1

Intro Sécurité pour le WiFi

Techniques de cryptographieApplications

2

Histoire

Sra!

http://www.bletchleypark.org.uk/enigma

Blaise de Vigenère

Chiffre de césar

Merkle, hellman diffie

Few persons can be made to believe that it is not quite an easy thing to invent a method of secret writing which shall baffle investigation. Yet it may be roundly asserted that human ingenuity cannot concoct a cipher which human ingenuity cannot resolve...It may be observed, generally, that in such investigations the analytic ability is very forcibly called into action; and for this reason, cryptographical solutions might with great propriety be introduced into academies as the means of giving tone to the most important of the powers of the mind.- Edgar Allan Poe; A Few Words On Secret Writing; 1841

3

Chiffrement symétrique

Cryptage Décryptage

MessageCryptéInfos Infos

Clé secrètepartagée Clé secrète

partagée

• Cryptage symétrique, cryptage à clé secrète partagée

• Convient pour les petits comme les grands volumes de données.

• Durant l'échange, les clés peuvent changer plusieurs fois

• Exemple protection réseau mobile une des fonctions WPA.

4

Chiffrement symétrique

Cryptage Décryptage

MessageCryptéInfos Infos

Clé secrètepartagée Clé secrète

partagée

• La caractéristique la plus importante d'un algorithme de cryptographie est sa robustesse aux attaques de décryptage.

• La longueur de la clé pour un même algorithme est déterminant

• La sécurité d'un crypto-système ou le degré de difficulté pour retrouver l'information originale est fonction de plusieurs variables.

• Protection du secret de la clé est un des points clés

5

Algorithmes de chiffrement symétrique

• DES - Data Encryption Standard.Algorithme de chiffrement symétrique le plus célèbreDéveloppé au milieu des années 70 par IBM et approuvé conjointement par le NBS (National Bureau of Security) et la NSA (National Security Agency)Triple DES : on applique 3 fois le DES avec 3 clés différentes

• RC2, RC4, RC5 développés par Ron Rivest : utilisent des clés de longueur variable (RC4 pour le wifi 24 bits pour le wep, 48 pour WPA 2)

• AES :Advanced Encryption standard défini en 1999) (Exemple utilisation wifi standard WPA2)

6

Chiffrement asymétrique

• Problème lié au chiffrement symétrique :L’émetteur et le récepteur doivent tous deux posséder la clé secrète

• Equipes déterminantes:

– W. Diffie and M.Hellman,

– Le premier schéma fut proposé par R.L. Rivest, A. Shamir et M.Adelman: le système RSA.

– Clifford Cocks et James Ellis

7

Solution

Cryptage Décryptage

MessageCryptéInfos Infos

Clé publiquedu receveur

Clé privéedu receveur

• La clé privée est connue uniquement par le receveur• La clé publique est connu par le public• La distribution de la clé publique n'est pas secrète

• Cryptage asymétrique ou à clé publiqueLe même algorithme ou des algorithmes complémentaires peuvent être utilisés pour crypter et décrypter les données.

• Deux clés sont requises : Une clé publique et une clé privée, elles sont différentes mais elles sont liées par une relation mathématique.

• Pour les algos cryptages et décryptages, on utilise les « mathématiques » (caractèristiques des nombres premiers, des logarithmes discrets, etc..)

8

Techniques de hachage

Payer à JC Puce50 € et 22 cents

Payer à JC Puce50 € et 22 cents

Payer à JC Puce50 € et 22 cents

Message delongueur variable Message reçu

4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9

Message + Hash

Fonctionde Hachage Fonction

de Hachage

• Le hachage garantit l'intégrité du message

• Un algorithme de hachage (MD5 ou SHA1) est une formule qui convertit un message de longueur variable en une seule chaînes de caractères de longueur fixe appelée valeur "hash".

• Un algorithme de hachage est à sens unique. Un message peut produire une valeur "hash" mais la valeur "hash" ne peut pas produire le message.

Emetteur Récepteur

9

Technique de hachage sécurisée

Payer à JC Puce50 € et 22 cents

4ehlDx67NM0p9

Message + Hash

Payer à JC Puce50 € et 22 cents

Clé secrètepartagée

Message delongueur variable

4ehlDx67NM0p9

Fonctionde Hachage

Clé secrètepartagée

Payer à JC Puce50 € et 22 cents

Message reçu

4ehlDx67NM0p9

Fonctionde Hachage

• Les deux algorithmes de hachage les plus communs sont :

- HMAC-MD5 - utilise une clé secrète de 128 bits.

