Question sur le chiffrement/dechiffrement

Bonjour à tous

je souhaite envoyez un mot de passe d'une application cliente jusqu'à mon serveur

pour sécuriser le tout,j'envoie les donnée par SSL,

première question, si je récupère un password sous forme de String, est ce que le fait de transférer ce password du post client au serveur est suffisant niveau sécurité en utilisant SSL ? c'est à dire, est ce que quelqu'un pourrai entre le client et le serveur récupérer ce mot de passe ?


sinon une autre solution, ou pourquoi pas combiner les deux, serait de passer par un couple clé privée/clé publique

mon application cliente chiffre avec la clé publique et mon serveur déchiffre avec sa clé privé.

donc les autres question sont :

1) est ce que l'une ou l'autre solution se suffisent à elle même pour transporter les donnée de manière sécurisé ?

2) la quelle des deux solution est la meilleurs ?

3) vaut-il mieux combiner les deux solution pour un maximum de sécurité ou est-ce inutile ?

------------

dans le même sujet, pour chiffrer/déchiffrer j'ai trouvé ce bout de code

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51

/* -------------------------------------Cryptage-------------------------------------------------*/   public MessageCrypteImpl crypterMessage(MessageImpl message) { /* transformation de la chaine en tableau d'Octets */ byte[] msgEnOctets = message.getContenu().getBytes();   /* ajoute un octet codant le "1" au début du tableau passé en parametres */ byte[] resultat = new byte[msgEnOctets.length+1]; resultat[0] = 1; for (int i = 0; i < msgEnOctets.length; i++) { resultat[i+1] = msgEnOctets[i]; }   /* transforme le résultat en BigInteger */ BigInteger msgEnBigInteger = new BigInteger(resultat);   /* crypte le message par la méthode RSA grace a la clef publique (cela renvoi un BigInteger) */ BigInteger msgCrypte = msgEnBigInteger.modPow(clefPublique.getPublicExponent(), clefPublique.getModulus());   /* on retourne le message crypté sous la forme d'un tableau d'octets */ return new MessageCrypteImpl(msgCrypte.toByteArray(), null); }           /* -------------------------------------Décryptage-------------------------------------------------*/       public MessageImpl decrypterMessage(MessageCrypteImpl messageCrypte) { /* On repasse le tableau d'octets en BigInteger pour pouvoir le décrypter */ BigInteger msgADecrypteEnBigInt = new BigInteger(messageCrypte.getContenuCrypte());   /* on décrypte le message grace au RSA et a la clef privée */ BigInteger msgDecrypteEnBigInt = msgADecrypteEnBigInt.modPow(clefPrivee.getPrivateExponent(), clefPrivee.getModulus());   /* on repasse le message en octets pour pouvoir retirer l'octet qu'on lui avait ajouté */ byte[] msgDecrypteEnOctets = msgDecrypteEnBigInt.toByteArray();   /* on lui retire son octet en plus */ byte[] resultat = new byte[msgDecrypteEnOctets.length-1]; for (int i = 0; i < resultat.length; i++) { resultat[i] = msgDecrypteEnOctets[i+1]; }   /* on retourne une chaine de charactères qui provient du tableau d'octets transformé */ return new MessageImpl (new String (resultat),null); }

---

en le remaniant à ma sauce, il fonctionne très bien.

par contre je me demandais à quoi servait le bout de code qui rajoute un octet dans le tableau, est ce vraiment necessaire ?

Code:

---

1 2 3 4 5 6 7

/* ajoute un octet codant le "1" au début du tableau passé en parametres */ # byte[] resultat = new byte[msgEnOctets.length+1]; # resultat[0] = 1; # for (int i = 0; i < msgEnOctets.length; i++) { # resultat[i+1] = msgEnOctets[i]; # }

---

merci d'avance pour vos réponses.

Citation:

---

Envoyé par deglingo592003

Bonjour à tous

je souhaite envoyez un mot de passe d'une application cliente jusqu'à mon serveur

pour sécuriser le tout,j'envoie les donnée par SSL,

première question, si je récupère un password sous forme de String, est ce que le fait de transférer ce password du post client au serveur est suffisant niveau sécurité en utilisant SSL ? c'est à dire, est ce que quelqu'un pourrai entre le client et le serveur récupérer ce mot de passe ?

---

Ben si le protocole SSL est fiable, non :D Tout dépend aussi de la méthode d'envoi : POST OU GET ? Avec POST, le contenu est crypté avant l'envoi au server et décrypté par le server, donc pas de problème. Avec GET, les arguments sont dans l'URL, qui n'est pas chiffrée, donc à proscrire.

Citation:

---

Envoyé par deglingo592003

sinon une autre solution, ou pourquoi pas combiner les deux, serait de passer par un couple clé privée/clé publique

mon application cliente chiffre avec la clé publique et mon serveur déchiffre avec sa clé privé.

