La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Janvier - Février 2005 Version 1.01 1 Chapitre 2 - Sécurité des contenus et échanges Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE –

Présentations similaires


Présentation au sujet: "Janvier - Février 2005 Version 1.01 1 Chapitre 2 - Sécurité des contenus et échanges Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE –"— Transcription de la présentation:

1

2 Janvier - Février 2005 Version Chapitre 2 - Sécurité des contenus et échanges Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE – Expert Réseaux et Sécurité État de lart de la sécurité informatique

3 Janvier - Février 2005 Version Sommaire Sécurité des Contenus & Échanges Introduction à la cryptographie Utilisation de la cryptographie Les protocoles Les PKI La réglementation

4 Janvier - Février 2005 Version Introduction à la cryptographie Terminologie Chiffrement à clefs symétriques Chiffrement à clefs asymétriques Fonctions de hachage Longueur des clefs

5 Janvier - Février 2005 Version Terminologie Cryptologie = Cryptographie + Cryptanalyse Chiffrement, Déchiffrement et décryptement: Texte Texte chiffré Texte clair Chiffrement Déchiffrement Décryptement ou décryptage

6 Janvier - Février 2005 Version Cryptographie : Services Confidentialité Intégrité Authentification Non-répudiation Authenticité = Authentification + intégrité

7 Janvier - Février 2005 Version Cryptographie : Mécanismes Construits au moyen doutils cryptographiques : Chiffrement Protocoles dauthentification mutuelle Scellement et signature

8 Janvier - Février 2005 Version Confidentialité et chiffrement Deux grandes familles Algorithmes symétriques ou à clef secrète Relativement rapide Utilisés pour le chiffrement de données Algorithmes asymétriques ou à clef publique Nécessite beaucoup de ressources Utilisés pour les échanges de clefs Utilisés pour la signature

9 Janvier - Février 2005 Version Chiffrement à clef symétrique Clef de chiffrement = Clef de déchiffrement La clef doit rester secrète La méthode de distribution de clef est cruciale

10 Janvier - Février 2005 Version Algorithmes Algorithme de chiffrement de flux « Stream cipher » agit sur 1 bit à la fois RC4 et RC5 longueur de clef variable (128 bits en général) Algorithmes de chiffrement par blocs « Block cipher » agit sur des blocs de données (généralement 64 bits) DES Data Encryption Standard (56 bits + 8 de parité = 64 bits) 3DES (EDE : Encrypt-Decrypt-Encrypt) 3 clefs distinctes (eff. 168 bits) ou 2 clefs distinctes (eff. 112 bits) IDEA - International Data Encryption Algorithm (128 bits) Devrait simposer en lieu et place de 3DES dont les performances ne sont plus satisfaisantes et dont la fiabilité commence à être mise en doute CAST (128 bits) Blowfish (longueur de clef variable –> 448 bits) AES – Advanced Encryption Standard (128, 192, 256 bits) Un autre remplaçant potentiel de 3DES dont lutilisation est de plus en plus répandue

11 Janvier - Février 2005 Version Cryptographie à clef publique Diffie & Helman 1976 Découvert par larmée anglaise 1970 RSA 1978 dérive des travaux de Diffie-Helman Basée sur des problèmes difficiles à résoudre Logarithme discrets Factorisation de grand nombres Clefs de chiffrement et de déchiffrement distinctes Connaître la clef publique ne permet pas de retrouver la clef secrète correspondante Algorithmes trop gourmands en ressource pour être utilisés pour chiffrer les données Utilisés seulement pour léchange de clefs et la signature

12 Janvier - Février 2005 Version Diffie-Helman & RSA Diffie-Helman Génération dun couple de clefs publique/privée à chaque session La clef secrète est une combinaison de la clef publique du tiers et de sa clef privée A pub = g a mod n ; B pub = g b mod n => C = g ab mod n … Pas dauthentification RSA Génération dun couple de clefs « une fois pour toutes » Transport dune clef secrète chiffrée avec la clef publique du destinataire Authentification

