Sécurité des systèmes d'information Cryptographie appliquée ENSIIE 12 avril 2013 Julien Raeis <julien [at] raeis.fr> Ou sur irc.iiens.net!
Plan de cours 1. Cryptographie? 2. Un peu d'histoire 3. Cryptographie symétrique 4. Cryptographie asymétrique 5. Attaques 6. Implémentations 7. Réseaux de confiance 8. Infrastructures de gestion de clés 9. Conclusion
Cryptographie?
Le problème Les caractéristiques des systèmes d'information : Information numérique Communications sur un canal public Machines reliées par un réseau Multi-utilisateurs Comment protéger l'information?
Disponibilité Intégrité Les besoins de sécurité Informations non modifiées par un attaquant Authentification Garantie de l'identité de l'origine de la communication Confidentialité Maintien au secret des informations vis-à-vis de tiers Traçabilité Par non-répudiation de la source du message
Intégrité Propriété assurant que des données n ont pas été modifiées ou détruites de façon non autorisée. [ISO 7498-2] Garantie que le système et l'information traitée ne sont modifiés que par une action volontaire et légitime. [IGI 500]
Authentification L'authentification a pour but de vérifier l'identité dont une entité se réclame. Généralement l'authentification est précédée d'une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l'a doté. [D 530] Identification : permet de connaître l'identité Authentification : vérifie cette identité À l'aide : d'un secret, d'un objet, d'un caractère (photo, biométrie), d'un savoir faire (signature)
Confidentialité Propriété d une information qui n est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés. [ISO 7498-2] En résumé : protection contre une divulgation non autorisée seulement vous et l'expéditeur connaissent l'information
Non-répudiation la répudiation est le fait de nier avoir participé à des échanges, totalement ou en partie. Deux formes de non répudiation : la «Non-répudiation de l origine» garantit que l émetteur d informations ne peut pas nier impunément avoir envoyé les informations la «Non-répudiation de la réception» garantit que le destinataire des informations ne peut pas nier impunément avoir reçu les informations
Différentes menaces Une attaque peut être : Passive : espionnage Active : Usurpation d'identité (émetteur ou récepteur) Altération des données (modification du contenu) Répudiation du message (l'émetteur nie avoir envoyé) Répétition du message (rejeu ultérieur) Retardement de la transmission Destruction du message
Moyens techniques de protection Entre autres : Cryptographie Sécurité matérielle Sécurité système Sécurité réseau On a des solutions partielles... il faut donc combiner pour être efficace!
Les mécanismes cryptographiques fondamentaux Algorithmes fournissant une fonctionnalité cryptographique fondamentale Contrôle d'intégrité cryptographique : fonction de hachage Génération de clés, d'iv, d'aléas : générateur d'aléa Authentification de l'origine des messages : code d'authentification de message, algorithme de signature Confidentialité : chiffrement
La science du secret Définition [Source : TLFi, http://frantext.atilf.fr/] Cryptographie (crypto-, du grec κρυπτoς, «caché») Étude, science des écritures secrètes, des documents chiffrés Applications : SSL/TLS, ssh, gpg, etc. Carte bleue, téléphone portable, Wi-Fi, etc.
Cryptologie Étude de la protection de l'information sous forme numérique contre des accès ou manipulations nonautorisées Cryptologie = cryptographie + cryptanalyse Cryptographie : conception des algorithmes crytographiques Cryptanalyse : évaluation de la sécurité des algorithmes cryptographiques
Problèmes récurrents de vocabulaire Encodage (transformation sans clé)!= chiffrement Exemple : encodage en base 64 Chiffrer / déchiffrer : on possède la clé Décrypter (décryptage) : lire le contenu d'un message chiffré sans posséder la clé Crypter / encrypter / cryptage / obfusquer / malicieux / forge : n'existent PAS Ce sont des anglicismes à bannir!