---

N'est-ce pas ce que fait (entre beaucoup d'autres choses, dont l'authentification, qui n'est pas à négliger) SSL ? :mrgreen:

Citation:

---

Envoyé par deglingo592003

1) est ce que l'une ou l'autre solution se suffisent à elle même pour transporter les donnée de manière sécurisé ?

---

SSL (sinon les banques l'utiliseraient pas ;))

Citation:

---

Envoyé par deglingo592003

2) la quelle des deux solution est la meilleurs ?

---

SSL, car éprouvé, et il inclut des systèmes d'authentification du server (sinon un server pourrait se substituer au tien et enregistrer le mot de passe, éventuellement). Autant ne pas réinventer la roue, surtout si on la fait ovale plutôt que ronde.

Citation:

---

Envoyé par deglingo592003

3) vaut-il mieux combiner les deux solution pour un maximum de sécurité ou est-ce inutile ?

---

Avec SSL, c'est inutile, c'est un cryptage hybride suffisamment sécurisé.

Si tu veux voir que SSL inclut ton idée (qui n'est pas mauvaise loin de là), regarde du côté des schémas décrivant le protocole, tu verras que ça fait ce que tu veux :)

A plus

Citation:

---

Envoyé par deglingo592003

dans le même sujet, pour chiffrer/déchiffrer j'ai trouvé ce bout de code

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51

/* -------------------------------------Cryptage-------------------------------------------------*/   public MessageCrypteImpl crypterMessage(MessageImpl message) { /* transformation de la chaine en tableau d'Octets */ byte[] msgEnOctets = message.getContenu().getBytes();   /* ajoute un octet codant le "1" au début du tableau passé en parametres */ byte[] resultat = new byte[msgEnOctets.length+1]; resultat[0] = 1; for (int i = 0; i < msgEnOctets.length; i++) { resultat[i+1] = msgEnOctets[i]; }   /* transforme le résultat en BigInteger */ BigInteger msgEnBigInteger = new BigInteger(resultat);   /* crypte le message par la méthode RSA grace a la clef publique (cela renvoi un BigInteger) */ BigInteger msgCrypte = msgEnBigInteger.modPow(clefPublique.getPublicExponent(), clefPublique.getModulus());   /* on retourne le message crypté sous la forme d'un tableau d'octets */ return new MessageCrypteImpl(msgCrypte.toByteArray(), null); }           /* -------------------------------------Décryptage-------------------------------------------------*/       public MessageImpl decrypterMessage(MessageCrypteImpl messageCrypte) { /* On repasse le tableau d'octets en BigInteger pour pouvoir le décrypter */ BigInteger msgADecrypteEnBigInt = new BigInteger(messageCrypte.getContenuCrypte());   /* on décrypte le message grace au RSA et a la clef privée */ BigInteger msgDecrypteEnBigInt = msgADecrypteEnBigInt.modPow(clefPrivee.getPrivateExponent(), clefPrivee.getModulus());   /* on repasse le message en octets pour pouvoir retirer l'octet qu'on lui avait ajouté */ byte[] msgDecrypteEnOctets = msgDecrypteEnBigInt.toByteArray();   /* on lui retire son octet en plus */ byte[] resultat = new byte[msgDecrypteEnOctets.length-1]; for (int i = 0; i < resultat.length; i++) { resultat[i] = msgDecrypteEnOctets[i+1]; }   /* on retourne une chaine de charactères qui provient du tableau d'octets transformé */ return new MessageImpl (new String (resultat),null); }

---

en le remaniant à ma sauce, il fonctionne très bien.

par contre je me demandais à quoi servait le bout de code qui rajoute un octet dans le tableau, est ce vraiment necessaire ?

Code:

---

1 2 3 4 5 6 7

/* ajoute un octet codant le "1" au début du tableau passé en parametres */ # byte[] resultat = new byte[msgEnOctets.length+1]; # resultat[0] = 1; # for (int i = 0; i < msgEnOctets.length; i++) { # resultat[i+1] = msgEnOctets[i]; # }

---

merci d'avance pour vos réponses.

