La sécurité informatique et internet au service des entreprises
Accueil | Produits & Services | Boutique | Documentation | Partenaires | Références | A propos | Contact | Flux RSS Recherche 
 

Services en sécurité informatique : appliances audits formations
SecuriteInfo.com AntiPub
SecuriteInfo.com Appliance de sécurité
Prestations d'Audits : audit intrusif, de vulnérabilités, ...
Recouvrement de mot de passe
Formations
Le grand livre de Securiteinfo.com sécurité informatique et internet
Le grand livre de Securiteinfo.com sécurité informatique et internet
Tout notre savoir faire en 319 pages. Commandez le maintenant !
Initiation a la sécurité informatique
Qu'est-ce que le piratage informatique ?
Introduction à la sécurité informatique
Sécurisation de vos données informatiques : Quels enjeux pour votre entreprise ?
Principes de sécurité informatique et évolution du marché
Initiation à la cryptographie
Principaux types d'attaque
Open Source et sécurité
Modélisation de la sécurité informatique
Le Compartemented Mode Workstation
Le modèle "Bell La Padula"
La méthode FEROS
Classes de Fonctionnalité
Les contrats de licence et la Sécurité Informatique
Laboratoire et expérimentations en sécurité informatique
LibClamAV Warning : RAR code not compiled-in
myServer 0.7
TrackMania DoS
Pablo FTP 1.77
CuteNews 1.3
myServer 0.4.3
Pablo Baby Web Server 1.51
Téléchargement
Ebooks
WinSSLMiM
WinTCPKill
WinDNSSpoof
ICMP Shell Detect
Domino Hash Breaker
PKI (Public Key Infrastructure)


Qu'est-ce que c'est ?

PKI (Public Key Infrastructure) est un système de gestion des clefs publiques qui permet de gérer des listes importantes de clefs publiques et d'en assurer la fiabilité, pour des entités généralement dans un réseau. Elle offre un cadre global permettant d'installer des éléments de sécurité tels que la confidentialité, l'authentification, l'intégrité et la non-répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur.

Une infrastructure PKI fournit donc quatre services principaux:
    - fabrication de bi-clés.
    - certification de clé publique et publication de certificats.
    - Révocation de certificats.
    - Gestion la fonction de certification.

Techniquement

Une infrastructure à clé publique utilise des mécanismes de signature et certifie des clés publiques qui permettent de chiffrer et de signer des messages ainsi que des flux de données, afin d'assurer la confidentialité, l'authentification, l'intégrité et la non-répudiation.

    - Signature :

      Dans la signature nous avons une bi-clé : une clé (privé) pour la création de siganture et une clé (publique) pour la vérification de signature, pour signer un message voici comment se passe:

      • 1) à l'aide de la clé privée de signature de l'expéditeur, une empreinte connue sous le nom "message digest" est générée par hachage en utilisant l'algorithme SHA-1 ou MD5, le plus utilisé étant SHA-1. Cette empreinte est ensuite cryptée avec cette clé privée de signature.

      • 2) on joint au message l'empreinte et le certificat contenant la clé publique de signature.

      • 3) le destinataire vérifie la validité du certificat et sa non révocation dans l'annuaire.

      • 4) le destinataire transforme l'empreinte avec la clé publique de signature ainsi validée. Cette opération permet de s'assurer de l'identité de l'expéditeur.

      • 5) ensuite le destinataire génère une empreinte à partir de message reçu en utilisant le même algorithme de hachage. Si les deux empreintes sont identiques, cela signifie que le message n'a pas été modifié.

        Donc la signature vérifie bien l'intégrité du message ainsi que l'identité de l'expéditeur.
      Exemples d'algorithme de signature: RSA,DSA

      - Défintions :

      • Confidentialité : Les informations échangées deviennent illisibles,cette confidentialité est assurée par le chiffrement
      • Authentification : identification de l'origine de l'information.
      • Non-répudiation : l'émetteur des données ne pourra pas nier être à l'origine du message.
      • Intégrité : fonction permettant d'assurer que l'information n'a pas subi de modification .

      -Chiffrement :

        Il y a deux types de chiffrement possible :

      • Chiffrement à clé secrète (symétrique):
        L’émetteur utilise une clé pour chiffrer le message et le destinataire utilise la même clé (le même algorithme mais en sens inverse) pour déchiffrer le message.