Un peu d'histoire
Dès l'antiquité... Scytale sparte (5ème siècle avant J-C)
Chiffre de César Clair : ET TU BRUTE 3 caractères Décalage Chiffré : HW WX EUXWH
Chiffre de Vigenère Chiffrement polyalphabétique : Au lieu d'utiliser le même décalage pour chaque lettre, on utilise un décalage dépendant de chaque caractère de la clé La sécurité dépend de la longueur de la clé Une clé d'un caractère correspond au chiffre de César Cryptanalyse statistique : Trouver la longueur de la clé par recherche de motifs On retrouve la clé par analyse de fréquence Présenté au XVIe siècle, il n'a pas été cassé avant le XIXe!
La cryptographie «mécanique» 1883 : La cryptographie militaire (Kerckhoffs) Formalisation des systèmes de chiffrement 1926 : Chiffrement de Vernam «Cipher printing telegraphe systems for secret wire and radio telegraphic communications» 1939-44 : Enigma et les «bombes» de Betchley Park Cassée en 1940 par les Alliés pour gagner un an de guerre... 1950-60 : Machines Hagelin
Chiffre de Vernam (OTP) Chiffrement parfait : La sécurité est garantie : Aucune information sur le clair n'est fournie par le chiffré Preuve par Claude Shannon Problèmes pratiques Longueur de la clef == longueur du message Usage unique de la clef Clef parfaitement aléatoire Très rarement utilisé Téléphone rouge Chiffrement manuel par les espions
La cryptographie «industrielle» 1949 : The communication theory of secrecy systems Notion de sécurité inconditionnelle 1973-77 : standardisation de DES 1976 : New directions in cryptography (Diffie-Hellman) Invention de la cryptographie à clé publique 1978 : A method for obtaining digital signatures and public-key cryptosystems (Rivest-Shamir-Adleman) Invention de RSA 1997-2000 : standardisation de l'aes
Un algorithme : Besoin de clés? Est long à concevoir Doit être implanté sur du matériel Doit être transmis aux utilisateurs Doit être maintenu Les algorithmes doivent-ils être secrets? Si non, comment assurer la sécurité? Sur quel secret? Secret pour qui?
Principe fondamental Principe de Kerckhoffs : «Les algorithmes, protocoles et procédures sont supposés connus de tous» La sécurité repose sur le secret de la clé On ne fait pas de sécurité par l'obscurité
Les desiderata de Kerckhoffs [1883] 1. Le système doit être matériellement, sinon mathématiquement, indéchiffrable ; 2. Il faut qu il n exige pas le secret [...] 3. La clef doit pouvoir en être [...] retenue sans le secours de notes écrites, et être changée [...] 4. Il faut qu il soit applicable à la correspondance télégraphique ; 5. Il faut qu il soit portatif [...] 6. Enfin, il est nécessaire [...] que le système soit d un usage facile, [...]
Cryptographie sans clé Il existe malgré tout des mécanismes cryptographiques publics et sans clés : Fonctions de hachage Générateur d'aléa (Qui selon les primitives sur lesquels ils reposent seront classés avec la cryptographie symétrique ou asymétrique)
Cryptographie symétrique
Principe de fonctionnement Alice Cher Bob: Rendez vous chez moi à 13h30? Si Ted découvre notre liaison cela pourrait être dramatique. Amour, Alice Texte chiffré Bob Cher Bob: Rendez vous chez moi à 13h30? Si Ted découvre notre liaison cela pourrait être dramatique. Amour, Alice chiffrer 011100111001001 110011100111001 001110000111111 déchiffrer
Principes La clé secrète est partagée entre les deux parties : Nécessité de disposer d'un canal de confiance pour échanger la clé Les opérations sont symétriques : La même clé est utilisée à la fois pour chiffrer et déchiffrer Également appelée cryptographie à clef secrète
Chiffrement par flot Générateur de nombres pseudo-aléatoires Initialisé par la clé secrète Chiffrement : Le flux généré est combiné au clair à l'aide d'une opération réversible (xor), bit à bit Déchiffrement : Le flux généré est combiné au chiffré à l'aide de l'opération inverse (la même dans le cas du xor) Problèmes : Ne JAMAIS réutiliser le même flux Pas d'intégrité, un attaquant peut inverser des bits
Chiffrement par flot : RC4 Deux algorithmes : KSA (Key-scheduling algorithm) Permutation dans un tableau S de 256 octets La clé sert à la permutation initiale (en général 40 à 128 bits) PRGA (Pseudo-random generation algorithm) A chaque itération, modification de l'état du tableau Application de la fonction de chiffrement (XOR ou addition dans un groupe)
Cas d'usages : Chiffrement par flot Télécommunications (longueur non connue à l'avance) Implémentations matérielles (coût faible) Algorithmes courants: RC4 : très utilisé, notamment dans le Wi-Fi (WEP) A5/1 : GSM (complètement cassé) Algorithmes recommandés : RC4 (en jetant les 3072 premiers octets du flux) Algos estream (concours européen)
Chiffrement par bloc Le (dé)chiffrement se fait sur des blocs de taille fixe Le flux est donc découpé selon la taille du bloc Il faut parfois rajouter du padding M1 M2 M3 M4 M5 M6 padding E K E K E K E K E K E K C1 C2 C3 C4 C5 C6
Modes opératoires : ECB Quel est le problème?
