la cryptographie dans la vie courante

Document Sample
la cryptographie dans la vie courante Powered By Docstoc
					Introduction

I. Qu’est-ce que la cryptographie?

II. Utilisation de la cryptographie
  dans la vie courante:L’exemple de
  la carte à puce
A. Rappel historique de la carte à puce
B. Qu’est-ce qu’une carte à puce?
C. Les diverses applications de la carte à puce
III. HTTPS : exemple d’application de la
     cryptographie sur Internet

A. Le protocole HTTPS : kesako ?
1. Rappel du protocole HTTP
2. Le protocole SSL

B. Principe du protocole HTTPS
1. Chiffrement de l’information
2 . L’utilisation du chiffrement sur Internet

Conclusion

Sources
   vient du grec « kryptos », qui signifie
    « cacher »
   Cacher des données, les rendre illisibles à
    celui qui n’a pas la « clé » pour les lire
   Cela va plus loin que simplement cacher des
    données:
               Les signatures électroniques
                      Authentification
   À l’origine la cryptographie ne concerne que
    les informations les plus stratégiques
   la cryptographie, c'est l'ensemble des
    techniques permettant de protéger une
    communication au moyen d'un code
    graphique secret
   la Grèce antique, voit apparaître le premier
    vrai système de cryptographie "Le carré
    Polybe".
A   B   C   D     E
F   G   H   I,J   K
L   M   N   O     P
Q   R   S   T     U
V   W   X   Y     Z
   L= (3,1) et T= (4,4)

   Son système repose sur le remplacement
    d'une lettre par ses coordonnées dans un
    carré de 5x5.
   Si le texte est court il suffit de « décliner »
    lettre par lettre jusqu’à l’obtention d’un texte
    qui se tienne:

    IBMXOXMIRFBABBOXKAJBOBKOMLRQOXMXPB
    OSFOMLROJLNPYN
   LEPARAPLUIEDEGRANDMERENEPOURRAPASSE
    RVIRPOUR
   La confidentialité: la garantie que le
    contenu d'une communication ou d'un
    fichier n'est pas accessible aux tiers

   L'intégrité des données: être sûr qu'un
    document électronique (mail, fichier,
    logiciel) n'a pas été modifié
    frauduleusement bien accidentellement
   La signature électronique: identification du
    signataire. Une telle signature semble à priori très
    facilement reproductible, elle doit donc dépendre
    du document à signer, être authentifiable sans
    ambiguïté et engager la responsabilité du
    signataire.

   L'identification (ou authentification): il s'agit de
    prouver son identité à un tiers ou à une machine.
    L'utilisation d'une carte bancaire est plus fiable car
    elle nécessite à la fois la possession de la carte et
    un code secret permettant de vérifier que le
    possesseur est autorisé à utiliser cette carte.
   Chiffrement: consiste à coder un message de
    façon à le rendre secret
   Déchiffrement: c’est l’opération inverse
   Ces opérations nécessitent deux clés:
    Les clés symétriques (cryptographie à clé privée)
   Les clés publiques (cryptographie à clés publiques)
   On génère une paire de clés (l’une privée,
   L’autre publique) liées entre elles
    mathématiquement
   Les clés privées servent à décrypter les
    messages et doivent donc rester
    confidentielles
   Les clés publiques sont rendues publiques
    pour permettre d’encrypter un message.
   Bob a une paire de clés (privée + publique)
   Bob donne sa clé publique à Alice
   Alice crypte un message destiné à Bob en
    utilisant la clé publique de Bob, Alice sait
    que seul Bob (qui a la clé privée
    correspondante) pourra décrypter le
    message
   Bob décrypte le message à l’aide de sa clé
    privée.
   Confiance dans les clés publiques
   Indispensable pour être sûr du propriétaire
    d’une clé publique
   La provenance d’une clé publique doit être
    certifiée pour pouvoir lui faire confiance
   Comment « certifier » l’authenticité et la
    provenance d’une clé publique ?
   Par une autorité de certification
   Par un réseau de confiance
   Ces autorités (sociétés, organisations)
    certifient les clés publiques
   Une clé est certifiée si elle a été signée par
    une autorité de certification reconnue
   Exemples d’autorités de certification :
    Verisign, Thawte, Equifax, GlobalSign, Etc...
   Aucune autorité définie
   On a confiance en une clé si elle a été
    signée par une personne en qui on a
    confiance, exemple:
   Alice signe la clé de Bob,
   Bob envoie sa clé à Chris,
   Chris fait confiance à cette clé car elle a été
    signée par Alice et que Chris a confiance en
    Alice
   Chris peut maintenant signer la clé de Bob,
    etc...
   Algorithmes à clés asymétriques (publiques)
   Ils utilisent une paire de clés
    privées/publiques
   Exs : RSA = Rivest Shamir Adelman et Diffie-
    Hellman (utilisé pour l’échange de clés)
   1.Trouver deux nombres premiers p et q
    distincts (p et q doivent rester secrets)
    2.Calculer n = p × q (n est clé publique)
    3.Choisir a tel que son PGCD avec (p-1)×(q-
    1) soit 1 (a est clé publique)
    4.Trouver b tel que a × b 1 (mod (p-1) ×(q-
    1)) (b est la clé privée)
   Soit M un nombre qui correspond au message à
    envoyer

    I. On calcule M^a "congru" N (mod n) et on envoie
    au destinataire le message N.
   Cette étape équivaut à verrouiller le message avec
    un cadenas spécial (fabriqué par le récepteur) qui
    ne s'ouvre qu'avec la clé privée. Toute personne qui
    désire envoyer un message secret doit utiliser ce
    cadenas fourni au moyen de la clé publique.

