PKI Flashcards
Expliquer le Codage à clé partagée – clés symétriques
- Le chiffrement («cryptage») consiste à modifier le contenu d’un élément afin de le rendre illisible par des personnes/machines non autorisées et à en assurer la confidentialité
- Le chiffrement, contrairement au hachage, est réversible.
Qu’est-ce que le chiffrement ?
Le chiffrement («cryptage») consiste à modifier le contenu d’un élément afin de le rendre illisible par des personnes/machines non autorisées et à en assurer la confidentialité Le chiffrement, contrairement au hachage, est réversible. La connaissance de l’algorithme de chiffrement et de sa clé permet d’accéder au contenu du message crypté. Dans le cas d’une situation « point à point » où les participants sont connus et leur nombre limité, l’algorithme et la clé peuvent être conservés secrets. Sécurité par l‘obscurité. Dans le cas d’une solution globale, l’algorithme de chiffrement doit être connu et la clé servant au cryptage reste secrète. Principe de Kerckhoffs
Différence entre protocole WEP et WPA-802.11i ?
Dans la technologie Wifi, le protocole WEP (Wired Equivalent Privacy ou Wireless Encryption Protocol ) est basé sur une clé partagée statique et commune à tous les participants (groupe). WPA2-802.11i utilise également une clé partagée statique (la clé primaire PMK) mais le protocole ajoute un élément variable (le Nonce, valeur aléatoire modifiée régulièrement) et un élément particulier aux participants (leurs adresses MAC) afin de générer une clé secondaire de chiffrement, non statique et spécifique à une liaison. Les éléments pseudo-aléatoires ajoutés à la valeur à crypter / hacher prennent le nom de sel. Les générateurs aléatoires (PNRG – Pseudo Random Number Generator) le sont imparfaitement (entropie faible)
Citer les différents algorithmes de chiffrement sont utilisés:
Différents algorithmes de chiffrement sont utilisés: DES (Data Encryption Standard - 1977) 3 DES (ou TripleDES) RC4 (Rivest Cipher 4) AES (Advanced Encryption Standard , 2000)
Expliquer le codage à clés asymétriques (ou clé publique)
- §Une paire de clé est générée.
- §Une première clé sert au cryptage et une deuxième clé sert au décryptage.
- §La clé qui crypte ne peut pas décrypter et inversement.
- §Seule la clé complémentaire peut décrypter ce qui a été crypté par une clé.
- §Une clé reste secrète (la clé privée) alors que la deuxième peut être largement diffusée (la clé publique).
- §La clé privée reste toujours en possession de l’émetteur du message.
- La clé privée peut être protégée par un mot de passe et/ou stockée sur un média tiers (clé USB, par ex.)
- §La clé publique peut être transmise ou mise à disposition dans un lieu public (serveur ldap, par exemple).
- §Les opérations de chiffrement déchiffrement asymétriques demande beaucoup de ressources (calcul): adapté au chiffrement de données de type fichiers ou messages.
- La génération de la paire de clés est également gourmand en ressources (calcul).
§Codage à clés asymétriques
- Analogie:
- §Un cadenas (public et disponible) permet de fermer une boîte et une seule clé (privée et secrète) permet de l’ouvrir.
- §Pour transmettre un message, l’expéditeur ferme la boîte avec le cadenas du destinataire, préalablement obtenu de la part du destinataire, qui lui seul pourra ensuite ouvrir cette boîte fermée par son propre cadenas, grâce à sa clé correspondante.
- §Un cadenas (privé) permet de fermer une boîte et une seule clé (publique et disponible) permet de l’ouvrir.
- §Pour garantir la provenance d’un message, l’expéditeur ferme la boîte avec son propre cadenas. Si le récepteur peut l’ouvrir avec la clé de l’expéditeur, préalablement obtenue de la part de l’expéditeur, il a la garantie que la boîte a été fermée par le possesseur du cadenas qui vient d’être ouvert.
§Le mécanisme à clés asymétriques permet le chiffrement.
Expliquer comment ça marche.
- Le message est crypté avec la clé publique du destinataire; seul le destinataire pourra décrypter le message, à l’aide de sa clé privée complémentaire.
- L’expéditeur doit se procurer la clé publique du destinataire.
Authentification et signature
- §Le mécanisme à clés asymétriques permet l’authentification et la signature
- §Le message est crypté avec la clé privée de l’émetteur ; le destinataire pourra décrypter le message uniquement avec la clé publique complémentaire de l’émetteur.
- §Le destinataire doit se procurer la clé publique de l’expéditeur.
Authentification et vérification d’intégrité d’un message.
- Une empreinte du message est calculée avec un algorithme de hachage.
