Sécurité 2. Université Kasdi Merbah Ouargla. PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS.

Documents pareils
Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

PKI PKI IGC IGC. Sécurité des RO. Partie 4. Certificats : pourquoi?

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cours 14. Crypto. 2004, Marc-André Léger

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Du 03 au 07 Février 2014 Tunis (Tunisie)

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Architectures PKI. Sébastien VARRETTE

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

La sécurité dans les grilles

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

La sécurité des Réseaux Partie 7 PKI

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Gestion des Clés Publiques (PKI)

Sécurité WebSphere MQ V 5.3

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

D31: Protocoles Cryptographiques

Public Key Infrastructure (PKI)

Les certificats numériques

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

«La Sécurité des Transactions et des Echanges Electroniques»

Livre blanc. Sécuriser les échanges

Certificats et infrastructures de gestion de clés

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Signature électronique. Romain Kolb 31/10/2008

Livre blanc. Signatures numériques à partir du cloud fondements et utilisation

Protocoles d authentification

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Sécurité des réseaux IPSec

Signatures électroniques dans les applications INTERNET

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr.

Chapitre 3 : Crytographie «Cryptography»

Devoir Surveillé de Sécurité des Réseaux

L identité numérique. Risques, protection

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Protocole industriels de sécurité. S. Natkin Décembre 2000

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Une introduction à SSL

Le protocole SSH (Secure Shell)

Fonction de hachage et signatures électroniques

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Les infrastructures de clés publiques (PKI, IGC, ICP)

Gestion des certificats digitaux et méthodes alternatives de chiffrement

28/06/2013, : MPKIG034,

Réseaux Privés Virtuels

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Annexe 8. Documents et URL de référence

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Les fonctions de hachage, un domaine à la mode

La citadelle électronique séminaire du 14 mars 2002

Sécurisation des accès au CRM avec un certificat client générique

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Définition d une ICP et de ses acteurs

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

ETUDE DES MODELES DE CONFIANCE

Audit des risques informatiques

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Gestion des clés cryptographiques

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Cadre de Référence de la Sécurité des Systèmes d Information

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

EMV, S.E.T et 3D Secure

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Les protocoles cryptographiques

Déploiement d'une Infrastructure de Gestion de Clés publiques libre

LEGALBOX SA. - Politique de Certification -

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

Protocoles cryptographiques

Utilisation des certificats X.509v3

Network WPA. Projecteur portable NEC NP905/NP901W Guide de configuration. Security WPA. Méthode d authentification supportée

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Fiche de l'awt Signature électronique

Le protocole sécurisé SSL

Autorité de Certification OTU

Sécurité. Objectifs Gestion de PKI Signature Cryptage Web Service Security

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

Cryptographie et fonctions à sens unique

Certification électronique et E-Services. 24 Avril 2011

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Transcription:

Sécurité 2 Université Kasdi Merbah Ouargla Département Informatique PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS Janvier 2014 Master RCS Sécurité informatique 1

Sommaire 1. Les services de sécurité et les crypto systèmes modernes 2. L authentification et l autorité de certification PKI (Public Key Infrastructure) et les certificats X.509 2 Master RCS Sécurité informatique 2

1- Les services de sécurité et les crypto systèmes modernes I Services Primitives Crypto Algorithmes Confidentialité Symétrique DES, RC4, AES, Intégrité Fonctions de Hachage MD5, SHA, Authentification Macs HMAC Non-répudiation Asymétrique ou à clé publique RSA, ECC, 3 Master RCS Sécurité informatique 3

Les services de sécurité et les crypto systèmes modernes II Algorithmes symétriques basés sur des opérations de substitution et de transposition (en mode flot de données ou en mode bloc). Algorithmes asymétriques basés sur des pbs. mathématiques complexes (factorisation de grands nombres entiers et equation de logarithme discret). Opérations clé publique (chiffrement et vérification de signature) et clé privée (déchiffrement et génération de signature). Des fonctions de hachage et calcul de MACs (Message Authentication Code) 4 Master RCS Sécurité informatique 4

Les services de sécurité et les crypto systèmes modernes III Un système mixte : un algorithme symétrique pour chiffrer le message, et un algorithme asymétrique pour échanger et/ou chiffrer la clé. Cette méthode mixte est plus efficace et utilisée dans les implémentations de protocoles de sécurité Internet. 5 Master RCS Sécurité informatique 5

2- Authentification et autorité de certification I Attaque Man-In-The-Middle (MITM) Comment légitimer la clé publique cle A d'une personne A? Et éviter les attaques de type MITM On utilise une Autorité de certification (CA) Master RCS Sécurité informatique 6

