Protocoles SSL et TLS - PDF
Document Details
Uploaded by StrongHouston
USTHB
Tags
Summary
This document provides an overview of SSL and TLS protocols. The slides discuss the security aspects of these protocols, including their functionality and operation.
Full Transcript
1 Se prémunir contre les attaques les applications(protocoles) de la sécurité 2 réseau NETWORK SECURITY APPLICATIONS sécurité au SÉCURIT...
1 Se prémunir contre les attaques les applications(protocoles) de la sécurité 2 réseau NETWORK SECURITY APPLICATIONS sécurité au SÉCURITÉ DU RÉSEAU SANS FIL sécurité du courrier SÉCURITÉ IP distribution des niveau du IEEE 802.11i Wireless LAN Security électronique clés et transport authentification PGP, S/MIME, Ipsec des utilisateurs WAP , WTLS SSL-TLS, SSH Kerberos Public-Key Infrastructure ….. Emplacement relatif de la sécurité dans la 3 pile de protocoles TCP / IP Approches de sécurité du trafic Web Couche Couche Couche transport: SSL- application : réseau : IPSec TLS PGP, HTTPS 4 HTTPS (HTTP sur SSL) HTTPS est la combinaison de HTTP et SSL pour implémenter une communication sécurisée entre un navigateur Web et un serveur Web. les adresses URL commencent par https: // plutôt que par http: //. Une connexion HTTP normale utilise le port 80. Si HTTPS est spécifié, le port 443 est utilisé, ce qui appelle SSL. 5 HTTPS Dans HTTPS les éléments suivants de la communication sont cryptés: URL du document demandé Contenu du document Contenu des formulaires du navigateur Cookies envoyés de navigateur à serveur et de serveur à navigateur Contenu de l'en-tête HTTP HTTPS est documenté dans RFC 2818, HTTP sur TLS. Il n'y a pas de changement fondamental dans l'utilisation de HTTP sur SSL ou TLS, et les deux implémentations sont appelées HTTPS. 6 Protocole SSL/TLS (Securre Socket Layer/Transport Layer Security) 7 SSL/TLS : Introduction Le Protocole SSL est développé en 1994 par Netscape. Permet la mise en œuvre de tunnels au niveau 4 du modèle OSI (transport). N'est utilisable que pour la sécurisation du flux TCP. La dernière version de SSL est 3. Ses fonctionnalités sont très similaires à celles du protocole TLS (Transport Layer Security) version 1. On dit souvent que SSLv3=TLSv1 8 SSL/TLS: Architecture Ports au dessus de SSL 9 10 Fonction de SSL 1. La confidentialité des données => algorithme de chiffrement 2. L’intégrité des données => fonction de hachage 3. Authentification (serveur, client) => certificat numérique 11 Pile de protocoles SSL la gestion des échanges SSL traitement des erreurs sécurité de base 12 Pile de protocoles SSL SSL n'est pas un protocole unique mais plutôt deux couches de protocoles SSL Record Protocol fournit des services de sécurité de base à divers protocoles de couche supérieure. En particulier, le protocole HTTP peut fonctionner au-dessus de SSL. Trois protocoles sont définis dans le cadre de SSL: le protocole Handshake (initialisation de la communication sécurisée), le protocole Change Cipher Spec et le protocole d'alerte(traitement des erreurs ). Ces protocoles spécifiques SSL sont utilisés dans la gestion des échanges SSL 13 Pile de protocoles SSL sécurité de base 14 SSL Record Protocol Services fournit: Confidentialité: le protocole Handshake définit une clé secrète partagée (clé de session)qui est utilisée pour le chiffrement des charges utiles SSL « payloads ». Intégrité des messages: le protocole Handshake définit également une clé secrète partagée qui est utilisée pour former un code d'authentification de message (MAC) « message authentication code », MD5 ou SHA-1. 15 Opération de « SSL Record Protocol » MD5 ou SHA-1 Format d'enregistrement SSL 16 handshake, change_cipher_spec, alert, application_data 3 0 17 Handshake Protocol 18 19 20 21 22 23 24 25 26 Change Cipher Spec Protocol indiquer le changement de la suite de chiffrement et qu'une nouvelle clé doit être utilisée pour le reste de la session 27 Alert Protocol warning (1) fatal (2) 28 Alerts SSL 29 Fatal alerts unexpected_message: bad_record_mac: decompression_failure: handshake_failure Warning alerts illegal_parameter: close_notify: no_certificate: bad_certificate: unsupported_certificate: certificate_revoked: certificate_expired: 30 TRANSPORT LAYER SECURITY TLS TLS est une initiative de normalisation de l'IETF dont le but est de produire une version Internet standard de SSL. TLS est défini comme une norme Internet proposée dans la RFC 5246. La RFC 5246 est très similaire à SSLv3. 