13 Janvier - Février 2005 Version Cryptographie à clef publique Chiffrement Chiffrement Clef publique utilisée pour le chiffrement Seul le détenteur de la clef privée peut déchiffrer

14 Janvier - Février 2005 Version Cryptographie à clef publique Signature Signature Clef privée utilisée pour le chiffrement Seul son détenteur peut chiffrer Tout le monde peut déchiffrer

15 Janvier - Février 2005 Version Exemple

16 Janvier - Février 2005 Version Longueur des clefs Longueur clef symétrique != Longueur clef asymétrique Les algorithmes reposent sur des principes différents et utilisent donc comme clef des éléments présentant des caractéristiques (dont la longueur) différentes Clefs symétriquesClefs asymétriques 64 bits512 bits 80 bits1024 bits 112 bits2048 bits 128 bits3072 bits

17 Janvier - Février 2005 Version Combien de temps pour casser une clef ?

18 Janvier - Février 2005 Version Fonctions de hachage Utilisation Contrôle dintégrité Signature Scellement Fonctionnement Convertit une chaîne de longueur variable en une empreinte de taille inférieure et généralement fixe Fonctionnement à sens unique (one-way function) Facile à calculer, difficile à inverser Il est très difficile de créer deux messages différents ayant la même empreinte

19 Janvier - Février 2005 Version Hachage - Algorithmes SHA (Secure Hash Algorithm) SHA-1 (1994) – empreinte de 160 bits Corrige une faille (secrète) de SHA Considéré plus sûr que MD5 SHA-2 (2000) – empreinte de 256, 384 et 512 bits Empreinte plus grande MD5 (Message Digest 5) Empreinte de 128 bit Le plus répandu

20 Janvier - Février 2005 Version Utilisation de la cryptographie Chiffrement Données (Clefs symétriques) Clefs (Clefs publiques) Scellement (Hachage+Clef symétriques) Signature (Hachage+Clef pub/privée) Authentification (Clefs publiques/privées) Échanges de clefs (DH) Certificats Sujet traité dans la section PKI…

21 Janvier - Février 2005 Version Chiffrement Service Confidentialité Algorithmes à clefs symétriques Algorithmes de chiffrement de flux RC4, RC5, … Algorithmes de chiffrement par block DES, 3DES, AES, …

22 Janvier - Février 2005 Version Scellement Services Intégrité des données Authentification de lexpéditeur Différent de la signature car ne fournit pas le service de non répudiation Fonctionnement Générer un sceau (code dauthentification) Aussi appelé MAC : Message Authentication Code Chiffrer le sceau

23 Janvier - Février 2005 Version Scellement (2) Dans la pratique Fonction de hachage utilisée avec une clef secrète Keyed-MAC (Keyed-SHA-1 ou Keyed-MD5)

24 Janvier - Février 2005 Version Signature Services Intégrité + Authentification Non répudiation Fonctionnement Chiffrement dun sceau à laide de la clef privée de lexpéditeur Dans la pratique Fonction de hachage + clef privée de lexpéditeur MD5-RSA, SHA-1-RSA, …

25 Janvier - Février 2005 Version Authentification Basé sur la cryptographie à clefs publiques RSA Méthode A chiffre un secret avec la clef publique de B B déchiffre ce secret avec sa clef privée B chiffre ce secret avec la clef publique de A A déchiffre le message avec sa clef privée Si le secret reçu est égal au secret envoyé A à authentifié B et B à authentifié A.

26 Janvier - Février 2005 Version Échange de clefs Diffie-Helman Diffie-Helman permet de générer une clef de session sans que celle-ci ne transite La durée de vie de la clef est <= à la durée de la session La clef de session permet léchange de clefs de chiffrement secrète et partagée La durée de vie de cette clef est courte RSA Échange régulier de clefs de chiffrement secrète et partagée Transport de la dite clef chiffrée avec la clef publique (RSA) du destinataire

27 Janvier - Février 2005 Version En résumé Cryptographie A clef partagéeA clef publique Flux RC4, RC5 Blocks DES, IDEA, AES Services Confidentialité, Authentification* Diffie-HelmanRSA Services Confidentialité*, Intégrité, Authentification, Non répudiation*