ECB (2) On peut retrouver les motifs
Modes opératoires : CBC (1/2) Cipher block chaining, chiffrement :
Modes opératoires : CBC (2/2) Cipher block chaining, déchiffrement :
CBC (2) Impossible à distinguer de l'aléa
Modes opératoires : CTR (Counter) Permet l'accès aléatoire
Les algorithmes par bloc Historique : DES (Data Encryption Standard) Clef de 56 bits : beaucoup trop court! Recherche exhaustive en quelques jours (heures) COPACABANA : 6,4j de moyenne, $10000 Algorithmes actuels : Advanced Encryption Standard (Rijndael) Clef de 128, 192, 256 bits Blocs de 128 bits Très rapide Blowfish XXTEA (très simple, pour les environnements extrêmement restreints)
Bilan de la cryptographie symétrique Avantages : Rapidité d'exécution Facilité d'implémentation Inconvénients : Les deux parties doivent connaître la clef (canal auxiliaire de confiance) Les communications à N parties nécessitent n*(n- 1)/2 clefs
Communication à 6 parties 12 13 14 15 16 23 24 25 34 26 36 35 45 46 56
Fonctions de hachage Hash function : empreinte numérique, condensat Principes : Fonction à sens unique : prend une entrée quelconque et donne une sortie de taille fixe Facile à calculer (rapide)
Fonctions de hachage : propriétés Propriétés : Résistance aux attaques en préimage : il est très difficile de retrouver le message ayant servi à produire un condensat : E = H(M). Connaissant E il est impossible de trouver M Résistance aux attaques en seconde préimage : E = H(M). Connaissant E et M, il est impossible de générer M' tel que H(M') == H(m) == E Résistance aux collisions : il est très difficile de trouver deux messages donnant la même empreinte (même volontairement)
Fonctions de hachage : MIC Message Integrity Code : intégrité Alice Cher Bob: Rendez vous chez moi à 13h30? Si Ted découvre notre liaison cela pourrait être dramatique. Amour, Alice Canal 1 Cher Bob: Bob Rendez vous chez moi à 13h30? Si Ted découvre notre liaison cela pourrait être dramatique. Amour, Alice MIC(M) 6c aa 8e 9b 39 77 64 54 2c af 54 39 25 79 53 7c Canal 2 MIC(M) 6c aa 8e 9b 39 77 64 54 2c af 54 39 25 79 53 7c
Fonctions de hachage : MAC Message Authentication Code : RF Alice Cher Bob: Rendez vous chez moi à 13h30? Si Ted découvre notre liaison cela pourrait être dramatique. Amour, Alice INTÉGRITÉ AUTHENTIFICATION Cher Bob: Bob Rendez vous chez moi à 13h30? Si Ted découvre notre liaison cela pourrait être dramatique. Amour, Alice 6c aa 8e 9b 39 77 64 54 2c af 54 39 25 79 53 7c K HMAC(K,M) K HMAC(K,M) 6c aa 8e 9b 39 77 64 54 2c af 54 39 25 79 53 7c
HMAC (RFC 2104) HMAC (K,m) = H ((K opad) H ((K ipad) m)) H est une fonction de hachage K est la clé secrète m le message à authentifier opad et ipad des constantes hexadécimales
Fonctions de hachage : utilisations Stockage de mots de passe Avec une graine! FreeBSD MD5 Blowfish crypt() Authentification Protocole par défi-réponse Preuve de possession en avance Poster de manière publique l'empreinte d'un document afin de prouver sa possession à un instant T pour le réveler plus tard Signature (cf. partie cryptographie asymétrique)
Fonctions de hachage : algorithmes Usuels MD5 : cassé! Collisions (cf. SSL au CCC 2008) SHA-1 : pas encore de collisions, mais attaques sérieuses : ne plus utiliser (cf. référentiel cryptographique ANSSI) Recommandés: SHA-256 SHA-512
Cryptographie asymétrique
