Cours 2: Cryptographie - Ensiwiki
Transcription
Cours 2: Cryptographie - Ensiwiki
Exemple 1 http://xforce.iss.net/xforce/xfdb/53234! Apple iPod touch and Apple iPhone SSL spoofing Cours 2: Cryptographie Exemple 2 La sécurité du GSM compromise? Cf. p11 de http://www.clusif.asso.fr/fr/production/ ouvrages/pdf/PanoCrim2k9-fr.pdf ipod-iphone-ssl-spoofing (53234)Medium Risk Description:Apple iPod touch and Apple iPhone could allow a remote attacker to conduct spoofing attacks, caused by improper verification of SSL certificates. A remote attacker could exploit this vulnerability using man-in-the-middle techniques to spoof SSL certificates and redirect a user to a malicious Web site that would appear to be trusted. This could allow the attacker to obtain sensitive information that could be used to launch further attacks against the victim's system. Propriétés à assurer -Secret : appel d’offres airbus + disque perdus ou revendus « business intelligence» • Secret – Stockage et communication • Authentification – Des personnes, des actions et des ressources • Intégrité – Stockage et communication • Non répudiation – Des deux parties Algorithmes cryptographiques • Science très ancienne – Correspond à un besoin ancestral • Différentes époques – Différentes menaces – Essentiellement pour les communications – Maintenant pour le stockage aussi • Problématique différente Première époque : antiquitépremière guerre mondiale • Chiffrer => détenir ou partager un secret • Première époque : secret=algorithme • Exemple : code de césar – « Simple » permutation de lettres • i ème lettre remplacée par – la lettre numéroté (i+3) mod 26 • • Présentation suivant une approche historique • Algorithmes dans un premier temps Exercice : – Coder “Vive l’Ensimag” avec le code de césar – Quelle méthode de cryptanalyse peut on utiliser dans ce cas? Exemple d’attaques cryptographiques • – Trivial à casser • Une simple analyse statistique suffit • La « force brute » énumération de toutes les possibilités est faisable facilement Base du chiffrement par substitution • Passage à l’échelle ? • Cryptanalyse : analyse de la robustesse des algorithmes cryptographiques • Attaque par séquences connues – Praticable car existence de protocoles • Attaque par séquences forcées (hack du WEP) – Moins praticable mais peut être utilisée • Analyse différentielle – Différences chiffrées ! différences du clair • Un bon algorithme doit résister à tout cela Seconde époque • Algorithme connu – Et longuement étudié! • Secret=clé • Algorithme à clé secrète – Symétrique : la même clé sert à chiffrer et déchiffrer – E(M,K)=M’ => chiffrement du message – D(M’,K)=M => déchiffrement du message Modes de chiffrement par bloc - Electronic Code Book (ECB) - Cipher Bloc Chaining (CBC) - Cipher FeedBack (CFB) - Output FeedBack (OFB) - Counter Mode encryption (CTR) Exercice : - Donner le Bloc de décryptage correspondant - En cas d’erreur de réception openssl des -pass pass:monMotDePasse -desecb -in monTexte | hexdump Exemples d’algorithmes symétriques • XOR – Le seul prouvé théoriquement « incassable » – Il faut nécessairement avoir la clé pour déchiffrer un message intercepté • Si clé bien gardée, seule solution = force brute, essayer toutes les combinaisons – Également appelé one time pad – Petit inconvénient pour le XOR • La clé doit être de la taille du message! – Si on connaît le message original et le message crypté?