28 Janvier - Février 2005 Version Conclusion AvantagesInconvénients Cryptographie à clefs secrètes / symétriques + Rapidité de traitement + Relativement sûr - Protection et stockage de la clef secrète - Répudiation possible - Pas dauthentification Cryptographie à clefs publiques / asymétriques + Permet la signature + Permet lauthentification + Non répudiation + Permet la transmission sur un canal peu sûr dune clef de chiffrement - Protection et stockage de la clef privée - Lenteur de la procédure de déchiffrement

29 Janvier - Février 2005 Version Les protocoles Niveau OSIButProtocoles 7 Application Sécuriser les échanges entre applications (ex : mail) - HTTPS - SMIME / PGP / PKI 4 Transport Sécuriser les informations indépendamment du réseau et des applications - SSL/TLS 3 Réseau Apporter des mécanismes de sécurité aux réseaux IP - IPSEC 2 Liaison de données Chiffrer les liaisons PPP - PPTP et L2TP (PPTP+L2F)

30 Janvier - Février 2005 Version IPsec IPSEC (IP Security Protocol) Introduction et présentation Les utilisations Fonctionnement et Protocoles Les restrictions

31 Janvier - Février 2005 Version IPsec – Introduction IPSEC (IP Security Protocol) Norme définissant une extension de sécurité pour le protocole IP (IETF – 1992 / RFC ) IPv6 est à lorigine IPsec (obligatoire dans IPv6) IPsec à été porté sur IPv4 où il est optionnel Permet la création de Réseau Privés Virtuels et la sécurisation des échanges au niveau IP Mise en œuvre possible sur tous les équipements réseau Moyen de protection unique pour tous les échanges de données sur les réseaux IP

32 Janvier - Février 2005 Version IPsec - Présentation Basé sur des mécanismes cryptographiques Sécurité élevée si les algorithmes sont forts Modulaire et ouvert à de nouveaux algorithmes Services Confidentialité Authentification Intégrité des données Protection contre le rejeu

33 Janvier - Février 2005 Version Les utilisations Entre deux passerelles de sécurité VPN LAN-to-LAN, connexion de sites distants via le réseau Internet Avec un partenaire … Entre une machine et une passerelle de sécurité Accès distants via Internet … Entre deux machines Communiquant via un réseau non sûr Entre un client et un serveur lors déchange dinformations sensibles …

34 Janvier - Février 2005 Version Fonctionnement et protocoles IPsec fait appel à deux mécanismes AH (Authentication Header) Intégrité et Authentification des paquets IP Ajout dun champ au paquet IP ESP ( Encapsulating Security Payload) Confidentialité Tout comme AH, ESP peut assurer lauthenticité Création dun nouveau paquet IP Pour chaque protocoles (AH et ESP) deux modes sont déclinés Tunnel et Transport

35 Janvier - Février 2005 Version Authentication Header (AH) Services Authentification et Intégrité Protection contre le rejeu Option, nécessite IKE pour linit. des numéros de séquence Identification du protocole Champ « protocol type » de IP = 51

36 Janvier - Février 2005 Version AH – Fonctionnement (1) Calcul des données dauthentification (Integrity Check Value) à partir des champs invariants du datagramme IP final Les champs susceptibles de varier sont considérés comme nuls. IPv4 : TOS, TTL, Checksum, … IPv6 : TOS, IP version, Hop limit, … Les champs SPI et numéro de séquence de lentête AH sont inclus dans le calcul LICV peut être une signature ou un code dauthentification faisant intervenir une clef Dans la pratique, pour des raisons de performance ce sont les codes dauthentification (MAC) qui sont utilisés

37 Janvier - Février 2005 Version AH – Fonctionnement (2) Les algorithmes HMAC-MD5, HMAC-SHA-1 (obligatoires) KPDK-MD5, DES-HMAC, …

38 Janvier - Février 2005 Version AH – Tunnel / Transport

39 Janvier - Février 2005 Version AH - Remarques Le destinataire vérifie lauthenticité du datagramme en effectuant les mêmes opérations que lémetteur et en comparant les données dauthentification Labsence de confidentialité permet dutiliser ce protocoles dans des pays où la réglementation est contraignante Explique (en partie) la présence de deux protocoles distincts (AH et ESP)

