La cryptographie asymétrique enfin expliquée simplement

La cryptographie asymétrique expliquée simplement

26/06/2014 www.aliceandbob.fr 1

Remerciements: Je tiens à remercier chaudement Caroline D. , Dominique M. , Erwann A , Rémi B. et Rémi P. qui m’ont introduit aux joies d’Alice & Bob et appris avec une infinie patiente tout ce que je sais sur la cryptographie asymétrique.

http://www.aliceandbob.fr/

http://www.clusif.fr/

http://www.digicert.com/087611/

La confiance

• Nous avons depuis longtemps établi des règles de confiance: – Signatures manuscrites – Face à face et poignée de main – Sceau ou Tampon – Présence d’un Tiers tel qu’un Notaire ou un témoin – Lettre cachetée – Etc..

• Dans le domaine du numérique nous devons établir de nouvelles règles. C’est ce que permet la cryptographie asymétrique.





La cryptographie asymétrique • Cryptographie Asymétrique récente – 1975 • Initialement des solutions techniques (PKI) • Aujourd’hui des solutions business de

« sécurisation des identités et des échanges numériques » – Lettres recommandées électroniques – Passeport électronique – Signature électronique de documents – Authentification d’un utilisateur sur un site web, etc. – Protection des donnés saisies sur un site web – Coffre-fort électronique – Certificats pour sites web – Etc…

3 26/06/2014 www.aliceandbob.fr




Tendances

• Challenges de la Cryptographie Asymétrique – Parler usages et solutions – Parler le langage des utilisateurs – Besoin d’éducation du marché et des utilisateurs

• Marché en pleine expansion (~$10M+ aujourd’hui)

• Nous ne sommes qu’au début • Maintenant des solutions SaaS / Cloud

4 26/06/2014 www.aliceandbob.fr




5

Cryptographie

• Etymologie – Cryptos (grec) : caché – Graphos (grec) : dessin (sens général)

26/06/2014 www.aliceandbob.fr




6

Chiffrement/déchiffrement Message clair

Message chiffré

Chiffrement

Message clair d’origine

Déchiffrement





7

Chiffrement à clé

=

=

Clé symétrique

Clé asymétrique

Chiffrement Déchiffrement





Fonctionnement de la cryptographie asymétrique

Note Importante : Cette partie est par nature complexe est peut être rapidement

survolée. Elle n’est pas essentielle à la compréhension du reste de la présentation





9

Les intervenants

Alice veut communiquer

avec Bob

Bob veut communiquer

avec Alice

Mallory cherche à

intercepter les données

Les clés privée publique





10

Algorithme à clé symétrique

Message Chiffré

C= F(M,K) C = message chiffré F = fonction de chiffrement M = message clair K = clé de chiffrement


Mallory

???

Salut Bob

Alice Salut Bob

Alice

SFEFFF85 »à&(-FF5

Clé Symétrique, secret partagé par Bob et Alice





11

Clé symétrique : une réponse partielle

�

Authentification Confidentialité Intégrité Non répudiation





12

Avantages et inconvénients des algorithmes à clé symétrique

• Avantages – Rapide – Simple à implémenter – Efficace

• Inconvénients – Une clé différente par paire

d’utilisateurs

1. La grande problématique : la gestion des clés (autant d’utilisateurs que de clés à échanger)

2. Comment Alice et Bob prennent-ils connaissance de la clé sans que personne d’autre n’y ait accès ?

3. La clé doit suivre un chemin différent du message





13

La cryptographie à clé asymétrique

• Chaque utilisateur a une paire de clés – la clé dite publique sert à chiffrer, et est connue de tous – la clé privée sert à déchiffrer et n’est connue que de son

porteur





14

La cryptographie à clé asymétrique

Message Chiffré

C= F(M,KBobPu) C = message chiffré F = fonction de chiffrement M = message clair KBobPu = clé publique


Mallory

???