    II. Celui qui reçoit le message calcule N^b "congru"
    W (mod n). Cette étape équivaut à déverrouiller le
    cadenas avec la clé privée.

    III. On peut alors récupérer le message.
          de la carte à
 L’exemple
         puce
   1970 : Jurgen Dethleff conçoit une carte avec un
    micro-circuit. Le professeur Kinitaka Anmura
    dépose le brevet au Japon.
   1974 : Roland Moreno brevette mondialement un
    système de paiement bancaire électronique. La
    carte bancaire est née.
   1981 : Le GIE « carte bancaire » effectue les
    premiers essais de la carte bancaire
   1986 : production en masse des cartes à puces
    destinées aux industries bancaires et Télecom
   1993 : on estime à 240 millions le nombre de
    cartes à puce en circulation. Parallèlement, on
    constate une émergence de l’utilisation
    d’algorithmes à clé publique.
   on peut stocker énormément d’information
    dans une carte à puce sous forme digitale
   Information que l’on peut lire, seulement au
    moyen d’un appareil appelé lecteur de carte
   Elle a pour avantage de restreindre l’accès
    aux données sécurisées qu’elle contient aux
    seuls personnes qui possèdent un mot de
    passe
   Le rôle du lecteur de carte à puce est de
    d’établir un chemin entre ce qu’il y a dans la
    puce et de transmettre les données qu’on lui
    ordonne de transmettre.
   on estime à plus de 90% le nombre
    d’opérateurs dans le monde ayant retenu le
    système de la carte téléphonique prépayée
   France Télécom commercialise plus de 100
    millions de carte chaque année
   le secteur bancaire recense 30 millions de
    porteurs de cartes
   Définition de ISO:
   Il s’agit d’une carte plastique de la taille
    d’une carte de crédit comportant un circuit
    électronique et conforme à la norme ISO
    7816
   une carte plastique
   une puce électronique
   un micro-module
      La mémoire de stockage des données,
     contient plusieurs systèmes de protection
   zones protégées en écriture et lecture par un code secret
    émetteur après personnalisation
   zones protégées en écriture et lecture par un ou plusieurs
    codes secrets porteurs (ou applications) souvent appelés PIN
   blocage après présentation de données erronées avec
    possibilités de réhabilitation par l’émetteur (codes de
    substitution)
   mise en œuvre d’algorithmes cryptographiques pour la
    sécurité des transferts de données.
   La connexion d’une carte dans le terminal
    représente toutes les actions effectuées
    entre le moment où la carte est insérée
    dans le terminal et le moment où elle en est
    retirée
   La fin de la connexion carte/terminal, est
    marquée par le retrait de la carte du lecteur
    (appelé arrachement).
   La demande provient toujours du lecteur :
    la carte ne peut pas émettre de requêtes,
    elle peut juste répondre à un ordre du
    lecteur. Elle est donc considérée comme
    passive.
   la téléphonie mobile
   les cartes de paiements
   fonctionnalités principales de la carte SIM
    sont liées à la sécurisation de l’accès au
    service GSM. En d’autres termes, la
    présence de cette clé est vérifiée à chaque
    transaction ou à chaque appel et, en cas de
    mauvaise réponse, l’utilisation du téléphone
    est impossible
   Elle mémorise les clefs secrètes et de
    codage, et met en œuvre les algorithmes
    d’authentification et de codage.
   Système répartie en différentes catégories :
   La carte de pré-paiement, qui est vendue pré
    chargé d’unités, c’est le cas de la carte
    téléphonique.
   Les cartes de crédit et de débit, ce sont nos
    cartes bancaires.
   C’est la contraction des protocoles HTTP et
    SSL
   Le protocole HTTPS permet de sécuriser le
    paiement en ligne
   L’HyperText Transfer Protocol (=HTTP) est le
    protocole le plus utilisé sur Internet depuis 1990