40 Janvier - Février 2005 Version Encapsulating Security Payload (ESP) Services Intégrité et authentification (comme AH) Protection contre le rejeu (option) Confidentialité Confidentialité et authenticité sont configurés indépendamment. Il est possible de ne pas mettre en œuvre les mécanismes assurant lauthenticité (mode NULL). Il est possible de ne pas mettre en œuvre les mécanismes de chiffrement (mode NULL) Identification du protocole Champ « potocol type » de IP = 50

41 Janvier - Février 2005 Version ESP- Fonctionnement (1)

42 Janvier - Février 2005 Version ESP – Fonctionnement (2) Les données sont chiffrées et encapsulées entre une entête et un « trailer » ESP Lauthentification fonctionne sur le même principe que pour AH cependant : Lauthentification ninclus pas len-tête IP Le mode tunnel permet cependant davoir lentête dorigine chiffrée et authentifiée Lauthentification inclus les données chiffrées évitant ainsi davoir à déchiffrer des données non valides Le champ « en-tête suivant » permet de faire suivre une en-tête AH combinant ainsi AH + ESP

43 Janvier - Février 2005 Version ESP – Transport / Tunnel

44 Janvier - Février 2005 Version Composants de IPsec DLL IP / IPSEC Transport Sockets IKEApplication SAD SPD UDP port 500 Ajout, suppression, Modification Consultation Demande SA

45 Janvier - Février 2005 Version Security Association (SA) Structure de données servant à stocker les paramètre de sécurité associés a une connexion sécurisée par IPsec Une SA est unidirectionnelle Pour protéger une communication il faut 2 SA(s) Une SA est identifiée par 3 composantes Ladresse de destination du datagramme Le SPI (Security Parameter Index) Lidentifiant de protocole (ESP=50 ou AH=51) Les SA sont stockées dans une base de données SAD (Security Association Database)

46 Janvier - Février 2005 Version ISAKMP / IKE ISAKMP ( Internet Security Association and Key Management Protocol) Protocole de gestion des SA et des clefs Inutilisable seul, ISAKMP définit un cadre générique IKE (Internet Key Exchange) Protocole dauthentification et de gestion des paramètres de sécurité de IPsec Négocie les paramètres de sécurité Authentifie les tiers Pre-shared key, Digital Certificate Échange les clefs de session ISAKMP + SKEME + Oakley = IKE SKEME et Oakley sont des protocoles déchange de clefs utilisant (optionnellement) Diffie-Helman

47 Janvier - Février 2005 Version Security Policy Database (SPD) Contient une liste de paramètres permettant de déterminer si les paquets sont concernés par IPSec, si ils sont autorisés à passer ou si il doivent être rejetés une entrée protocole, Port source, Port destination, paramétres IPsec, inbound SA, outbound SA, … La SPD est configurée par ladministrateur, un utilisateur ou une application.

48 Janvier - Février 2005 Version Fonctionnement Flux entrants Le paquet est un paquet IPsec ? A quelle SA fait il référence (SPI) ? Consultation de la SAD pour connaître les paramètres, authentification et/ou déchiffrement Consultation de la SPD pour sassurer que le paquet est en accord avec la politique de sécurité Flux sortants Consultation de la SPD pour savoir si le paquet est à traiter Récupération des caractéristiques de la SA dans la SAD Si la SA nexiste pas, demande à IKE létablissement dune nouvelle SA

49 Janvier - Février 2005 Version Secure Sockets Layers Couche de sockets sécurisée Procédé de sécurisation des transactions effectuées via Internet, Indépendant du protocole (HTTP, FTP, POP ou IMAP), Couche supplémentaire, permettant d'assurer la sécurité des données, située entre la couche application et la couche transport SSL est transparent pour l'utilisateur (rien na installer sur le poste de travail, SSL appartenait au départ à Netscape puis a été racheté par l'IETF (Internet Engineering Task Force) TLS (Transport Layer Security) utilisé dans la sécurisation des réseaux wifi