Salut Bob

Alice

Salut Bob

Alice

ERFRET43TSDDd%%

1) Alice utilise la clé publique de Bob pour chiffrer son

message,

2) Bob utilise sa clé privée pour le déchiffrer

M= F(C,KBobPr) C = message chiffré F = fonction de chiffrement M = message clair KBobPr = clé privée

privée

publique privée

publique

Seul Bob peut lire le message d’Alice car lui seul possède la clé privée





15

Problème : le temps de calcul

• Le chiffrement / déchiffrement par clés asymétriques est très gourmand en temps de calcul

• Le temps de chiffrement de messages de grande taille serait inacceptable

• Le temps de chiffrement est multiplié par le nombre de destinataires

• La solution : combiner clé symétrique et asymétrique





16

Une solution combinée

• Générer une clé symétrique dite clé de session (utilisée une seule fois)

• Chiffrer le message avec la clé de session • Chiffrer la clé de session avec la clé publique du

destinataire





17

Chiffrement combinant clé publique et clé symétrique

Salut Bob

Alice

Fgergteg&»’(çu’»uà

message chiffré

Salut Bob

Alice

Clé privée de Bob

Clé publique de Bob

Clé de session chiffrée

45gggdFFé »’

Chiffrement


Déchiffrement

Clé de session

publique

publique

privée

privée

Clé de session

La clé symétrique de session est échangée en utilisant la clé privée de Bob. La clé symétrique de session est utilisée pour échanger le message chiffré. 26/06/2014 www.aliceandbob.fr




Chiffrement, signature, authentification

• Pour envoyer un message chiffré à Bob: – Alice doit connaitre la clé publique de Bob afin de chiffrer le

message avec cette clé. – Seul Bob pourra alors déchiffrer ce message.

• Pour signer un document ou un message: – Alice envoie un message chiffrer avec sa clé privée à Bob. Si

Bob peut le déchiffrer, c’est qu’il provient bien d’Alice. On dit que le message ou le document est signé par Alice.

• Pour authentifier une personne ou une machine: – Bob envoie un message en clair à Alice et lui demande de le

signer et de lui renvoyer. – Si le message est signé par Alice, c’est que l’interlocuteur qui se

présente est bien Alice.





Exemple d’usage: Chiffrer et Signer des emails directement dans Outlook





20

Problèmes relatifs à la signature • Cette approche est inefficace:

– Temps de calcul – La taille du message est doublée : le clair + le chiffré

• Solution : les fonctions de condensat (ou hash)

– Utiliser une fonction univoque et injective compressant un message d’une longueur quelconque en un code de petite dimension

– Ces fonctions sont appelées Message Digest (empreinte de message)





21

Caractéristique du Message Digest (ou Hash)

• Le Message Digest (MD) se caractérise par – Un résultat compact: il réduit un message à 16/20 caractères – Il est univoque: difficile de déduire le message originel du résultat – Un résultat unique: probabilité nulle de trouver 2 messages donnant le

même résultat

• Le MD est similaire à une empreinte digitale – L’empreinte est moins « encombrante » que la personne physique – Une personne n’a qu’une empreinte – Il n’y a pas 2 personnes ayant les mêmes empreintes – Difficile de reconstituer la personne physique à partir de son

empreinte





22

Signature électronique et Message Digest

Salut Bob

Alice Salut Bob

Alice

Signature

Signature

Signe avec sa clé privée

Message Digest

456789

?=

Vérifie la signature avec la clé publique

d’Alice Vérification signature 456789

Salut Bob

Alice

Message Digest

456789

privée privée

privée

publique publique

publique

On envoie le message en clair et le message digest signé. On compare les 2 à l’arrivée. 26/06/2014 www.aliceandbob.fr




23

Clé symétrique : La réponse

�

Authentification Confidentialité Intégrité Non répudiation





Public Key Infastructure





Gestion du cycle de vie du certificat

• Si par exemple vous délivrez un des certificats électroniques à vos employés il faut: – Créer un certificat quand l’employé rejoint

l’organisation – Révoquer le certificat quand l’utilisateur quitte

l’entreprise – Si une clé privée est perdue, la recouvrir – Etc.





