Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parinsaf sagaama Modifié depuis plus de 5 années
1
Cryptographie Dr Lamia Ben Azzouz ENSIT 1Année 2017-2018
2
La Sécurité La sécurité sur un réseau consiste à s’assurer que celui qui modifie ou consulte les données en a l’autorisation et qu’il peut le faire car le service est disponible les risques croissance de l’Internet caractéristiques des réseaux sans fils failles des protocoles et des implémentations failles des configurations failles des politiques de sécurité changement du profil des pirates Diversité des informations données financières données techniques données médicales etc 2Année 2017-2018
3
La sécurité les attaques les services les mécanismes 3Année 2017-2018
4
Les attaques 2 types d’attaques Actives Passives l'attaquant écoute le réseau dans un but d'analyser le traffic l'attaquant fait généralement recours à l'injection, la modification ou la suppression de données circulant dans le réseau dans un but de perturber le bon fonctionnement des services de ce dernier. Attaque : n’importe quelle action qui compromet la sécurité de l’information 4Année 2017-2018
5
Les attaques Le spamming envoi de contenu non pertinent (publicité) et non collicité Virus un prog informatique qui se propage à l’aide d’un autre programme Chevaux de Troie donne généralement un accès à l’ordinateur sur lequel il est exécuté en ouvrant une porte dérobée (backdoor). Le principe ouvrir un port sur la machine pour permettre au pirate d’en prendre contrôle Les vers se réplique d’ordinateur à ordinateur par exple à travers le réseau consomme des ressources mémoires et de la bande passante 5Année 2017-2018
6
Les attaques Brute-force attack (BF Attack) tester exhaustivement toutes les valeurs possibles d’une clef quelconque jusqu’à ce que le texte clair ait un sens Chosen-plaintext attack L’attaquant dispose des textes chiffrés et leurs correspondants en clair pour différents messages, et peut utiliser les deux informations pour retrouver la clef de chiffrement. Man-In-the-Middle attack (MiM) L’attaquant s’interpose entre deux parties d’une communication sans qu’aucune des parties n’en ait conscience et se fait passer pour l’autre parti pour chacune des deux entités légitimes 6Année 2017-2018
7
Les attaques Replay attack (attaque de rejeu) rejouer un message valable après l’avoir capturé Dictionary Attack l’établissement d’une base de données de toutes les possibilités d’un mot de passe, et les vérifier par la suite. 7Année 2017-2018
8
Snifing Prendre connaissance du contenu des données transitant sur le réseau Ethernet classique diffusion des données ( hub) Difficile sur Ethernet Commuté (Switch) Attaque passive 8Année 2017-2018
9
Spoofing Se faire passer pour quelqu'un d'autre Usurpation d’identité Exemple: IP spoofing (blind spoofing) Usurpation de l'adresse IP d'une autre machine. Permet de cacher la source d’une attaque ou d'obtenir un accès à des systèmes sur lesquels l'authentification est fondée sur l'adresse IP (exple rlogin ou rsh). un routeur ou un firewall peut laisser passer des paquets dont l'adresse source indique qu'ils proviennent d'un site ami (relation de confiance). 9Année 2017-2018
10
IP Spoofing l’attaque pourrait ne pas être blind (aveugle) Utilisation du source routing du paquet IP indiquer un chemin de retour jusqu’à un routeur que le pirate contrôle Reroutage Les tables de routage RIP peuvent être modifiées par envoi de messages RIP avec de nouvelles indications Techniques difficilement réalisables 10Année 2017-2018
11
ARP Spoofing Résolution d’une adresse IP en une adresse MAC Ethernet Rediriger le trafic d’une ou plusieurs machine vers celle du pirate requête ARP en broadcast sur le réseau physique: Qui possède cette @ IP envoyer des ARP reply à la machine cible indiquant l’@MAC du pirate comme @IP du routeur par exple (passerelle) 11Année 2017-2018
12
Déni de service (DoS) Denial of Service Attaque destinée à rendre indisponible une machine ou un service. Souvent plus facile de paralyser un réseau que d'en obtenir un accès. provoquer une saturation ou un état instable de la machine Attaque relativement simple à mettre en œuvre. 12Année 2017-2018
13
