A2 Defaillances cryptographiques Flashcards
Description d’une défaillance crypto
Accès a des données sensible due a l’absence de chiffrement, un bris des mécanismes cryptographique, absence ou problème de crypto
quel sont les cibles
Données en repos et en transit
quel est la cause
-Transmission ou stockage de données sensible en clair notamment directement dans le code.
-Fonctions vulnérables.
-Protocoles inappropriés
-Clés trop petites.
-Ne pas valider adéquatement le certificat, la signature ou la chaine de confiance.
Qcq le chiffrement symetrique
-Clé de chiffrement == clé dechiffrement.
-Clé toujours gardé secrete.
-Plusieurs moyens de transmission de clé.
-Chiffrement par bloc et flux.
Qcq le chiffrement asymétrique
-Deux clés différentes: Publique et privée.
-Lorsque c’est généré correctement, il n’est pas possible d’obtenir la clé privée à partir de la clé publique.
- Facilite la gestion de clés.
-Permets plusieurs autres applications au -dela du chiffrement.
qcq TLS
TLS est un ensemble de concepts. On veut une cryptographie symétrique afin que les échanges soient rapides. On veut une cryptographie asymetrique afin déchanger la clé de la cryptographie symetrique.
que veux dire cipher
Chiffrer
quel est objectif premier
intégrité
qcq Diffie-Hellman
Une méthode d’échange de clé de chiffrement.
quel sont les objectifs de la méthode Diffie-Hellman
La confidentialité et elle valide les interlocuteurs en vérifiant le secret.
quel sont les inconvénients de la méthode Diffie-Hellman
-Vulnérable aux attaques MITM.
-Ne permet pas de chiffrer un message. Communication non sécurisé.
Cest quoi Salt
Salt est une méthode permettant de renforcer la sécurité des informations qui sont destinées à être hachées
C’est quoi lobjectif de Salt
-Augmenter la protection des mots de passe.
-Combattre les rainbow table.
-Combattre l’attaque de dictionnaire.
Quels sont les erreurs d’utilisation avec Salt
-Réutilisation
-Trop petite taille
-Prédictible
Quels sont les mesures de protection pour les défaillances cryptographiques
-Classer les données traitées, stockées ou transmises
-Mettre en place des controles de sécurité en fonction de la classification des données.
-Garder uniquement les données nécessaires.
-Assurez-vous que des algorithmes, protocoles et clés fortes sont en places.
-Pour les mots de passe: PBKDF2/bcrypt/scrypt/Argon2
-Chiffrer toutes les données sensibles au repos
-Utiliser un générateur de nombre aléatoire qui est fiable
-Utiliser du chiffrement (TLS) pour toutes les communications (Externe et interne)
-Ne pas combiner HTTP et HTTPS
-HTTPS avec “stripping” avec ssltrip
-Ne pas offrir de page non chiffrée pour du contenu sécuritaire
-Utiliser HSTS (HTTP Strict Transport Security)
-Désactiver la mise en cache pour les réponses contenant des données sensibles.
-Utiliser des protocoles de chiffrement existants
Aussi la, ne developpe pas ton propre chiffrement la.
