Discussion :

[dominiqu]

Bonsoir,
J'ai un exercice a faire et je souhaiterais , s'il vous plait, que vous me confirmiez si mes réponses sont justes et les réponses aux questions que je n'ai pas su faire.

La sécurité
1.Expliquer le principe de sécurité par chiffrement et faites un schéma d'utilisation des clés.
1. Un système de chiffrement est dit :
Symétrique quand il utilise la même clé pour chiffrer et déchiffrer.
Asymétrique quand il utilise des clés différentes : une paire composée d'une clé publique, servant au chiffrement, et d'une clé privée, servant à déchiffrer. Le point fondamental soutenant cette décomposition publique/privée est l'impossibilité calculatoire de déduire la clé privée de la clé publique.
Les méthodes les plus connues sont le DES, le Triple DES et l'AES pour la cryptographie symétrique, et le RSA pour la cryptographie asymétrique, aussi appelée cryptographie à clé publique.
L'utilisation d'un système symétrique ou asymétrique dépend des tâches à accomplir. La cryptographie asymétrique présente deux intérêts majeurs : elle supprime le problème de transmission sécurisée de la clé, et elle permet la signature électronique. Elle ne remplace cependant pas les systèmes symétriques car ses temps de calcul sont nettement plus longs

je vous remercie de votre aide

[manticore]

Symétrique quand il utilise la même clé pour chiffrer et déchiffrer.

Asymétrique quand il utilise des clés différentes : une paire composée d'une clé publique,servant au chiffrement, et d'une clé privée, servant à déchiffrer.

Presque, oui tu as des clés différentes, mais tu peux utiliser dans les deux sens :

Exemple :

Bob communique à Alice, Bob veut que seul Alice comprenne. Il chiffre avec la clé publique d'Alice seul Alice peut lire ce message. (on parle de confidentialité).

Bob communique avec Alice, Bob veut prouver qu'il s'agit bien de lui. Il chiffre avec sa clé privé le message. Tout le monde peut déchiffrer le message avec la clé publique de Bob, mais seul Bob à pu émettre se message (on parle d'authentification).

Les méthodes les plus connues sont le DES, le Triple DES et l'AES pour la cryptographie symétrique

A savoir que le DES est cassé, et que le triple Des est lent (mais rétrocompatible avec Des). Je citerai aussi idea et blowfish.
Sans oublier Kerberos (qui permet de ne pas utiliser de système asymétrique).

le RSA pour la cryptographie asymétrique, aussi appelée cryptographie à clé publique.

Tu peux ajouter DSA (qui ne repose pas sur la factorisation). Et aussi Diffie-Hellman qui permet de générer des clés sans secret partagé.

L'utilisation d'un système symétrique ou asymétrique dépend des tâches à accomplir. La cryptographie asymétrique présente deux intérêts majeurs : elle supprime le problème de transmission sécurisée de la clé, et elle permet la signature électronique. Elle ne remplace cependant pas les systèmes symétriques car ses temps de calcul sont nettement plus longs

Dans presque tous les cas tu utilises l'asymétrique pour échanger des clés de sessions. Puis du symétrique.

Pour te donner une idée de la longueur des clés tu peux aller voir les tables de Lenstra :
http://www.keylength.com/fr/1/

openssl te permet aussi de faire des benchmarks pour te donner une idée du temps nécessaire pour signer/chiffrer en symétrique et asymétrique.

[dominiqu]

1.1. La sécurité par chiffrement consiste à coder des données afin qu'elle ne puisse pas être accessibles à tous. Les données sont codés grâce à une clé de codage. Pour les décoder, une clé de décodage est alors nécessaire.

[Invité]

Tu peux ajouter DSA (qui ne repose pas sur la factorisation).

N'étant pas spécialiste de l'encryption... Je crois me souvenir que des milliers de certificats X509 encore utilisables (ou distribuables, je sais pas comment on dit) pourraient être crackés. Mais je ne sais plus si c'est lié au DSA ou RSA (j'ai la flemme de chercher sur Google, il est tard).

Est-ce que cette "découverte" a eu un impact auprès des sociétés qui mettent les certificats X509 à disposition ? C'est un risque réel ou bien c'est théorique ? Est-ce qu'il existe des algorithmes permettant de savoir qu'un certificat X509 rentre dans la catégorie connue des "crackables" ?

Est-ce qu'on se sera débarrassés de ces brebis galeuses avant l'informatique quantique, parce qu'il parait qu'on pourra décomposer n'importe quoi en nombre premier en deux coups de cuillère à pot ?
Bon, cette question est moins importante

http://www.keylength.com/fr/1/

Sympa ce site
Je ne pensais pas qu'il y avait autant d'algorithmes

Steph

[manticore]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

N'étant pas spécialiste de l'encryption... Je crois me souvenir que des milliers de certificats X509 encore utilisables (ou distribuables, je sais pas comment on dit) pourraient être crackés. Mais je ne sais plus si c'est lié au DSA ou RSA (j'ai la flemme de chercher sur Google, il est tard).