      • Chiffrement à clé publique (asymétrique) :
        Un message chiffré avec une clé publique donnée ne peut être déchiffré qu’avec la clé privée correspondante.
        Par exemple si A souhaite envoyer un message chiffré à B, il le chiffrera en utilisant la clé publique de B (qui peut être publié dans l'annuaire). La seule personne qui déchiffre le message est le détenteur de la clé privée de B.

      Exemples d'algorithme de chiffrement:

        - Symétrique: DES;AES
        - Asymétrique: RSA


      Organisation d'une PKI


      Organisation d'une PKI

      Organisation d'une PKI


      Dans une infrastructure à clé publique ; pour obtenir un certificat numérique, l'utilisateur fait une demande auprès de l'autorité d'enregistrement. Celle-ci génère un couple de clé (clé publique, clé privée), envoie la clé privée au client, applique une procédure et des critères définis par l'autorité de certification qui certifie la clé publique et appose sa signature sur le certificat, parfois fabriqué par un opérateur de certification.

      La Structure d'un Certificat numérique selon la norme X509

      • Version : indique à quelle version de X509 correspond ce certificat
      • Numéro de série : Numéro de série du certificat
      • Algorithme de signature: identifiant du type de signature utilisée
      • Emetteur : Distinguished Name (DN) de l'autorité de certification qui a émis ce certificat.
      • Valide à partir de: la date de début de validité de certificat
      • Valide jusqu'à : la date de fin de validité de certificat
      • Objet: Distinguished Name (DN) de détenteur de la clef publique
      • Clé publique : infos sur la clef publique de ce certificat
      • Contraintes de base : extensions génériques optionnelles
      • Utilisation de la clé : l'objet d'utilisation de la clé
      • Algorithme thumbprint : alogrithme de signature
      • Thumbprint : signature numérique de l'autorité de certification sur l'ensemble des champs précédents.

      Exemple d'un Certificat X509 généré par OPENSSL


      Gestion des clefs

      L'utilisation de bi-clefs certifiés entraîne la nécessité de la publication en toute confiance de la clef publique. Cette publication doit assurer la validité de clé et l'appartenance de cette clé à la bonne personne. La publication des certificats (des clefs publiques) est faite en utilisant les structures d'annuaires de type LDAP (Lightweight Directory Access Protocol) (RFC 2251), les certificats révoqués sont regroupés dans des listes de révocations (CRL) qui sont des structures de données signées et dont le format est défini par le protocole X509 V2, ce format peut permettre une distribution des CRL via les annuaires LDAP comme Netscape Directory Server d'iplanet ou bien openldap.

      Quelques offres commerciales d'infrastructure à clé publique

      Editeur
      Offre
      Baltimore Technologies Unicert
      Entrust Technologies Entrust/PKI
      Keynectis PKI/offre initiale
      TrustyCom TrustyKey
      Sagem Xelios

      PKI gratuite ( OpenPKI)

      Editeur
      Offre
      www.openssl.org openssl

      L'utilisation du PKI

      Prenons un exemple de l'authentification mutuelle : la partie cliente d'une application présente un certificat à la partie serveur, qui en vérifie la validité auprès de l'annuaire des certificats révoqués, à l'inverse, le serveur peut lui-même envoyer un certificat au client, ce qui permet une authentification mutuelle, par exemple un web sécurisé.
      Une telle procédure est intéressante pour un VPN (Virtual private Network), dans le cas des équipements réseaux cette intégration est normalisée par le protocole IPSEC IKE (Internet Key Exchange). Pour les intranets, les éditeurs de PKI s'appuient sur les protocoles SSL (Secure Socket Layers) que les navigateurs et les serveurs web supportent nativement.

      Conclusion

      Une PKI est une infrastructure qui se construit, c'est donc une structure à la fois technique et administrative, avec 80% d'organisationnelle et 20% de technique. Le domaine des PKI est intéressant : il est possible de les utiliser pour des applications tels que mail chiffré, web sécurisé VPN (notamment IPSEC), commerce électronique...
      Et comme les PKI intègrent la cryptographie à clef publique et certificat numérique, elles peuvent se confier à des tiers de confiance et doivent recevoir l'agrément du DCSSI ( Direction Central de la Sécurité des Systèmes d'Information), pour avoir une portée nationale.
      Actuellement l'absence de standards pour l'implantation des PKI, engendre des problèmes d'interopérabilité entre les offres du marché.

      Lexique

      Autorité de certification : entité qui crée des certificats. C'est une autorité morale qui définit les règles d'entrée des ressources et des individus dans la PKI. En pratique, il s'agit de définir les critères et les modalités d'attribution de certificats numériques.