- L’empreinte est cryptée (signée) à l’aide de la clé privée de l’émetteur..
- Le message et l’empreinte cryptée (signée) sont envoyés au destinataire.
- Le destinataire calcule l’empreinte du message reçu à l’aide du même algorithme de hachage.
- Le destinataire décrypte l’empreinte reçue à l’aide de la clé publique de l’émetteur et compare l’empreinte reçue avec l’empreinte calculée.
- De plus, la confidentialité du message peut être assurée en cryptant le message à l’aide de la clé publique du destinataire.
Comment est obtenue la signature numérique ?
- De manière générale, une signature numérique est obtenue à l’aide de l’empreinte du document.
A l’émission:
- Génération de l’empreinte du document, puis chiffrement (= signature) de l’empreinte avec la clé privée de l’émetteur.
- Le document peut être transmis en clair.
A la réception:
- Déchiffrement de l’empreinte avec la clé publique de l’émetteur et comparaison avec l’empreinte calculée par le récepteur.
- Si les empreintes coïncident, le document est considéré
- 1.Intègre
- 2.signé (car l’empreinte a été déchiffrée avec la clé publique de l’émetteur du document), donc authentique.
Ou est stockée la signature numérique ?
La signature numérique peut être stockée dans un fichier tiers ou intégrée au fichier signé (MS-Office ou Adobe PDF).
Expliquer la clé de session
Codage à clés asymétriques: clé de session
- Un système à clés asymétriques, gourmand en ressources de calculs, peut être utilisé pour transmettre une clé partagée.
- La clé partagée est ensuite utilisée pour les transactions suivantes.
- On parle alors de clé de session.
- Notamment pour traiter des flux de données (SSL/TLS, IPsec
Expliquer pour le codage à clés asymétriques comment les clés sont créées
- Construit sur des théories mathématiques complexes, différents algorithme peuvent être utilisés pour créer les paires de clés publique et privée.
- La génération d’une paire de clés peut être consommateur de ressource (temps de calcul)
- RSA (River, Shamir, Adleman)
- DSA (Digital Signature Algorithm)
Clé publique et confiance: de quoi dépend la confiance ?
Cette confiance (trust) dépend de la manière qui a permis d’obtenir cette clé et du niveau de contrôle mis en place lors de la création et de la distribution des clés à leur possesseur.
Comment être certain de la provenance d’une clé publique largement distribuée ou mise à disposition ?
Certification de la clé
Comment s’assurer de la validité d’une clé et de son certificat ?
- Par le biais d’un certificat délivré par un certificateur: l’autorité de certification (ou CA), qui délivre un certificats standard (X.509)
- Via un cercle de confiance (PGP)
Comment faire confiance à un ‘certificateur’ ?
- Le certificateur doit figurer dans une liste de confiance (d’un individu ou de l’organisation à laquelle il appartient) et être ainsi agréé.
- Windows par exemple, via Windows Update, maintien une liste de CA agréés par … Microsoft.
Qu’est-ce que PKI ?
L’ensemble des services permettant d’utiliser des clés asymétriques dans un contexte global est regroupé sous le nom de PKI (Public Key Infrastructure).
Une PKI (Public Key Infrastructure) permet de garantir la confiance dans les certificats délivrés, donc dans les clés publiques distribuées.
Une infrastructure de PKI s’appuie sur 5 services / autorités. Lesquelles ?
- L’autorité d’enregistrement
- Vérifie l’identité et génère une demande de certificat
- L’autorité de certification (CA)
- Délivre, publie et révoque les certificats/clés
- L’autorité de dépôt
- Stocke et met à disposition les certificats et les listes de révocation
- L’autorité d’horodatage
- Date les documents à des fins juridique
- L’autorité de séquestre
- Stocke les clés à des fin judiciaires
Où Windows stocke les certificats ?
Windows stocke les certificats dans le gestionnaire de certificats
La validité d’un certificat est vérifiée par ?
- Sa date de validité.
- Son usage prévu.
- Sa validation par une chaine de certification valide.
- Le nom figurant dans le certificat (sujet/objet)
- Sa non révocation.
Qu’est-ce que CRL ?
Les émetteurs de certificat maintiennent à jour une liste des certificats révoqués: CRL – Certificat Revocation List.
Qu’est-ce que le protocole OCSP ?
- Le protocole OCSP (Online Certificate Status Protocol) met en place les mécanisme permettant de vérifier la validité d’un certificat.
- RFC 2560
- Supporté par tous les browser récents
Qu’est-ce que SSL ?
SSL (Secure Socket Layer ou TLS – Transport Layer Security) permet de transmettre des données de manière chiffrées et authentifiées.