Alors les certificats x509 sont sûr, si ils sont bien générés, apparemment un groupe de chercheur dont Lenstra un gourroux de la cryptographie ont trouvés qu'ils y avait des failles sur la génération des certificats RSA. (avis à ne pas prendre pour acquis, car j'ai juste posé les yeux sur l'article), mais il me semble que le problème vient de la génération des nombres premiers.

Voila l'article en question.
http://www.developpez.net/forums/d11...lgorithme-rsa/

Sinon il faut savoir qu'un certificats x509 utilisent un algorithme de hachage. Et des milliers d'entre eux utilisent le md5 qui est théoriquement cassé. Mais il faut relativiser, cette faille n'est pas à la porté du premier venu.

Est-ce qu'on se sera débarrassés de ces brebis galeuses avant l'informatique quantique, parce qu'il parait qu'on pourra décomposer n'importe quoi en nombre premier en deux coups de cuillère à pot ?
Bon, cette question est moins importante

Oui la nature même des processeurs quantique permet la décomposition des nombres premiers en une complexité non exponentiel (à vérifier avec un physicien ) Mais il me semble que l'on a encore quelques dizaines d'années avant de voir arriver des ordinateurs quantiques pouvant effectuer ces opérations.

Encore un point important en cryptographie, on s'attaque rarement à la méthode de chiffrement dans le monde du hacking. C'est très couteux, long et difficile. On s'attaque aux implémentations. Car mettre en place une implémentation solide est un vrai calvaire (il faut déjà programmer en temps constant et dieu sait si c'est pénible) .

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Je ne pensais pas qu'il y avait autant d'algorithmes

Il existe environ 300 algorithmes de chiffrement symétriques, mais seules quelques dizaines ont été vraiment testé par la communauté.

Ensuite il existe le chiffrement asymétrique, puis les fonctions de hachages.

[MiaowZedong]

Encore un point important en cryptographie, on s'attaque rarement à la méthode de chiffrement dans le monde du hacking. C'est très couteux, long et difficile. On s'attaque aux implémentations. Car mettre en place une implémentation solide est un vrai calvaire (il faut déjà programmer en temps constant et dieu sait si c'est pénible) .

Ça dépend aussi de la méthode de chiffrement et des accès qu'ont peut avoir sur le PC de la cible. Si les messages sont en ROT-13 et que le PC n'est connecté au réseau que pour les envoyer, la force brute prendra moins de temps qu'il n'en faut pour penser à une autre solution. Quoique j'avoue avoir pris un exemple extrème.

Beaucoup d'attaques sur les implémentations demandent un accès physique à l'ordinateur ou du moins une certaine proximité, et un matériel parfois coûteux et difficile d'accès. Tout ce qui est basé sur l'étude des ondes electromagnétique pour surveiller le travail du processeur, par exemple: c'est une inquiètude légitime si tu travailles dans le programme nucléaire Iranien, pour une PME spécialisée dans le pneu si c'est ta seule faille alors à toutes fins utiles tu utilises une implémentation sécurisée

Cela dit, je te rejoins sur le message de fond: aujourd'hui, les plus grosses failles ne sont pas dans les algorithmes de chiffrage. Dans l'actualité dernièrement, une femme accusée d'escroquerie se battait pour ne pas devoir livrer son mot de passe TrueCrypt...jusqu'a ce que son complice, qui coopère avec les autorités, a suggeré des mot de passes possibles aux enquêteurs, qui ont pu dechiffrer ses fichiers grâce à l'un d'eux. La faille de sécurité "niveau huit" reste la plus dure à combler

[manticore]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Ça dépend aussi de la méthode de chiffrement et des accès qu'ont peut avoir sur le PC de la cible. Si les messages sont en ROT-13 et que le PC n'est connecté au réseau que pour les envoyer, la force brute prendra moins de temps qu'il n'en faut pour penser à une autre solution. Quoique j'avoue avoir pris un exemple extrème.

A peine extrême . Mais par failles d'implémentations je pensais plutôt aux exemples célèbres :

- le Wep avec le RC4 et son vecteur d'initialisation tout moisi
- Sony avec l'utilisation du même nombre aléatoire deux fois de suite pour la sécurisation de son bootloader.
...

[MiaowZedong]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Ça dépend aussi de la méthode de chiffrement et des accès qu'ont peut avoir sur le PC de la cible. Si les messages sont en ROT-13 et que le PC n'est connecté au réseau que pour les envoyer, la force brute prendra moins de temps qu'il n'en faut pour penser à une autre solution. Quoique j'avoue avoir pris un exemple extrème.

A peine extrême . Mais par failles d'implémentations je pensais plutôt aux exemples célèbres :

- le Wep avec le RC4 et son vecteur d'initialisation tout moisi
- Sony avec l'utilisation du même nombre aléatoire deux fois de suite pour la sécurisation de son bootloader.
...

Bon, je reconnais que c'était completement tiré par les cheveux

C'est vrai que beaucoup de failles ont été découvertes du côté des generateurs de nombres pseudo-aléatoires, mais Sony pour moi ça reste une faille de "niveau huit": ils n'avaient qu'à generer des nouveaux nombres aléatoire à chaque fois. Sans doute quelqu'un chez eux n'a pas du tout comprit comment ça marche...

[manticore]

oui et de mémoire, il me semble que l’algorithme utilisé est particulièrement sensible à ce genre d'erreur.