31 SSL/TLS résumé Échange sécurisé de clés de chiffrement Authentification du serveur (optionnelle mais souvent utilisée) Authentification du client ( optionnelle et très peu utilisée) Confidentialité et Intégrité des messages SSL est conçu pour utiliser TCP pour fournir un service sécurisé et fiable de bout en bout. La version standard Internet est appelée Transport Layer Service (TLS). les applications de la sécurité réseau 32 NETWORK SECURITY APPLICATIONS sécurité au SÉCURITÉ DU RÉSEAU SANS FIL sécurité du courrier SÉCURITÉ IP distribution des niveau du IEEE 802.11i Wireless LAN Security électronique clés et transport authentification PGP, S/MIME, Ipsec, ESP des utilisateurs WAP , WTLS DKIM SSL-TLS, Kerberos HTTPS, SSH Public-Key Infrastructure X.509 Certificates 33 SSH (Secure Shell) Secure Shell (SSH) est un protocole de communications réseau sécurisées conçu pour être relativement simple et peu coûteux à mettre en œuvre. SSH1 fournit une fonction de connexion à distance sécurisée pour remplacer TELNET qui permet d'émuler un accès par terminal à une machine du réseau de manière à pouvoir exécuter des commandes saisies au clavier à distance... SSH fournit également une connexion client / serveur plus générale et peut être utilisé pour des fonctions réseau telles que le transfert de fichiers et le courrier électronique. SSH2 est documenté en tant que norme proposée dans les RFC 4250 à 4256 de l'IETF. 34 35 Pile de protocoles SSH 36 Transport Layer Protocol 37 ÉCHANGE DE PAQUETS : SSH Transport Layer 38 Protocol SSH Transport Layer Protocol Packet Formation 39 ÉCHANGE DE PAQUETS : SSH Transport Layer 40 Protocol Packet Exchanges chaîne d'identification ÉCHANGE DE PAQUETS : SSH Transport Layer 41 Protocol Packet Exchanges listes d'algorithmes l'échange de clés le cryptage l'algorithme MAC l'algorithme de compression 42 ÉCHANGE DE PAQUETS : SSH Transport Layer 43 Protocol Packet Exchanges Diffie-Hellman ÉCHANGE DE PAQUETS : SSH Transport Layer 44 Protocol Packet Exchanges fin de l'échange de clés ÉCHANGE DE PAQUETS : SSH Transport Layer 45 Protocol Packet Exchanges demander l'authentification User Authentication Protocol 46 le client est authentifié auprès du serveur. (publickey+ message signé par la clé privée du client) User Authentication Protocol 47 SSH Connection Protocol 48 multiplexer un certain nombre de canaux logiques sur une seule connexion SSH SSH Connection Protocol Message Exchange 49 connexion d'authentification sécurisée = tunnel l'ouverture d'un canal transfert de données la fermeture d'un canal Connexion via TCP 50 51 Connexion via tunnel SSH 52 les applications de la sécurité réseau 53 NETWORK SECURITY APPLICATIONS distribution des sécurité au SÉCURITÉ DU RÉSEAU SANS FIL sécurité du courrier SÉCURITÉ IP IEEE 802.11i Wireless LAN clés et niveau du Security électronique authentificatio transport PGP, S/MIME, Ipsec, ESP n des WAP , WTLS utilisateurs DKIM SSL-TLS, Kerberos HTTPS, SSH Public-Key Infrastructure X.509 Certificates sécurité du courrier électronique 54 sécurité du courrier électronique S/MIME PGP Pretty Good Multipurpose DKIM DomainKeys Privacy Internet Mail Identified Mail Extensions Le protocole PGP 55 56 Objectifs PGP développé aux États-Unis par Philip Zimmermann en 1991. 1. La confidentialité Chiffrement symétrique et asymétrique 2. L’intégrité Hachage 3. L’authenticité signature numérique 4. La non répudiation 5. Compression Algorithme de compression L’algorithme PGP 57 M Clé de session S B 𝑷𝒖𝒃𝑩 𝑷𝒓𝒊𝒗𝑩 A 𝑷𝒖𝒃𝑨 𝑷𝒓𝒊𝒗𝑨 L’algorithme PGP (expéditeur) 58 1. Calculer H(M), H c’est une fonction de hachage. 2. Calculer 𝑺𝒊𝒈𝒑𝒓𝒊𝒗𝑨 (H(M)) , Sig c’est la signature. 3. 𝑴𝑪 = 𝒛𝒊𝒑(𝑺𝒊𝒈𝒑𝒓𝒊𝒗𝑨 𝑯 𝑴 ∥ 𝑴) : ∥ est la concaténation. 4. 𝑪𝑺 𝑴𝑪 : Générer une clé de session S et chiffrer 𝑴𝑪 5. 𝑪𝒑𝒖𝒃𝑩 𝑺 : Chiffrer la clé de session avec pubB : 6. 𝑪𝑺 (𝑴𝑪) ∥ 𝑪𝒑𝒖𝒃𝑩 𝑺 : Concaténation 7. Segmentation 𝒓𝒂𝒅𝒊𝒙𝟔𝟒 : fragmentation en paquet avant l’envoi L’algorithme PGP (destinateur) 59 𝑪𝑺 (𝑴𝑪) ∥ 𝑪𝒑𝒖𝒃𝑩 𝑺 1. Segmentation 𝒓𝒂𝒅𝒊𝒙𝟔𝟒 : 2. 𝑫𝒑𝒓𝒊𝒗𝑩 𝑪𝒑𝒖𝒃𝑩 𝑺 : déchiffrer 𝑪𝒑𝒖𝒃𝑩 𝑺 pour avoir la clé de session. 3. 𝑫𝑺 (𝑪𝑺 (𝑴𝑪)) Déchiffrer 𝑪𝑺 (𝑴𝑪) pour avoir MC 4. Dézipper MC pour obtenir 𝑺𝒊𝒈𝒑𝒓𝒊𝒗𝑨 𝑯 𝑴 ∥ 𝑴. 5. Calculer H(M) a partir de M 6. verrifier 𝑺𝒊𝒈𝒑𝒖𝒃𝑨 (H(M)) 60 S/MIME Multipurpose Internet Mail Extensions S / MIME est un standard Internet de la sécurité des e-mails qui intègre les mêmes fonctionnalités que PGP.