   La version 1.0 du protocole permet de transférer
    des messages avec des en-têtes décrivant le
    contenu du message
a- Ça sert à quoi SSL ?
 SSL = Secure Socket Layer
 C'est un système qui permet d'échanger des
  informations entre 2 ordinateurs de façon sûre. SSL
  assure 3 choses:
 Confidentialité: Il est impossible d'espionner les
  informations échangées.
 Intégrité: Il est impossible de truquer les
  informations échangées.
 Authentification: Il permet de s'assurer de l'identité
  du programme, de la personne ou de l'entreprise
  avec laquelle on communique.
- SSL consiste en 2 protocoles:
 SSL Handshake protocol: avant de
  communiquer, les 2 programmes SSL
  négocient des clés et des protocoles de
  chiffrement communs
 SSL Record protocol: Une fois négociés, ils
  chiffrent toutes les informations échangées et
  effectuent divers contrôles
- SSL utilise:
 un système de chiffrement asymétrique
  (comme RSA ou Diffie-Hellman). Il est utilisé
  pour générer la master key (clé principale) qui
  permettra de générer des clés de session
   un système de chiffrement symétrique (DES,
    3DES, IDEA, RC4...) en utilisant les clés de
    session pour chiffrer les données

   un système de signature cryptographique
    des messages (HMAC, utilisant MD5, SHA...)
    pour s'assurer que les messages ne sont
    pas corrompus
   Les signatures électroniques sont l’une des
    utilisations des systèmes à clés publiques
   Deux buts:
   -Certifier que des données n’ont pas été
    modifiées (authentification du contenu)
   -Certifier que des données proviennent
    bien du « signataire » (authentification de la
    provenance)
   Les données ne sont pas cryptées
   N’importe qui peut vérifier la signature
 Alice a une paire de clés (privée + publique)
 Alice signe un message en utilisant sa clé
  privée
 Bob vérifie (grâce à la clé publique d’Alice)
  que c’est bien Alice qui avait signé Le
  message
- Standards de signature électronique
 DSA/DSS = Digital Signature Algorithm
 PGP = Pretty Good Privacy
   On peut combiner le cryptage d’un message et la signature
    électronique.
   L’émetteur identifiera le destinataire
   Le destinataire authentifiera l’émetteur

   Exemple
   Alice a une paire de clés (privée + publique)
   Bob a une autre paire de clés (privée + publique)
   Alice et Bob s’échangent leurs clés publiques
   Alice signe un message en utilisant sa clé privée et le crypte
    avec la clé publique de Bob
   Bob décrypte le message à l’aide sa clé privée et vérifie (grâce
    à la clé publique d’Alice) que c’est bien Alice qui avait signé le
    message
   Lorsque Alice signe son message elle le
    signe à l’aide de sa clé privée.
   Lorsque Bob décrypte son message, il est
    identifié à l’aide de sa clé privée
   Bob peut authentifier la provenance du
    message grâce à la clé publique d’Alice
   Les clés publiques peuvent être stockées
    sur des serveurs accessibles à tous, encore
    faut-il pouvoir être sûr de leur provenance
   Par les autorités de certification
   Ces autorités (sociétés, organisations) certifient les clés publiques
   Une clé est certifiée si elle a été signée par une autorité de
    certification reconnue
   Exemples d’autorités de certification : Verisign, Thawte, Equifax,
    GlobalSign, Etc..

   Par réseau de confiance
   Aucune autorité définie
   On a confiance en une clé si elle a été signée par une personne en
    qui on a confiance, exemple:
   Alice signe la clé de Bob,
   Bob envoie sa clé à Chris,
   Chris fait confiance à cette clé car elle a été signée par Alice et que
    Chris a confiance en Alice
   Chris peut maintenant signer la clé de Bob, etc...
1. Chiffrement de l’information
   coder l’information de telle sorte que seule
    la personne à qui elle est destinée puisse la
    lire
   Information échangée sur Internet grâce à la
    cryptographie à « clés publiques »
   2 types de protocole d’échange: Diffie-
    Hellman ou RSA
Les principaux avantages que peut
procurer HTTPS par rapport à HTTP :
 Cryptage des données
 Intégrité des données
 Confidentialité des données
 Garantie d’avoir un hôte récepteur de confiance


Le seul inconvénient réel est l’obligation de chiffrer
  l’intégralité des données de la page Web. C’est
  pourquoi HTTPS repose et bénéficie de la solidité
  du protocole SSL.
    l’adresse de la page web consultée dans la
    fenêtre du logiciel du navigateur est précédée
    de « https »

   Le cadenas est présent dans la barre d’état du
    navigateur
   Que le transport sécurisé des
    communications afin que personne ne puisse
    les espionner et les trafiquer
   Pas que le site sur lequel on surfe est fiable et
    qu’il stocke les informations transmises de
    façon sécurisée
www.cartes-bancaires.com/fr/particuliers/quotidien.html
- www.cnrs.fr (« Les enjeux de la cryptographie »,
   Conférence de presse Médaille d’or 2006 – 6 octobre
   2006)
- www.k-buy.com (Le paiement en ligne Dossier n°2)
- h t t p : / / s e b s a u v a g e . n e t (Comprendre
   l’ordinateur- C’est quoi SSL,SSH,HTTPS ?)
- www.supinfo-projects.com (Le protocole HTTPS)
- www.commentcamarche.net (Le protocole HTTP)
- www.fevad.com
- www.elidcard.be
- www.bibmath.net

				
DOCUMENT INFO
Description: Suite de cours de cryptage, avec des exemples d'algorithme de chiffrement: DES,RAS