      Autorité d'enregistrement : entité chargée de recueillir les demandes de certificats et de contrôler l'identité de la personne ainsi que les critères d'attribution.

      Certificat : Une identité électronique qui est émise par une tierce partie de confiance pour une personne ou une entité réseau. Chaque certificat est signé avec la clé privée de signature d'une autorité de certification. Il garantit l'identité d'un individu, d'une entreprise ou d'une organisation. En particulier, il contient la clé publique de l'entité et des informations associées à cette entité.

      Certificat Auto signé : un certificat auto signé contient comme tout certificat une clé publique. Sa particularité réside dans le fait que ce certificat est signé avec la clé secrète associée. Dans ce cas précis, l'autorité de certification est donc le détenteur du certificat.

      Certificat X.509 : Il s'agit d'une norme sur les certificats largement acceptée et conçue pour supporter une gestion sécurisée et la distribution des certificats numériquement signés sur le réseau Internet sécurisé. Le certificat X.509 définit des structures de données en accord avec les procédures pour distribuer les clés publiques qui sont signées numériquement par des parties tierces.

      Certificat X.509v3 : Les certificats X.509v3 ont des extensions de structures de données pour stocker et récupérer des informations pour les applications, des informations sur les points de distribution des certificats, des CRLs et des informations sur les politiques de certification. Chaque fois qu'un certificat est utilisé, les capacités de X.509v3 permettent aux applications de vérifier la validité de ce certificat. Il permet aussi à l'application de vérifier si le certificat est dans une CRL. Ces certificats et CRLs sont normalisés auprès de l'IETF dans la RFC 2459.

      Clé : Une quantité utilisée en cryptographie pour chiffrer/déchiffrer et signer/vérifier des données.

      CRL : (Certificat Revocation List) se sont les listes de révocations de certificats.

      Clé Publique : quantité numérique, attachée à une ressource ou un individu, qui la distribue aux autres afin qu'ils puissent lui envoyer des données chiffrées ou déchiffrer sa signature.

      Clé Privée : quantité numérique secrète attachée à une ressource ou à un individu, lui permettant de déchiffrer des données chiffrées avec la clé publique correspondante ou d'apposer une signature au bas de messages envoyés vers des destinataires.

      Bi-clé : couple de clés composé d'une clé privée et d'une clé publique

      MD5 : Message Digest 5 c'est un algorithme de hachage

      RSA : Algorithme de chiffrement à clef publique et de signature inventé par R.Rivest, A.Shamir et l.Adleman

      DSA :Digital Signature Algorithm.

      AES :Advanced Encryption Standard.

      SHA-1 : Secure Hash Algorithm Number 1.SHA est un algorithme de hachage

      SSL : (Secure Socket Layer), c'est un protocole de sécurisation conçu par Netscape qui se situe entre la couche transport (TCP) et les protocoles de la couche application. Il assure les services de sécurité suivantes : confidentialité, 'intégrité et 'authentification du serveur et du client.


    Cybercriminalité : le piratage politique
    Que faire lors d'une attaque ?
    Cybercriminalité : Comment porter plainte ?
    La cryptographie à algorithmes symétriques
    Les mots de passe à usage unique (OTP : One Time Password)
    Le chiffrement AES
    Les fonctions de hachage
    Attaques et faiblesses du SSL : Secure Socket Layer
    Le tunneling
    IPSec
    Choisir un mot de passe robuste
    Les firewalls
    Les antivirus gratuits en ligne et professionnels
    La biométrie : L'informatique au service de l'authentification des personnes
    Sécurité des réseaux Wifi et Wardriving
    Les enjeux sécuritaires de la 3G
    Les sauvegardes : enjeux et choix des supports
    Les différents types de malwares
    Comment les malwares se cachent parmis vos fichiers
    Chevaux de Troie (ou Trojans) expliqués
    Fonctionnement des Key Loggers (enregistreurs de touches)
    Découverte des Espiogiciels (Spywares)
    La collecte d'information grâce au Social Engeeriering
    Explication du fonctionnement des emails de Spam Images
    IP Spoofing
    DNS Spoofing
    Buffer Overflow
    Deni de Service Distribué (DDoS)
    Challenges de hacking
    SecuriteInfo.com – 03.44.39.76.46 – SARL au capital de 15000 € – SIREN : 477 509 350 – TVA intracommunautraire : FR52477509350 – Déclaration CNIL n° 1014585 – Design by Dual Prod