Public Key Infrastructure* • Un serveur matériel sur lequel est installé un

serveur logiciel pour gérer le cycle de vie du logiciel

• Un serveur cryptographique pour créer les certificats (Hardware Security Module)

• Une Politique de Certification pour définir les engagements et les règles relatives aux certificats

• Des moyens humains pour les mettre en œuvre * En français on dit aussi parfois Infrastructure à Clé Publique ou encore Infrastructure de Gestion de Clé





Racine de l’Autorité de Certification • Les certificats émis le sont sous une racine. • Cette racine peut être reconnue dans les outils de

signature, les navigateurs Internet, etc. • Pour des raisons d’organisation, une racine « mère »

peut faire confiance à une autre racine « fille » dite racine intermédiaire.

• Si un certificat est émis par une racine intermédiaire, la racine « mère » fait aussi confiance à ce certificat. On parle de transitivité de la confiance.





Les acteurs • Les utilisateurs de certificats • L’Autorité d’Enregistrement (AE)

– Reçoit les demandent de certificats, effectue les vérifications, transmet le tout à l’AC. Joue le même rôle que votre mairie quand vous effectuez une demande de carte d’identité.

• L’Autorité de Certification (AC) – Valide les demandes et approuve la création des

certificats. Joue le même rôle que l’état dans le cas de la carte d’identité.

• La Politique de Certification – Définit les règles, les processus, les engagements, les

responsabilités de chacun. Doit être signée par tous.





29

Émission des Certificats

1. Demande un certificat

2. Authentifie le demandeur

3. Approuve la requête 4. Délivre le certificat

Demandeur du certificat

Autorité d’Enregistrement

Autorité de Certification





PKI Interne

• La Politique de Certification est un document interne.

• Les Autorités d’Enregistrement et de Certification sont des services internes à une organisation.

• Les utilisateurs de certificats sont internes à l’organisation.





PKI Externe

• La Politique de Certification est un document officiel Externe publié officiellement.

• Les Autorités d’Enregistrement et de Certification sont des organisation Externes à votre organisation.

• Les utilisateurs de certificats peuvent faire partie de différents organisations.

• Les Autorités d’Enregistrement et de Certification sont auditées et disposent de reconnaissances officielles. On les appelle Tiers de Confiance.





Tiers de Confiance • DigiCert est par exemple une Autorité de Certification

reconnue dans les Navigateurs Internet tels que IE, Chrome, Safari, Opera, etc.

• DigiCert a signé des accords avec les éditeurs de navigateurs Internet et s’engage à suivre une Politique de Certification très stricte définie dans le cadre du CABForum.

• DigiCert est audité par Ernst and Young pour vérifier que l’organisation respecte bien les règles relatives aux certificats SSL

• Les Editeurs de Navigateurs font confiance à DigiCert pour délivrer des certificats de confiance. La racine de certificats DigiCert est incluse dans les Navigateurs Internet.










PKI en SaaS

• Mettre en place une PKI requiert des ressources humaines et matérielles et de l’expertise. Ce n’est souvent pas le cœur de métier des organisations.

• Des organisations telles que DigiCert vous propose aujourd’hui des PKI en mode SaaS. Vous disposez d’une Interface sécurisée vous permettant de gérer vos certificats. Vous payez au certificat par an.

• Ces certificats sont reconnus sous la racine DigiCert et donc en dehors de votre organisation pour des clients, partenaires, fournisseurs par exemple.







Racine auto-signée ?

• Si vous gérez votre propre PKI vous aurez des certificats sous votre propre racine.

• Cette racine ne sera pas reconnue par les navigateurs Internet ou les outils de signature tels qu’Adobe Acrobat ou Microsoft Word par exemple.

• On dit que votre racine est auto-signée et non publique.

• Vos certificats ne seront pas reconnus par vos partenaires, clients et fournisseurs.





En conclusion

• La cryptographie asymétrique permet : – Le chiffrement – La signature – L’authentification





Merci ! Voir toutes nos présentations et documents sur Slideshare:

• L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre

réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ?

[email protected]

26/06/2014 www.AliceAndBob.fr 36




http://fr.slideshare.net/AliceAndBob

mailto:[email protected]

http://fr.slideshare.net/AliceAndBob

https://www.linkedin.com/company/5146086

https://www.facebook.com/aliceetbob


https://twitter.com/AliceAndBob2

Technology

La cryptographie asymétrique enfin expliquée simplement