50 Janvier - Février 2005 Version Secure Sockets Layers (2) Fonctionnement SSL repose sur un procédé de cryptographie par clef publique Dans un premier temps, le client, se connecte au site sécurisé par SSL et lui demande de s'authentifier. Le client envoie également la liste des cryptosystèmes qu'il supporte, triée par ordre décroissant de la longueur des clés. Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du cryptosystème le plus haut dans la liste avec lequel il est compatible (la longueur de la clé de chiffrement - 40 bits ou 128 bits - sera celle du cryptosystème commun ayant la plus grande taille de clé)

51 Janvier - Février 2005 Version VPN SSL Le VPN SSL Offre la possibilité de se connecter au réseau de l'entreprise de manière sécurisée à partir de n'importe quel navigateur web, Les principaux avantages du VPN SSL : Pas de coûts d'acquisition de clients VPN, et des coûts d'installations et de maintenances réduits Moins sensible au NAT que le protocole IPSec

52 Janvier - Février 2005 Version VPN SSL (2) Exemple de mise en oeuvre

53 Janvier - Février 2005 Version Secure HTTP (S-HTTP) Protocole HTTP sécurisé Procédé de sécurisation des transactions HTTP reposant sur une amélioration du protocole HTTP, S-HTTP procure une sécurité basée sur des messages au-dessus du protocole HTTP Marquage individuellement des documents HTML à l'aide de "certificats« S-HTTP est très fortement lié au protocole HTTP et crypte individuellement chaque message contrairement à SSL qui est indépendant de lapplication

54 Les infrastructures à clefs publiques

55 Janvier - Février 2005 Version Introduction aux PKI ICP (Infrastructure à Clé Publique) Assure la sécurité des transactions électroniques et léchange de renseignements sensibles grâce à des clés cryptographiques et des certificats Fait appel à quatre éléments Une entité appelée « porteur de certificat » Peut être une personne, une organisation, un équipement Une clef privée Une clef publique Un certificat numérique PGP, X.509 ou autre

56 Janvier - Février 2005 Version Les infrastructures à clefs publiques PGP (Pretty Good Privacy®) Certificats Modèle de confiance Algorithmes Distribution Utilisation PKIX – infrastructure X.509 Certificats Algorithmes Architecture Utilisations

57 Janvier - Février 2005 Version Pretty Good Privacy (PGP)

58 Janvier - Février 2005 Version PGP – Présentation (1) Crée par Phil Zimmerman en aux États-Unis, le projet de loi 266 du Sénat fait réagir le futur auteur de PGP "La recommandation du Sénat est que les fournisseurs de services de communications électroniques et les fabricants d'équipements de communication électronique devront s'assurer que les systèmes de communication permettent au gouvernement d'obtenir le contenu en clair des communications vocales, des données, et des autres communications dans les cas prévus par la loi"

59 Janvier - Février 2005 Version PGP – Présentation (2) PGP à été conçu comme un outil de résistance dans le but de préserver la vie privée des individus Dabord libre PGP à été ensuite vendu à la société Network Associates Inc. (NAI) Depuis beaucoup reprochent à la société davoir transformé PGP en un outil marketing pour les entreprise Des erreurs de programmation graves ont remis en cause la confiance quavaient les utilisateurs dans limplémentation PGP de NAI NAI abandonne PGP desktop (et son développement), cependant PGP reste au catalogue de McAfee (filiale de NAI) Naissance dune version libre de PGP au travers dun groupe de travail de lIETF « OpenPGP » afin de faire de PGP un standard libre

60 Janvier - Février 2005 Version PGP – Présentation (3) Les implémentations de OpenPGP L' Alliance OpenPGP Dirigée par Phil Zimmerman, qui créa le logiciel PGP en 1991, puis participa aux compagnies PGP Inc. et NAI/PGP Security Inc. (qu'il a quitté à la fin 2000), lAlliance OpenPGP cherche à développer le standard de chiffrement du même nom GnuPG (GPG) Programme distribué sous licence GNU GPL par la Free Software Foundation, GnuPG est la version "logiciel libre" de PGP® et compatible avec lui