Pourquoi? Cryptographie asymétrique Problème de l'échange de clés pour la cryptographie symétrique Très récente : Premier travaux publics en 1976 (Diffie et Hellmann) RSA en 1978 Principe : Une donnée publique, une donnée secrète Il est impossible de calculer (en temps raisonnable) la clé secrète à partir des données publiques
Mathématiques utilisées Problèmes difficiles utilisés couramment : Logarithme discret (Diffie Hellmann, DSA, ElGamal) Factorisation des grands entiers (RSA) Logarithme discret sur les courbes elliptiques (ECDSA) Autres problèmes (pour info) : Schémas multivariés (HFE) Réseaux géométriques
Utilisations : chiffrement Ted Clé publique de Carol Clé privée de Carol Carol Chère Carol: Chère Carol: Je soupçonne Alice d une liaison avec Bob. J ai besoin de te voir. Je soupçonne Alice d une liaison avec Bob. J ai besoin de te voir. Amour, Ted Amour, Ted chiffrer Texte chiffré 011100111001001 110011100111001 001110000111111 déchiffrer Algorithmes utilisés : RSA, ElGamal
Utilisations (2) : transport de clef Chère Carol : Chère Carol : Ne me rejette pas. Je t aime plus qu Alice. Ne me rejette pas. Je t aime plus qu Alice. Amour, Ted Amour, Ted chiffrer A032F17634 E57BC43356 743212b9c9 8FA2917342 5633A22201 807732ECF1 3344567520 ABCE4567CD déchiffrer Clé Publique de Carol chiffrer 0111001110 1100111001 0011100001 déchiffre r Clé privée De Carol
Utilisations (3) : Signature Sue Cher M. Ted: Nous avons demandé à la Cour d émettre une injonction vous demandant de rester éloigné de Carol. Cordialement, Sue Yew Cabinet d avocats Dewey, Cheatam & Howe. Clé Privée de Sue Cher M. Ted: Nous avons demandé à la Cour d émettre une injonction vous demandant de rester éloigné de Carol. Empreinte 0F47CEFF AE0317DB AA567C29 chiffrer Cordialement, Sue Yew Cabinet d avocats Dewey, Cheatam & Howe. 0101011110000110101 1011110101111010111 Fonction de Hachage Signature Numérique
Utilisations (4) : Signature Cher M. Ted: Nous avons demandé à la Cour d émettre une injonction vous demandant de rester éloigné de Carol. 0F47CEFF AE0317DB AA567C29 Cordialement, Sue Yew Cabinet d avocats Dewey, Cheatam & Howe. 0101011110000110101 1011110101111010111 déchiffrer 0F47CEFF AE0317DB AA567C29 Clé publique de Sue Si les deux empreintes correspondent, la signature est valide
Authentification!= signature L'authentification permet de répondre à la question : Qui a émis le message? Pour savoir si on peut parler de signature, il faut savoir qui pose la question MAC : l'autre possesseur de la clé secrète, donc 2 personnes peuvent émettre Signature : un possesseur de la clé publique, donc tout le monde peut vérifier, mais seule une personne peut émettre
Utilisations (5) : Échange de clef Alice et Bob possèdent le même secret partagé : K
Perfect Forward Secrecy Permet de garantir qu'en cas de compromission postérieure, une conversation ne pourra être déchiffrée Diffie Hellman à l'initialisation de la connexion Indisponible sur les serveurs IIS de Microsoft (avant Windows 2008)! Traduction possible : «Confidentialité persistante»
Bilan de la cryptographie asymétrique Avantages : Pas besoin de canal de confiance, la clé est publique Permet de faire de la signature, de l'échange de clé etc. Inconvénients : Opération extrêmement lentes On ne peut chiffrer que des informations petites Comment déterminer si l'on possède la bonne clé publique?