Authentification et autorité de certification II L émetteur A émet sa clé publique à une CA (qui vérifie) et retourne un certificat signé par CA : S A,CA = sign Kpriv(CA) (H(Id A, cle A )) le récepteur B vérifie le certificat de A en calculant 1. ce qu'il reçoit : H(Id A, cle A ) 2. et l'autorité de certification : ver kpub(ca) (S A,CA ) 3. et teste l'égalité Master RCS Sécurité informatique 7

Authentification et autorité de certification II En conclusion : pour authentifier les clés publiques elles mêmes, et éviter l attaque de type Man-In-The-Middle, une autorité tierce partie CA doit être utilisée c-a-d une infrastructure de gestion de certificats PKI utilisant des certificats à clé publique de type X.509. Master RCS Sécurité informatique 8

La PKI et les certificats X.509 Master RCS Sécurité informatique 9

La PKI et les certificats X.509 Les composants de la PKI : 1. Autorité de certification (CA Certificate Authority) : publie/met à jour/ révoque des certificats numériques aux demandeurs. 2. Autorité d enregistrement (RA Registration Authority) : authentifie le demandeur (vérifie le lien entre la clé publique et l identité de son détenteur). 3. Le support de certificat (Certificate Holder) : le PORTEUR du certificat. 4. Le répertoire (Repository) : stocke les certificats, les CRLs (liste de révocation de certificats) et les rend disponibles. 5. Le client : l utilisateur du certificat, vérifie le certificat et valide la signature d un message signé. Master RCS Sécurité informatique 10

La PKI et les certificats X.509 Les fonctions d une PKI: 1. Enregistrement : vérifier les infos d identité 2. Certification : la CA publie le certificat 3. Génération de paire de clés: par le porteur ou par la CA 4. Mise à jour de clé :les paires de clés sont mises à jour à des intervalles réguliers 5. Révocation de la validité d un certificat. Chaque certificat a une date d expiration, mais il ya des scénarios qui nécessitent la révocation d un certificat. 6. Cross-certification : c est un processus qui permet l interopérabilité des PKIs (hiérarchique ou bridge) Master RCS Sécurité informatique 11

Structure d'un certificat Version Numéro de série Algorithme de signature du certificat Signataire du certificat Validité (dates limite) Pas avant Pas après Porteur du certificat Informations sur la clé publique Algorithme de la clé publique Clé publique Identifiant unique du signataire (Facultatif) Identifiant unique du porteur du certificat (Facultatif) Extensions (Facultatif) Master RCS Sécurité informatique 12

Certificats : exemple Master RCS Sécurité informatique 13

Formats de stockage des certifcats DER (Distinguished Encoding Rules) ASN.1 (Abstract Syntax Notation One) Représentation de données sous un format binaire autres: BER (Basic Encoding Rules) CER (Canonical E.R) extensions usuelles :.der,.cer,.crt,.cert PEM (Privacy Enhanced Mail) Format par défaut de openssl Peut contenir clés privées, clés publiques et certificats X509. C'est du DER encodé en base64 auquel sont ajoutées en-têtes en ASCII Extensions usuelles :.pem,.cer,.crt,.cert PKCS#12 (Personnal Information Exchange Syntax Standard) fait partie des spés (Public-Key Cryptography Standards) de sté RSA format (binaire) d'exportation d'un certificat et/ou d'une clef privée standard pour stocker des clés privées, des clés publiques et des certificats en les protégeant en confidentialité et en intégrité utilisé par Mozilla et IE/Outlook pour importer/exporter certificat avec sa clé privée associée. Master RCS Sécurité informatique 14

La révocation du certificat Un certificat est révoqué car : Il a expiré Les clés privées ont été perdues ou compromises Le porteur à fait un usage illégal du certificat Il est non valide Chaque CA publie périodiquement une liste des certificats révoqués (CRL) Cette liste pouvant être volumineuse, on procède En publiant des delta (modifications incrémentales) En découpant la CRL en partition. Chaque certificat contient un pointeur vers la partition où il devrait se trouver Master RCS Sécurité informatique 15

Conclusion Note 1. Impossible d identifier précisément l émetteur si la clé secrète est partagée entre plusieurs personnes. Note 2. On garantit que l émetteur possède la clé privée, mais pas l identité effective de l émetteur. Note 3. Ne pas oublier de vérifier la validité (date, répudiation ) du certificat. Master RCS Sécurité informatique 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back