Exemple: DoS par« SYN flood » Three Way Handshake). Exploite le mécanisme d’établissement de TCP en 3 phases (Three Way Handshake). Attaque par envoi d’un très grand nombre de demande de connexion (SYN à 1) avec une adresse source usurpée (spoofée) et inaccessible. Les connexions semi-ouvertes consomment les ressources mémoires et empêche la cible d'accepter de nouvelles connexions. Les systèmes d'exploitation récents et les firewalls sont munis de protections contre ce type d'attaque. 13Année 2017-2018
14
Three Way Handshake SYN Seq =i SYN seq=j ACK i+1 Seq=i+1 ACK j+1 clientserveur 14Année 2017-2018
15
Exemple: DoS par smurf noyer la cible sous un flot de trafic le plus grand possible sans révéler l'adresse du pirate. Utilise le protocole ICMP Une machine reçoit un paquet echo-request, elle envoie un paquet echo-response à l'adresse source de la requête. Pour attaquer une cible, le pirate place l'adresse de la cible comme adresse source d'une requête ICMP. le pirate envoie sa requête a une adresse broadcast d'un réseau. 15Année 2017-2018
16
Smurf attack 16Année 2017-2018
17
Attaques DoS Distributed Denial of Service DDoS utiliser plusieurs sources (esclaves) pour l’attaque et des maîtres (masters) qui les contrôlent 3 participants Le maître est la source initiale de l'attaque L‘esclave est l'hôte ou le réseau qui a été précédemment compromis par le Maître la Victime est le site ou le serveur cible attaqué. 17Année 2017-2018
18
Attaques 18Année 2017-2018
19
Les services de sécurité Authentification Authentification assure que seules les entités autorisés ont accès au système Disponibilité Disponibilité Information et ressources informatiques sont disponibles quand un user légitime en a besoin Intégrité Intégrité Assure que les données n’ont pas été modifiées durant le transfert Confidentialité Confidentialité Protège l’information contre sa divulgation non autorisée Non répudiation Non répudiation Expéditeur ne peut pas nier avoir envoyer le message et destinataire ne peut pas nier l’avoir reçu Contrôle d’accès Contrôle d’accès donner aux utilisateurs exactement les droits dont ils ont besoin Privacy (droit à la vie privée) Privacy (droit à la vie privée) 19Année 2017-2018
20
Les mécanismes de sécurité Les firewalls Le chiffrement Les fonctions de hachage Les signatures numériques Les certificats et PKI Mécanisme de sécurité : Un mécanisme qui est conçu pour détecter, prévenir et lutter contre une attaque de sécurité 20Année 2017-2018
21
Firewalls Le contexte typique qui nécessite l'utilisation d'un firewall est l'interconnexion d'un réseau d'entreprise a Internet. filtrer le trafic entre les différentes zones auxquelles il est connecté Règles (traduisent une politique de sécurité concernant des communications IP) définies par l'administrateur du firewall. Le filtrage peut se faire d'après différents critères: Adresse IP source ou destination Protocole (TCP, UDP, ICMP,...) et port Flags et options: TCP syn, ack, ICMP,... Trafic applicatif 21Année 2017-2018
22
Firewalls Interdire les requêtes internes venant de l'extérieur une machine qui prétend avoir une @IP du réseau, et qui se trouverait sur l'internet (éviter IP spoofing) Empêcher les requêtes broadcast ou multicast dans un sens ou dans l'autre (éviter DDoS et Dos attacks) Exemples Filtrer des ports et donc des protocoles interdire port 139 celui du partage de windows par exple 22Année 2017-2018
23
Datagramme IP (Segment TCP) 23Année 2017-2018
24
Firewalls Interdire ou on autoriser une @IP, un port sans prendre en compte des cas d’exception filtrage restrictif Stateless Statefull prend des décisions en fonction de l’état des connections un paquet entrant est-il une réponse à une requête sortante. consommation de ressources et baisse de performance Proxy Applicatif analyse du trafic échangé en couche 7 du modèle OSI Un processus proxy pour chaque protocole(HTTP,FTP, etc) Exemple: filtrer sur le nom d’un usager dans un accès distant ou dans un transfert de fichier lenteur d’inspection 24Année 2017-2018
25
Firewalls hardware software Les switchs les routeurs Différents types de firewalls 25Année 2017-2018
26