61 Janvier - Février 2005 Version Les certificats PGP Composition Version PGP Clé publique du porteur RSA, DSA (Digital Signature Algorithm) Informations sur le porteur Nom, identifiant, photo, … Signature du porteur Signature de la clé publique avec la clé privée associée dans le certificat (self signature) Période de validité du certificat Date de début et date dexpiration Algorithme de chiffrement préféré CAST, IDEA ou 3DES Les algorithmes de chiffrement faibles ne sont pas supportés

62 Janvier - Février 2005 Version Les certificats PGP

63 Janvier - Février 2005 Version Exemple de certificat PGP

64 Janvier - Février 2005 Version Modèles de confiance (1) 3 modèles de confiance « Direct Trust » Clef/Certificat obtenue via un canal sûr Entité clairement identifiée « Hierarchical Trust » La confiance en un certificat dépend de la confiance que lon à en lautorité de certification qui a signé le certificat modèle X PKIX

65 Janvier - Février 2005 Version Modèles de confiance (2) 3 modèles de confiance (suite) « Web of trust » Modèle adopté par PGP Reprend les concepts des deux modèles précédents La confiance peut être établie directement La confiance peut être établie entre deux tiers si ils ont tous les deux confiance en une entité commune (directement ou non) Ce concept se rapproche des mécanisme de la vie, les amis de mes amis sont mes amis… Sur chaque clefs sont stockées Une information indiquant si la clef est considérée valide ou non Le degré de confiance placé dans cette clef Complete Trust, Marginal Trust, Notrust PGP défini 4 degrés de validité dun certificat Ultimate : lutilisateur possède le couple clef publique / privée Valid : une signature « Complete Trust » Marginaly Valid : deux signatures « Marginal Trust » Invalid

66 Janvier - Février 2005 Version PGP – Les algorithmes Clef publique / privée RSA, DSA, ElGamal Varie suivant les implémentations Chiffrement IDEA (128 bits), 3DES, … Varie suivant les implémentations La clef de chiffrement est envoyée dans le message chiffrée avec la clef publique du destinataire Signature MD5, …

67 Janvier - Février 2005 Version PGP - Distribution des clefs Envoi direct Publication sur un serveur de clefs PGP

68 Janvier - Février 2005 Version PGP - Remarques Ne pas oublier que la clef publiée doit avoir été signée par une entité en laquelle vos interlocuteurs ont confiance En cas de divulgation de la clef privée révoquer immédiatement la clef publique En cas de perte de la clef privée Rien à faire Pas de révocation possible !

69 Janvier - Février 2005 Version PGP – Utilisations Messages électroniques ( ) Chiffrement Signature Fichiers Chiffrement Signature

70 Janvier - Février 2005 Version Public Key Infrastructure – X (PKIX)

71 Janvier - Février 2005 Version PKIX - Présentation Groupe de travail de lIETF – 1995 Travail sur le développement dune infrastructure à clé publique basée sur les certificats X.509 Définition du format des certificats X.509v3 et des listes de révocation Définition des protocoles de publication et de révocation Définition du format des échanges entre les différentes entité de la PKI Définition du cadre dutilisation et des usages

72 Janvier - Février 2005 Version PKIX – Vocabulaire End-Entities (EE) Utilisateur Final Digital Certificate (X.509v3) Certificat numérique Certification Authority (CA) Autorité de certification qui signe les certificats et en assure donc lauthenticité Registration Authority (RA) Reçoit et valide les demandes de certificat avant de les transmettre à lautorité de certification (CA) Certificate Repository (CR) Stocke et publie les certificats (X.509) Certificate Revocation List (CRL) Liste des certificats révoqués, la CRL se situe souvent sur le serveur de publication (CR)

