systems Interconnection)

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

SSH, le shell sécurisé

Rappels réseaux TCP/IP

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Mobilité et Sécurité sur le réseau Réaumur, mise en place de solutions DHCP et VPN

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

La citadelle électronique séminaire du 14 mars 2002

La sécurité dans les grilles

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Les applications Internet

Transcription:

R,E. Corvalan et Y. Le Corvic.«Les VPN, Principes, conception et déploiement des réseaux privés virtuels». S. Thomas. «SSL and TLS Essentials». G. Berton. Security Protocols: the case of Secure Sockets Layer (SSL) and Transport Layer Security (TLS) Protocoles et Tunnels de Sécurité Dr. Nihel Ben Youssef Références

Tunnels sur la couche Transport SSL/TLS (Secure Socket Layer/Transport Layer Security)

SSL/TLS : Introduction Le Protocole SSL est développé en 1994 par Netscape. Permet la mise en œuvre de tunnels au niveau 4 du modèle OSI. N'est utilisable que pour la sécurisation du flux TCP. Largement utilisé pour HTTP qui devient HTTPS (port 443) Peut être implémenté pour d'autres protocoles applicatifs comme POP,FTP,SMTP,LDAP... La dernière version de SSL est 3. Ses fonctionnalités sont très similaires à celles du protocole TLS (Transport Layer Security) version 1. On dit souvent que : SSLv3=TLSv1 En 2013, dernière version de TLS est TLSv1.2

Ports au dessus de SSL

Ports au dessus de SSL

SSL/TLS: Architecture HTTP FTP SMTP SSL ou TLS TCP IP

SSL/TLS: Architecture INITIALISATION DE LA COMMUNICATION SECURISÉE HTTP FTP SMTP TRAITEMENT DES ERREURS Handshake Change Cipher Alert Application TRAITEMENT DE LA COMPRESSION,CRYPTAGE ET CONTRÔLE D'INTÉGRITÉ Record Layer TCP TRAITEMENT DES COMMUNICATIONS AVECL'APPLICATION INITIALISATION DES COMMUNICATIONS CLIENT/SERVEUR

SSL/TLS Propriétés de sécurité fournies Échange sécurisé de clés de chiffrement Authentification du serveur (optionnelle mais souvent utilisée) Authentification du client ( optionnelle et très peu utilisée) Confidentialité et Intégrité des messages

Mécanisme d'établissement d'un tunnel TLS CipherSuite + Client Random {premasterkey}kpubs Activation du cryptage Client 1 5 6 7 Server Hello Done ClientKeyExchange Change Cipher Spec FIN Change Cipher Spec FIN Cryptage Symétriques des Echanges Applicatifs Serveur Client Hello Choix CipherSuite + Server Random Server Hello Certificat incluant Certificat Serveur KpubS, sinon, envoie de Server Key Exchange 2 3 4 8 9 Négociation terminée Activation du cryptage Utilisation de 6 clés

TLS Record Layer/Handshake Protocol Client Hello

Analyse de trafic TLS Record Layer/Handshake Protocol Server Hello RSA : Algorithme Asymétrique (Authentification) AES: Algorithme symétrique avec le mode opérateur CBC (Cipher Block Chaining) et une taille de clé de 128bits (Confidentialité) SHA: Algorithme de hachage (Intégrité)

Analyse de trafic TLS Record Layer/Handshake Protocol Certificate KpubS : Clé publique du serveur

Analyse de trafic TLS Record Layer/Handshake Protocol Client Key Exchange PreMasterKey choisi par le client crypté par KpubS

TLS Génération des 6 clés de session KDF(Key Derivation Function) A partir de premasterkey, le client et le serveur génère simultanément une clé appelée MasterKey. A partir de MasterKey, ils générent les 6 clés suivantes : Client Cipher : utilisée pour chiffrer les données du client vers le serveur. Server Cipher: utilisée pour chiffrer les données du serveur vers le client. Client MAC : utilisée dans la fonction cryptographique de hachage HMAC coté client pour le contrôle d'intégrité. Server MAC : utilisée dans la fonction cryptographique de hachage HMAC par le serveur pour le contrôle d'intégrité. Client IV : Vecteur d'initialisation utilisé par le client au niveau du mode CBC lors du chiffrement symétrique des données. Server IV : Vecteur d'initialisation utilisé par le serveur au niveau du mode CBC lors du chiffrement symétrique des données.

Rappels HMAC(Hash Based Message Authentication Code) (Wikipédia) «La fonction HMAC est définit ainsi : avec : h : une fonction de hachage itérative(md5,sha), K : la clé secrète complétée avec des zéros pour qu'elle atteigne la taille de bloc de la fonction h. Dans notre cas, il s'agit soit de la clé client MAC ou server MAC m : le message à authentifier, " " désigne une concaténation, ipad et opad, chacune de la taille d'un bloc, sont définies par : ipad = 0x363636...3636 et opad = 0x5c5c5c...5c5c. Donc, si la taille de bloc de la fonction de hachage est 512, ipad et opad sont 64 répétitions des octets, respectivement, 0x36 et 0x5c.»

Rappels mode de chiffrement CBC (Chipher Block Chaining) (Wikipédia) Le message m à chiffrer est découpé en block (m0,m1..). Un bloc dépend de tous les précédents. Mode randomisé par la présence d une valeur aléatoire initiale IV. Dans notre cas, il sagit soit du client IV ou Server IV. Ek est un algorithme de chiffrement symétrique au choix (DES,3DES,AES...)

SSL/TLS Génération des 6 clés de session KDF(Key Derivation Function) premasterkey Client Random Server Random MasterKey Key Material Client MAC Client MAC Client Cipher Client Cipher Client IV Client IV

SSL Dérivation de MasterKey 'A' premasterkey Client Random Server Random 'BB' premasterkey Client Random Server Random SHA 'CCC' premasterkey Client Random Server Random premasterkey hash premasterkey hash MD5 premasterkey hash hash hash hash MasterKey

SSL Dérivation de Key Material 'A' MasterKey Server Random Client Random 'BB' MasterKey Server Random Client Random SHA 'CCC' MasterKey Server Random Client Random MasterKey hash. MasterKey hash MD5 MasterKey hash hash hash hash hash hash. Key Material

SSL Récupération des 6 clés Key Material hash hash hash hash hash hash hash hash hash hash hash hash Client MAC server MAC Client Cipher server Cipher Client IV server IV

TLS Record Protocol Echange sécurisé des données M M0 M1 M2 Avec Algorithme négocié dans la phase hello HMAC(clientMAC ou ServerMAC,M0 compressé,d'autres infos) Algorithme Symétrique négocié(aes,des..) utilisant la clé Client Cipher ou Server Cipher et utilisant Client IV ou sever IV si le mode CBC est demandé

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back