---

Hum... ca ne ressemble pas vraiment à un padding... Serait-ce pour brouiller un peu le message ? Là je vois pas trop en fait, tu as trouvé ça où ? Ceci dit je trouve aussi dommage d'implémenter soi même RSA, C'est déjà fait en Java en utilisant JCA et un provider quelconque (Sun, BouncyCasttle, Flexiprovider, ...) tu auras une implémentation plus sûre, qui évite certaines trappes et respectent des standards, ce qui permet une interopérabilité avec d'autres systèmes au cas où tu en aies besoin

En lisant tes réponse, les question me paraissent si bête que j'ai honte :oops:

effectivement pour ssl j'ai générer au départ un couple clé privé/clé publique j'aurai mieux fait de tourner 7 foi ma langue avant de parler :p

donc si je comprend bien un simple envoie de donnée en connectant le client et le serveur en utilisant SLL (SSLSocket et compagnie) suffiront pour garantir l'envoie des données en passant par une méthode POST

( par contre un gros doute il n'y a pas un problème entre POST et GET pour la taille des données a envoyer ? mais je ne sait plus la quel des deux :p enfin la c'est juste pour ma connaissance personnelle car je m'avance dans un domaine ou je ne suis pas à l'aise^^)

Sinon pour ce qui est du bout de code, c'est ce que j'ai trouvé sur un forum par hasard (je n'ai pas garder le lien ...), mais je vais me pencher du coté de JCA même si de ce fait, si je passe par SSL je n'aurai pas besoin de réaliser cette étape (si j'ai bien comprit ^^).

--
Est-il possible que je poste mon code (Serveur et Client) pour voir si je n'ai pas fait de bêtise ? Je n'utilise aucune méthode post ou get (du moin pas manuellement ^^)donc la j'ai un gros doute sur mon début de code (pour le moment je lance le client et le serveur en local sur ma machine qui communique sans soucis)

Il n'y a pas de questions idiotes, t'inquiète pas ;)
Pour ce qui est de JCA, tu n'en a aps besoin si tu passes par les classes SSL de Java (encore que, tu l'utiliseras surement sans le savoir :D), ensuite pour ta culture personnelle, tu peux bien sûr regarder comment ça marche, ça pourra peut-être te servir plus tard.

Donc si je post les code suivant

Coté serveur :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

import javax.net.ssl.SSLServerSocket; import javax.net.ssl.SSLServerSocketFactory; import javax.net.ssl.SSLSocket; import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader;   public class EchoServer {   public static void main(String[] arstring) { try { SSLServerSocketFactory sslserversocketfactory = (SSLServerSocketFactory) SSLServerSocketFactory.getDefault(); SSLServerSocket sslserversocket = (SSLServerSocket) sslserversocketfactory.createServerSocket(8080); SSLSocket sslsocket = (SSLSocket) sslserversocket.accept();   InputStream inputstream = sslsocket.getInputStream(); InputStreamReader inputstreamreader = new InputStreamReader(inputstream); BufferedReader bufferedreader = new BufferedReader(inputstreamreader);   String string = null; while ((string = bufferedreader.readLine()) != null) { System.out.println(string); System.out.flush(); } } catch (Exception exception) { exception.printStackTrace(); } } }

---

Puis coté client :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

import javax.net.ssl.SSLSocket; import javax.net.ssl.SSLSocketFactory; import java.io.*;   public class EchoClient { public static void main(String[] arstring) { try { SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault(); SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("localhost", 8080);   InputStream inputstream = System.in; InputStreamReader inputstreamreader = new InputStreamReader(inputstream); BufferedReader bufferedreader = new BufferedReader(inputstreamreader);   OutputStream outputstream = sslsocket.getOutputStream(); OutputStreamWriter outputstreamwriter = new OutputStreamWriter(outputstream); BufferedWriter bufferedwriter = new BufferedWriter(outputstreamwriter);   String string = null; while ((string = bufferedreader.readLine()) != null) { bufferedwriter.write(string + '\n'); bufferedwriter.flush(); } } catch (Exception exception) { exception.printStackTrace(); } } }

---

j'ai générer ma pair de clé avec l'outil keytool.

Code:

---

1 2	keytool -genkey -keystore monkeystore -keyalg RSA

---

je lance le serveur comme cela

Code:

---

1 2	java -Djavax.net.ssl.keyStore=monkeystore -Djavax.net.ssl.keyStorePassword=password EchoServer

---

puis de la "même" manière je lance le client de cette façon :

Code:

---

1 2	java -Djavax.net.ssl.trustStore=monkeystore -Djavax.net.ssl.trustStorePassword=password EchoClient

---

est ce que tout ce que le client envoi (avec ce code) est bien chiffré ou ai-je loupé quelque chose ?

les donnée parte bien du client et arrive bien sur ma console coté serveur.

je sais qu'il existe des logiciel qui écoute les flux (des sniffeur c'est ca ?) si j'arrivais à trouver un de ces logiciel je pourrai tester l'envoi de flux et bien vérifier que mes données sont chiffré ? sinon y a-t-il un autre moyen de vérifier cela ?

merci encore pour toute ton aide ;)

ps: effectivement j'aurai du regarder le fonctionnement du protocol ssl, cela aurait évité certaine questions :p

pour ceux qui cherche des information "vulgarisé" sur ssl j'ai trouvé ceci
http://sebsauvage.net/comprendre/ssl/
http://www.securiteinfo.com/cryptographie/ssl.shtml