La cryptologie La cryptologie est la science du secret. Elle comprend la cryptographie : ensemble des méthodes permettant de préserver le secret des informations la cryptanalyse : ensemble des techniques permettant de décrypter des échanges sans posséder la clé. Une cryptanalyse a généralement pour but de déterminer la clef secrète utilisée lors d’un échange de messages chiffrés. 26Année 2017-2018
27
Définitions Le chiffrement est une opération qui consiste à transformer à l’aide d’une convention de chiffrement (appelée clé), des informations claires en informations intelligibles par des tiers n’ayant pas connaissance de la convention de déchiffrement. Le résultat du chiffrement est appelé un cryptogramme. Chiffrer est l’action de réaliser le chiffrement. Le déchiffrement est l’action inverse qui consiste à retrouver le texte clair, à partir du texte chiffré en utilisant la convention de déchiffrement liée à la convention de chiffrement.. 27Année 2017-2018
28
Les opérations de chiffrement et de déchiffrement ne sont pas secrètes. La confidentialité est assurée par le secret de la convention de déchiffrement : – seul l’expéditeur connaît la convention de chiffrement – seul le destinataire et l’expéditeur connaissent la convention de déchiffrement. Si la convention de déchiffrement est identique à la convention de chiffrement, seuls l’expéditeur et le destinataire doivent connaître cette convention. 28Année 2017-2018
29
Pourquoi ? Pour des raisons politiques – Sécurité du territoire Pour des raisons diplomatiques – Échanges Ambassades / Gouvernements Pour des raisons économiques et technologiques – Confidentialité des échanges électroniques – Confidentialité de techniques, de procédés – Espionnage industriel Pour des raisons administratives – Confidentialité des données personnelles, médicales 29Année 2017-2018
30
Schéma cryptographiques anciens Chiffrement à répertoire On peut par exemple créer le dictionnaire suivant: rendez-vous == 175 demain == oiseaux midi == à vendre Villetaneuse == au marché La phrase en clair: RENDEZ VOUS DEMAIN MIDI VILLETANEUSE devient avec ce code : 175 OISEAUX A VENDRE AU MARCH´E 30Année 2017-2018
31
Chiffrement par permutation ou transposition Pour décrypter le message, il suffit de le mettre dans une grille à (exemple à 6 cases) et le lire horizontalement. C’est un chiffrement qui consiste à changer l’ordre des lettres 31Année 2017-2018
32
Utilisation d’une clé : Exemple: CAPTER On numérote les colonnes en fonction du rang des lettres du mot CAPTER dans l’alphabet (ACEPRT) c’est-à-dire : 2, 1, 4, 6, 3, 5 Pour décoder le message précédent on range en colonne sur la grille en suivant l’ordre des colonnes donné par le mot de code. Chiffrement par permutation ou transposition 32 Année 2017-2018
33
Exercice 1 Année 2017-201833 Chiffrer le message « VENEZ NOUS REJONDRE AU PORT DE TUNIS » à l ’ aide du chiffrement par Transposition. La clé étant PROMENADE.
34
Chiffrement par substitution Chiffrement par substitution monoalphabitique Dans le message en clair, on remplace (substitution) chaque lettre par une lettre différente. Il s’agit de remplacer chaque symbole par un autre symbole de l’alphabet Il existe 26! Permutation possible. 26!≈ 4.10 26 ce système est cassé par la cryptanalyse statistique car dans une langue usuelle telle que le français, les lettres n’apparaissent pas toutes avec les mêmes fréquences Supposons le message BONJOUR …. Clé de chiffrement ULOIDTGKXYCRHBPMZJQVWNFSAE (A U, B L, C O, … Le message chiffré est: LPBYPWJ 34 Année 2017-2018
35
Chiffrement par Décalage Le message en clair : RENDEZ VOUS DEMAIN MIDI VILLETANEUSE Devient : UHQGHC YRXV GHPDLQ PLGL YLOOHWDQHXVH Plus connu sous le nom de Chiffrement de César Problèmes: 26 clés possibles. Très facile à attaquer. Essayer tous les décalages possibles jusqu’à ce que le texte devienne intelligible Cas particulier: Décalage. K est la clé K=3 35Année 2017-2018
36
Exercice 2 Année 2017-201836 Quel est le nombre de clés possible pour un chiffrement de césar Coder le message « la rencontre est prévue à la cafétéria « à l’aide du chiffrement par décalage et de la clé K=5 D é coder le message « RGNEIDVGPEWXTRAPHHXFJI » sachant qu ’ il a é t é cr é e par un chiffrement par d é calage
37