73 Janvier - Février 2005 Version Les certificats X.509 Composition Version du certificat (v1, v2 ou V3) La clef publique du porteur Le numéro de série du certificat Cest ce numéro qui apparaît dans les listes de révocation Identifiant du porteur « Distinguished Name » (DN) Composé de plusieurs section Common name, , Organizationnal Unit, Organization, State/Province, Country Ex : CN=Sebastien Desse, OU=Intégration, O=Company Inc., C=FR La période de validité du certificat Le nom (X.500) du signataire du certificat (CA) La signature de lautorité de certification (CA) Lalgorithme utilisé pour la signature

74 Janvier - Février 2005 Version Les certificats X.509

75 Janvier - Février 2005 Version Exemple de certificat X.509

76 Janvier - Février 2005 Version PKIX - Le modèle de confiance

77 Janvier - Février 2005 Version PKIX - Les algorithmes Clef publique / privée Principalement RSA, DSA, … Signature MD5, SHA-1, … Publication LDAPv1, LDAPv2 Chiffrement DES, 3DES, … Notamment pour le chiffrement de la Bi-Clef du porteur

78 Janvier - Février 2005 Version PKIX- Schéma fonctionnel

79 Janvier - Février 2005 Version PKIX – Demande de certificat

80 Janvier - Février 2005 Version PKIX - Architecture

81 Janvier - Février 2005 Version PKIX – Fonctionnalités Établissement dune confiance commune à un groupe de certificats Mise en pratique des politiques de certification Enregistrement des utilisateurs Génération des clés (optionnel) Certification des clés publiques Gestion de la durée de vie des certificats et des clés Archivage des certificats Renouvellement des clés et des certificats Recouvrement des clés de chiffrement symétriques (optionnel) Publication et accessibilité des certificats Vérification des certificats et des signatures Révocation des certificats (CRL) Gestion des co-certificats Horodatage Journalisation

82 Janvier - Février 2005 Version PKIX - Utilisations

83 La réglementation en matière de cryptographie

84 Janvier - Février 2005 Version La réglementation Le DCSSI : Ex SCSSI Les textes Les finalités Les régimes Synthèse de la réglementation A létranger

85 Janvier - Février 2005 Version Le DCSSI Direction Centrale de Sécurité des Systèmes dInformation Organisme qui examine les demandes dautorisation des moyens et prestations cryptologiques Dépend directement du premier ministre La décision dagrément relève du Premier Ministre (après consultation des ministères concernés) Lagrément est lié à lacceptation dun cahier des charges Il est délivré pour 4 ans renouvelables

86 Janvier - Février 2005 Version Les textes Loi n° du 29 décembre 1990 sur la réglementation des télécommunications Décret no du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable Décret no du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation

87 Janvier - Février 2005 Version Les finalités Utilisation Générale (tout le monde) Collective (pour une catégorie dutilisateurs) Personnelle Fourniture gratuite, location ou vente Exportation Libre en CEE – Réglementée hors CEE Importation Libre pour les produits provenant de CEE – Réglementée pour les autres

88 Janvier - Février 2005 Version Les régimes Libre : Dispense de formalité préalable Utilisation/Fourniture/Importation/Exportation libres Déclaration A la DCSSI au mois 1 mois à lavance 2 types de déclaration simplifiée / non simplifiée Autorisation A la DCSSI qui à 4 mois pour répondre labsence de réponse équivaut à un agrément

89 Janvier - Février 2005 Version Synthèse de la réglementation

90 Janvier - Février 2005 Version A létranger Liberté totale Tous les pays européens à lexception de la France et la Russie, et plus généralement tous les pays démocratiques Liberté dans le pays Les Etats-Unis où de fortes restriction existent à lexportation Interdiction sauf autorisation spéciale La France, la Russie, lIran, lIrak et Singapour Interdiction absolue Dans les dictatures en général

91 Janvier - Février 2005 Version Conclusion La sécurité des échanges est sur le point darriver à maturité, seule la législation reste un frein à la généralisation du chiffrement même si une prise de conscience à été récemment opérée. La signature électronique quand à elle se généralisera probablement avec larrivée des infrastructures à clefs publiques et la généralisation de lutilisation des certificats


Télécharger ppt "Janvier - Février 2005 Version 1.01 1 Chapitre 2 - Sécurité des contenus et échanges Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE –"

Présentations similaires


Annonces Google