Man in the middle (1) Attaque de l'homme du milieu Comment déterminer si la clef publique que l'on souhaite utiliser est la bonne?
Attaques
Man in the middle (2) Clé publique de Carol Carol Ted Chère Carol: Je soupçonne Alice d une liaison avec Bob. J ai besoin de te voir. Amour, Ted Clé publique du pirate chiffrer 011100111001001 110011100111001 001110000111111 Dé chiffrer Clé privée du pirate Clé privée de Carol Chère Carol: Je soupçonne Alice d une liaison avec Bob. J ai besoin de te voir. Amour, Ted11 Dé chiffrer Chère Carol: Je soupçonne Alice d une liaison avec Bob. J ai besoin de te voir. Amour, Ted chiffrer 011100111001001 110011100111001 001110000111111
Classification Selon les clairs/chiffrés disponibles : Attaque à chiffré seul (COA) Attaque à clair connu (KPA) Attaque à clair choisi (CPA-2 / CPA) Toujours possible pour les chiffrements à clé publique Attaque à chiffré choisi (CCA-2 / CCA) Attaque à clés liées (RKA) Contre un schéma d'authentification : Attaque par imitation Attaque par substitution
Contextes d'attaques Selon les spécifications disponibles Cryptanalyse en boîte noire Cryptanalyse structurelle Selon l'accès au matériel chiffrant disponible : Cryptanalyse par canaux secondaires Cryptanalyse par injection de fautes
Un système sûr? La sécurité inconditionnelle Confidentialité parfaite (contre une attaque à chiffré seul) : la connaissance du message chiffré n'apporte aucune information sur le message clair la seule attaque est la recherche exhaustive Nécessite une clé aléatoire et au moins aussi longue que le texte clair Authentification parfaite (contre une attaque par substitution) : Théorie de l'authentification à clé secrète à usage unique Nécessite des clés jetables de longueur supérieure à celle du message
Sécurité calculatoire Les systèmes utilisés dans la pratique sont théoriquement cassables. En pratique : la connaissance du message chiffré ne permet de retrouver ni la clé ni le message clair en un temps humainement raisonnable La cryptographie à clé publique est rendue possible pas la sécurité pratique
Complexité d'une attaque : ordres de grandeur
Recherche exhaustive de clé secrète Clé de n bits : 2^n clés possibles Retrouver la clé : 2^(n-1) essais en moyenne DES (1977), clé secrète : 56 bits 2^55 ( ~ 10^17) 1997 : 39 jours sur 10 000 Pentium 1998 : EFF DES Cracker $250 000 : 2.5 jours $1 000 000 : 35 minutes en théorie $10 000 000 : 3.5 minutes en théorie 2006 : COPACABANA (reprogrammable) $10 000 : 7 jours
Algorithmes symétriques : Taille des clefs 128 bits minimum Algorithmes asymétriques : RSA : 2048 bits recommandés Record (public) de factorisation : 768 bits DSA : 2048 bits également Similarités avec la factorisation Courbes Elliptiques (ECDSA) : 256 bits Fonctions de hachage : Sortie de 256 bits (SHA-256)
Implémentations
Implémentation L'utilisation correcte d'algorithmes est très difficile! De nombreuses précautions à prendre : padding, choix des paramètres, clefs faibles L'utilisation d'un aléa de qualité est extrêmement importante Conseil : Utiliser des bibliothèques reconnues et certifiées si possible : OpenSSL API Microsoft
Implémentation (2) : Erreurs OpenSSL Debian (2008) : Aléa : 15 bits OpenSSH : compromission des clefs faibles Perte de la PFS! Attaques pratiques : ssh_decoder, plugin wireshark pour SSL OpenSSL : padding RSA (2003) GnuTLS : chaîne de validation des certificats Attaques par canaux auxiliaires : Consommation électrique des cartes à puces...
