OPENSSL/ SSL Glossaire IGC : Interface de Gestion des Clés L IGC sert à : o Emettre les certificats o Les révoquer o Les publier dans un annuaire. AC : Autorité de Certification. Une AC possède un bi-clé pour signer les clés publiques (et en faire des certificats). GhislaineGrasRSX112-Cnam2012 1
GLOSSAIRE Suite Certificat : Clé publique signée par une AC. Grâce à l utilisation des certificats, aucune donnée n est transmise en clair lors de l authentification. Le certificat sert à : o Chiffrer les communications o Authentifier des utilisateurs o Authentifier des machines o Chiffrer des fichiers o Signer des fichiers Pour vérifie l authenticité d un certificat, l IGC met à disposition : o La clé publique de son AC racine sous la forme d un certificat auto signé, o Les certificats des utilisateurs. GhislaineGrasRSX112-Cnam2012 2
GLOSSAIRE Suite v X.509 : Norme qui permet de gérer les certificats. v PKI : Public Key Infrastructure, des sociétés externes auxquelles on fait implicitement confiance et qui vérifient l authenticité du certificat; v TLS : Transport Layer Secure v SSL : Secure Socket Layer, C est un système qui permet d échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 Choses : Ø Ø Ø Confidentialité : Il est impossible d espionner les informations échangées. Intégrité : Il est impossible de truquer les informations échangées. Authentification : Il permet de s assurer de l identité du programme, de la personne ou de l entreprise avec laquelle on communique. GhislaineGrasRSX112-Cnam2012 3
LES CERTIFICATS v Lors de la négociation SSL, il faut s assurer de l identité de la personne avec qui on communique. Comment être sûr que le serveur auquel on parle est bien celui qu il prétend être? v Au moment de vous connecter sur un serveur web sécurisé, ce dernier vous enverra un certificat contenant le nom de l entreprise, son adresse et toutes les données. C est là que le certificat sert de pièce d identité. GhislaineGrasRSX112-Cnam2012 4
LES CERTIFICATS v Ce sont les PKI, des sociétés externes qui vont vérifier l authentification du certificat. v La liste de ces PKI est incluse dans votre navigateur, il y a généralement : ü VeriSign, Thawte, etc. GhislaineGrasRSX112-Cnam2012 5
Commandes OpenSSL en ligne de commande (En vrac) Récupérer le cer:ficat d un serveur et afficher son contenu «en clair» &echo QUIT openssl s_client connect \ mail.google.com:443 openssl x509 - noout - text GhislaineGrasRSX112- Cnam2012 6
Commandes Supprimer un mot de passe d une clé privée &Openssl rsa in impots.key.pem out impots.keynp.pem Changer un mot de passe d une clé : & openssl rsa in impots.key.pem out impots.keynp.pem Vérifier un cer:ficat: &openssl verify CAFILE caimpot.pem impots.cert.pem Signer un fichier (créer un hash et le chiffrer) &openssl dsgt sha512 sign impots.key.pem \ - out maphoto.png.sha maphoto.png Extraire une clef publique d un cer:ficat: &openssl x509 in impots.cert.pem pubkey > impots.pub.pem GhislaineGrasRSX112- Cnam2012 7
Commandes Vérifier la signature sur un fichier : & openssl dsgt sha512 verify impots.pub.pem \ - signature maphoto.png.sha maphoto.png Toutes les op:ons de compila:on, grâce à : & openssl version a Le fichier de configura:on openssl.cnf Openssl version - d GhislaineGrasRSX112- Cnam2012 8
Architecture du répertoire ssl /etc/ssl/ : Répertoire de configura:on générale de openssl /etc/ssl/ca/ : Répertoire qui con:ent les cer:ficats signés par l AC /etc/ssl/ca/newcerts/ : Répertoire qui con:ent les cer:ficats signés par l AC /etc/ssl/ca/index.txt/ : Fichier ascii qui con:ent un n de serie. Celui qui sera incrémenté à chaque nouveau cer:ficat /etc/ssl/conf/ : Répertoire qui con:ent les fichiers de configura:on pour créer des cer:ficats pour les différents services (smtp, hmps, etc.) /etc/ssl/csr/ :Répertoire qui con:ent les demandes de signatures /etc/ssl/key/ : Répertoires qui con:ent les clés secrètes des cer:ficats /etc/ssl/cert/ : Répertoire qui con:ent les cer:ficats signés GhislaineGrasRSX112- Cnam2012 9
LES UTILISATIONS DE SSL v Comme on l a dit précedemment, SSL peut être utilisé pour sécuriser n importe quel protocole utilisant TCP/IP. v Certains protocoles ont été spécialement modifiés pour supporter SSL : q HTTPS: HTTP+SSL. Ce protocole est inclus dans pratiquement tous les navigateurs et il permet de consulter vos comptes bancaires par le web de façon sécurisée. q FTPS est une extention de FTP (File Transfert Protocol) utilisant SSL. q SSH (Secure Shell) : C est une sorte de Telnet (ou Rlogin) sécurisé. Cela permet de se connecter à un ordinateur distant de façon sûre en ligne de commande. GhislaineGrasRSX112-Cnam2012 10
LES UTILISATIONS SSL q Il est possible de sécuriser des protocoles en créant des tunnels SSL. Une fois le tunnel créé, on peut faire passer n importe quel protocole dedans (SMPT, POP3, HTTP, NNTP ) Toutes les données sont automatiquement chiffrées. STUNNEL permet cela. GhislaineGrasRSX112-Cnam2012 11
LE CADENAS SSL Le cadenas indique que les communications entre le navigateur et le site web sont sûres. Toutefois, il ne garantie rien de plus. Pour reprendre une image connue : Le fourgon blindé ne garantie pas que la banque utilise de bons coffreforts et que les clefs de chez elle sont sécurisées. Par contre, le fourgon blindé lui garantie normalement le transport d un point A vers un point B. Conclusion : OpenSSL est un bon CADENAS, ce qui peut être, un bon départ de réflexion, au niveau sécurité. GhislaineGrasRSX112-Cnam2012 12