Chiffrement Affine Le chiffrement affine est un système de chiffrement par substitution mono- alphabétique La clé consiste en un couple d’entiers (a, b) ∈ (Z/26Z) ∗ × (Z/26Z). une lettre du texte clair de rang i ∈ {0,..., 25} est remplacée dans le texte chiffré par la lettre de rang a · i + b mod 26. Si a est = 1 et b=3 on revient au chiffrement de césar Un chiffrement affine lequel a = 1 est dit chiffrement par translation. 37Année 2017-2018
38
38Année 2017-2018
39
Exercice 3 Année 2017-201839 L’analyse des fréquences des lettres dans un message codé montre que ceux sont les lettres K et O les plus fréquentes dans ce message. Dans un texte en français les lettres les plus fréquentes sont le A (8.4%) et le E (17.6%). Sachant que le message est français, codé en utilisant le chiffrement par décalage sur les 26 lettres de l’alphabet, déterminer la clé et déchiffrer le début de message SVOXFYIKNKXCVKVSQEBSOKMRODOB NOCCYVNKDC
40
Substituer une lettre du message en clair par une autre choisie en fonction d'un état La substitution poly-alphabétique Au lieu d’une permutation, on dispose de t permutations π1, · · ·, πt. On applique π1 à m1, π2 à m2,...,π t à mt puis on continue cycliquement en appliquant π 1 à mt+1, π2 à mt+2 etc... dans le système de Vigenère (utilisé massivement jusqu’au 19 ème siécle), les permutations π étaient des décalages circulaires. Le décalage correspondant à chaque permutation était indiqué par une lettre 40 Année 2017-2018
41
1)Le chiffrement de Vigénère : Le procédé de Vigenère consiste à changer l’alphabet de substitution à chaque chiffrement d’une lettre, ce qui fait que l’on ne peut tenter de décrypter le message en utilisant la fréquence des lettres Le code de Vigénère est un code poly alphabétique ou par blocs: notion de clé choisir m (longueur de la clé) la longueur d’un bloc découper le message en blocs de m-lettres. Fixer n1, n2….nm les codes de césar Chiffrer la première lettre d’un bloc avec n1, Chiffrer la deuxième avec n2, ……et la m-ième avec nm. 41Année 2017-2018
42
Table de Vigénére 42Année 2017-2018
43
. – Pour cela, on construit un carré constitué de tous les alphabets décalés d’une lettre.On se base sur la table de vigenère – Le chiffrement part d’un mot clé. Par exemple TRIAGE. Pour coder la première lettre C du message en clair COULER, on considère la colonne correspondante et pour la lettre de la clé la ligne correspondante( la ligne 10 commençant par T), le C doit être chiffré par son correspondant sur cette ligne, soit V. La seconde lettre O doit être chiffré en prenant la ligne commençant par R et ainsi de suite. 43Année 2017-2018
44
La substitution poly-alphabétique 2) Le chiffrement de Hill La clef de cryptage : Une matrice carrée (2 lignes et 2 colonnes) Pas n’importe quelle matrice comme clé il faut que La matrice inverse existe: si (ad–bc) -1 (mod 26) existe (ad–bc) est impair et n'est pas multiple de 13. La formule de chiffrement : 44Année 2017-2018
45
2) Le chiffrement de Hill (Exemple) 1. On prend comme clef de cryptage la matrice (9 4; 5 7) 2. Le message M= ‘’je vous aime’’ 3. Le résultat 45Année 2017-2018
46
Déchiffrement Pour l’exemple précédent: Quel est l’inverse de : 43 mod 26, 2002 46 Année 2017-2018
47
Exemple 47Année 2017-2018
48
Chiffrement Moderne Le chiffrement inclut le concept de clé, qui est utilisée par un algorithme pour chiffrer ou déchiffrer un message l casser la clé ou exploiter des faiblesses mathématiques de l’algorithme Chiffrement symétrique Le chiffrement symétrique (ou le chiffrement à clé secrête) utilise la même clé pour chiffrer et déchiffrer un message. 2 méthodes par flot (exple RC4) par bloc (exple DES) 48 Année 2017-2018
49
49 RC4 Chiffrement par flot
50
RC4 Année 2017-201850 Clef secrète. Clef secrète. –K, composé de k mots de n bits, K[0], …, K[k−1]. Initialisation. Initialisation. Pour i de 0 à 2 n −1, S[i] ← i. ( dans la pratique n=8 ) fin pour) Pour i de 0 à 2 n −1, S[i] ← i. ( dans la pratique n=8 ) fin pour) j ← 0 j ← 0 Pour i de 0 à 255 faire Pour i de 0 à 255 faire –j ← j + S[j] + K[i mod k] –échanger S[i] et S[j] Génération de la suite chiffrante. i ← 0, j ← 0 Génération de la suite chiffrante. i ← 0, j ← 0 Répéter Répéter –i ← i+1 –j ← j+S[i] –échanger S[i] et S[j]. –Retourner S[S[i] + S[j] ]
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.