Discussion :

[selom33]

Bonjour Cher tous,
Je cherche la solution à un problème de sécurité informatique. Pourriez-vous m'aider? Voici le problème:

"Imaginez et détaillez de façon rigoureuse un protocole de sécurisation de l'échange d'un message M entre deux entités X et Y, assurant la confidentialité, l'authencité(i.e la signature) ainsi que le contrôle d'intégrité faisant intervenir respectivement DES (confidentialité), RSA (signature) et SHA-1. A tous moment, ces contraintes devront être vérifiées"

En espérant une réponse de votre part, veuillez recevoir mes remerciements anticipés

[ram-0000]

2 questions me viennent en lisant cet énoncé.

S'il y a du RSA, c'est qu'il y a une clé publique et une clé privée. L'énoncé ne parle pas de l'échange des clés publiques. Doit on supposer que cet échange est déjà fait par un moyen quelconque hors du contexte de l'énoncé ou bien faut-il l'inclure cet échange de clés dans l'énoncé ?

Autre chose, mais je ne sais pas encore si cela a une importance pour la suite :

• les échanges sont ils en temps réel, c'est à dire que les 2 entités doivent être reliées et actives lors de l'échange (en mode chat par exemple)
• ou bien en temps différés, les 2 entités ne sont pas forcément connectées simultanément et l'échange se poursuit au réveil de l'autre (en mode mail par exemple).

[selom33]

Bonjour
Merci pour votre réaction. Je suppose que pour les deux entités, les clés publiques sont connues (pour ce qui concerne le RSA). Je crois que le problème se poserait au niveau du DES(qui est une méthode symétrique). c'est peut-etre à pour ça que le SHA-1 devrait intervenir pour la transmission de la clé secrète du DES. mais je ne suis pas sur.

[manticore]

Salut,

voila les rôles de tes trois algorithmes :

- RSA : Permettre l'échange des clés sans avoir de secret partagé
- DES : Chiffrement de la communication, la clé est négocier en étant chiffré par le RSA.
- SHA-1 : Protocole de hachage permettant de vérifier que le message n'est pas modifié et valider le certificat.

Pourquoi ne pas tout chiffré en RSA ? Car le RSA est un algorithmes asymétrique qui est très très lent. Ainsi on l'utilise dans un premier temps pour créer la clé symétrique et authentifier les intervenants. Puis on chiffre le trafic avec DES.

Je te conseille de lire des articles en rapports sur ces mots-clés :

- Algorithmes symétrique
- Protocoles de hachage
- SSL (un exemple d'implémentation)


p.s. DES est un algo tout moisi qui est trop faible. Il vaut mieux utiliser l'un des algorithmes suivant : AES, twofish, blowfish, serpent ou 3DES (qui est bien lent par contre) (liste non exhausitive)

[selom33]

Bonjour Manticore,
Merci pour ta réponse; je vais lire sur ces mots clés pour mieux comprendre.
Meilleures salutations

[gangsoleil]

Bonjour,

Je confirme la reponse de Manticore sur l'utilisation des 3 algorithmes, et egalement sur la "validite" de DES.

[selom33]

Je reviens sur le message de Manticore :

Comment se fait l'échange de la clé DES entre X et Y?
Si on devait combiner les 3 comment devrait-procéder? (sachant que X initie la communication et qu'à l'arrivé y doit pouvoir retrouver le message original en utilisant aussi les 3 algo)
Merci

[ram-0000]

• X génère un nombre aléatoire (mais vraiment aléatoire), ce sera la clé utilisée par l'algo symétrique
• X envoie cette clé à Y en la chiffrant avec la clé publique de Y et en signant avec la clé privée de X
• Y reçoit le message vérifie la signature de X (avec la clé publique de X) et déchiffre la clé (avec la clé privée de Y)
• le dialogue peut alors commencer avec l'algo symétrique et la clé échangée entre les 2 parties

[selom33]

Merci RAM-0000

Ok; pour la clé aléatoire généré pour le DES. Je comprends aussi que la transmission de la clé aléatoire se fait avec du RSA. Maintenant à quel moment on applique la fonction de hachage (SHA-1)?

Merci d'avance

[selom33]

Bonjour Cher tous,
Merci à tous pour vos conseils; j'ai finalement compris; c'est sur surtout le message de RAM-0000 qui m'a guidé. Ce sujet peut être considéré comme clos.

[manticore]

Tu peux mettre le sujet en résolu il y a un bouton en bas de la page