- HMAC- SHA1 - Utilise une clé secrète de 160 bits

• HMAC-SHA1 est considéré comme étant plus robuste que HMAC-MD5

Emetteur Récepteur

10

Technique de hachage sécurisée

Payer à JC Puce50 € et 22 cents

4ehlDx67NM0p9

Message + Hash

Emetteur

Payer à JC Puce50 € et 22 cents

Message delongueur variable

4ehlDx67NM0p9

Fonctionde Hachage

Récepteur

Payer à JC Puce50 € et 22 cents

Message reçu

4ehlDx67NM0p9

Fonctionde Hachage

Utilisation d’algorithme à clés asymétriquesLe plus souvent avec des certificats

Clé publiquede l’émetteur

Clé privéedu émetteur

11

Authentification / secret partagé

Clé secrètepartagée

Emetteur Récepteur

Clé secrètepartagée

Demande d’authentification

Envoi d’un challenge (texte)

Envoi du challenge crypté

Réponse à l’authentification

AuthentificationavecUtilisation d’algorithme à clés symétriquesExempleWifi personnel avec wpa ou wep

12

Authentification par certificat

13

Crypto utilisation

• Confidentialité

• Intégrité

• Authentification

14

Confidentialité

• Garantir est de ne garantir la lecture des données en clair qu’au destinataire légitime

• Cela signifie que les données sont chiffrées et quelles ne peuvent être décryptées par une personne ne possédant pas la clé secrète de déchiffrement.

• Fonctionnalité réalisée par des algorithmes de clés symétriques ( aussi asymétriques mais nuance )

15

Intégrité

• Garantir que l’information n’a pas été altérée.

• Obtenue par des fonctions de « hachage » permettant d’obtenir un condensat de taille réduite par rapport au message initial.

• La modification du message nécessite un recalcul du condensat et si on plus signer!!!

• Mais généralement on associe au mécanisme de hash, une notion de sécurité numérique On parle alors d’une empreinte numérique sécurisé qui est alors appelé “ code d’authentification de message”.

• Plusieurs techniques– Les signature s avec algorithme clés symétriques

HMAC - Keyed-Hashing for message authentification– Les signature s avec utilisation algorithme de clé asymétriques (Certificats)

16

Authentification

• Le but de l’authentification est pouvoir identifier avec certitude et garantie qu’une personne est bien la personne qu’elle prétend être.

• Réaliser par de nombreux mécanismes, notamment des méchanismes de clés asymétriques

• Authentifier par– Je connais– Je possède– Je suis

• Authentification forte

17

L’ensemble des méthodes

18

La certification - PKI

• La certification est essentiellement utilisée pour authentifier la clé publique d’un serveur, d’un mail ou d’un utilisateur.

• Des organismes compétents et qualifiées reconnus comme tiers de confiance sont en charge de gèrer ces certificats.

• Des certificats clients sont attribués par ces autorités de certificationsExemple: Certificats serveurs web, mail sécurisé

19

Autorité de certification

• CA: Certifying AuthoritiesCommercialise et émet des certificats à la norme ISO X509Procédure de délivrance des certificats– définit par le CA (pièces notariales, ...)– CIS (Certificate Issuing System)– processus sécurisé de fabrication des certificats– plusieurs opérateur humains indépendant

• Des Acteurs :– VeriSign, Thawte, Certinomis (la poste)– Sur une machine windows, voir les autorités de certification

qui viennent en standard

–

• Dans le cadre des PKI, on peut avoir des CA sur des machines windows ou du monde libre.

20

En résumé

Gestion de clés

Gestion Manuelle Echange de clés Diffie-Hellman

Echange de clés publiquesAutorité de Certificats

Cryptage

SymétriqueClé secrète:DES, 3DES,

AES

AsymétriqueClé publique:

RSA

Authentification Intégrité/hachage

Signature numériqueclé secrète partagée

HMAC

Signature numérique à partir de algorithme asymétrique

(certificats)

MD5 SHA

21

Résumé

• ConfidentialitéConfidentialité Chiffrement Chiffrement Lecture des données échangées uniquement par RC, AES, Triple DESRC, AES, Triple DES les personnes autorisées RSA RSA

• IntégritéIntégrité HachageHachage Non altération des données transmises MD5 ou SHA1 MD5 ou SHA1

• AuthentificationAuthentification Mot de passe, tokenMot de passe, token Identité de l’utilisateur assurée carte à puce, biométriecarte à puce, biométrie

CertificatCertificat

• Signature électronique, non-répudiationSignature électronique, non-répudiation Signature Signature Preuve que le destinataire a reçu exactementPreuve que le destinataire a reçu exactement NumériqueNumériquecce que l’expéditeur lui a envoyée que l’expéditeur lui a envoyé HMAC, RSAHMAC, RSA