Réseaux de confiance
Principe N'importe qui peut générer sa paire de clefs Publication des clefs publiques dans un annuaires D'autres personnes après vérification signent votre clé : Key signing party Vérification de l'empreinte + vérification de l'identité Et la republient sur l'annuaire Plus une clé est signée, plus elle est a priori de confiance
En pratique Utilisé pour les clefs PGP/GPG : Annuaires publiques Différents niveaux de vérification Différents niveaux de confiance Autres utilisations : CACert Thawte Problèmes : Clés perdues / compromises Il faut révoquer ces clés!
Infrastructures de gestion de clés
IGC : Infrastructure de gestion de clés Principe élémentaire de sécurité : Utiliser une clé publique pour chiffrer uniquement quand on est sûr de son origine Sinon... attaque par le milieu! Un certificat associe une clé publique à une identité L'autorité de certification garante de la sécurité du système Sa clé privée signe les certificats et les listes de révocations Problèmes essentiels : la révocation et la confiance en cette autorité...
Opérations Il y a 2 opérations basiques dans toute IGC : La vérification : processus permettant de relier une valeur de clé publique à un individu, une organisation ou tout autre entité, ou même une autre pièce d information comme une permission ou une pièce d identité La validation :processus consistant à vérifier qu un certificat est toujours valide.
Services Une IGC un ensemble de services comprenant : L enregistrement d un utilisateur La génération de certificats La distribution de certificats La révocation de certificats Le renouvellement de certificats L archivage de certificats Cela implique des Autorités de certification et d enregistrement
Autorité de certification (CA) Est une autorité de confiance Génère des certificats : Création Signature Publication Génère les listes de révocations (CRL) Peut maintenir des bases de certificats (avec la clé privée)
Autorité d enregistrement (RA) Point de contact entre l'utilisateur et l'autorité de certification. obtention d'un certificat par demande auprès d'une autorité d'enregistrement Une fois les informations vérifiées (suivant la politique de certification), l'enregistrement est effectué et seules les informations nécessaires à la certification sont communiquées à l'autorité de certification
Publications des certificats et CRL Annuaire Composant critique d une IGC Lightweight Directory Access Protocol (LDAP) Stockage et distributions : Certificat CRLs Politiques et autres informations Il n est pas nécessaire de faire confiance aux certificats et listes signées par la CA
Normalisation : format X509 v3 Certificat X.509 spécification de champs de base (subject, issuer, date, etc. dans les certificats X509 v1 et v2) et d'extensions (v3) permettant : d'imposer des limites sur la longueur de l'itinéraire de certification (PathLen), dans le cas d'un certificat d'autorité (CA=TRUE) de restreindre les usages d'une clef (authentification de serveur ou de client SSL/TLS, authentification de messages électroniques, signature de code, certification de clef, de liste de révocation, etc.) d'énoncer les pratiques de certfication (CPS), dont l'identifiant (OID) permet notamment d'identifier les certificats EV (Extended Validation), dont l'utilisation se traduit par l'apparition d'une barre d'url verte dans les navigateurs courants
Conclusion
Conclusion La cryptographie est la science du secret Elle permet de résoudre certains problèmes dus au format numérique des documents Les services de sécurité garantis sont : La confidentialité L'authenticité de l'origine des messages
Références Référentiel général de sécurité (ANSSI) Handbook of Applied Cryptography. (PDF : http://www.cacr.math.uwaterloo.ca/hac/) Cryptographie Appliquée (Bruce Schneier) The Emperor's Codes: The Breaking of Japan's Secret Ciphers (Michael Smith) http://blog.cryptographyengineering.com/
Remerciements Marion Videau, Franck Davy et Raphaël Rigo pour une partie du contenu et certains schémas Aurélien Bordes et Olivier Levillain pour leur connaissance poussée d'ipsec et de SSL/TLS