crypto et sécurité de l’information · 4 protocole d’attaque cryptographique general 2/31....
TRANSCRIPT
Crypto et sécurité de l’informationChap 1: Introduction à la sécurité et cryptographie
Rhouma Rhoumahttps://sites.google.com/site/rhoouma
Ecole superieure d’Economie Numerique
2ème Mastère Web Intelligence
1 / 31
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
2 / 31
Services et Mécanismes de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
3 / 31
Services et Mécanismes de sécurité
Objectifs de la sécurité: CIA
Autres: Authenticité, la responsabilité
4 / 31
Services et Mécanismes de sécurité
Attaques, services et Mécanismes
Attaque: Toute action qui compromet la sécurité de l’informationMécanisme de sécurité: Un mécanisme qui est conçu pourdétecter, prévenir, ou se remettre d’une attaque de sécurité.Service de sécurité: Un service qui améliore la sécurité dessystèmes de traitement de données et les transferts d’information.Un service de sécurité fait usage d’un ou plusieurs mécanismesde sécurité
5 / 31
Services et Mécanismes de sécurité
Services de Sécurité
Confidentialité: Pour protéger contre toute écouteAuthentification: Pour savoir qui a crée et envoyé le message ?Intégrité: Être sur que la donnée ou msg n’a pas été altéréNon-Répudiation : ne pas nier une transactionContrôle d’accès: pour empêcher l’utilisation abusive desressourcesDisponibilité (permanence): contre le DoS et les virus
6 / 31
Services et Mécanismes de sécurité
Modèle général de sécurité réseau
7 / 31
Services et Mécanismes de sécurité
Méthodes de défenses
Chiffrement de donnéesContrôle d’accès software : limiter l’accès aux bases de données,protéger chaque utilisateur des autres utilsateursContrôle d’accès hardware: ex Cartes à pucePolitiques de sécurité: changer fréquemment les mots de passesUtiliser les Firewalls, les systèmes de détection d’intrusion, lesanti-virusutiliser les réseaux VLAN pour cacher les différents parties desréseauxpour accès distant utiliser les VPN : Virtual Private Network
8 / 31
Attaques de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
9 / 31
Attaques de sécurité
Attaques de sécurité
10 / 31
Attaques de sécurité
Attaques de sécurité
Interruption: Ceci est une attaque sur la disponibilitéInterception: Ceci est une attaque sur la confidentialitéModification: Ceci est une attaque sur l’intégritéFabrication: Ceci est une attaque sur l’authenticité
11 / 31
Attaques de sécurité
Attaques Passives et Actives
Les attaques passives:Une attaque passive tented’apprendre ou d’utiliserl’information du système,mais n’affecte pas lesressources du systèmeRelativement difficile àdétecter, mais plus facile àprévenir
Les attaques activesUne attaque active tente demodifier les ressources dusystème ou d’affecter leurfonctionnementRelativement difficile àéviter, mais plus facile àdétecter
12 / 31
Attaques de sécurité
Attaques Passives et Actives
13 / 31
Attaques de sécurité
Attaque Passive: Lecture du contenu du msg
14 / 31
Attaques de sécurité
Attaque Passive: Analyse du Trafic
15 / 31
Attaques de sécurité
Attaque Active: Mascarade
16 / 31
Attaques de sécurité
Attaque Active: Replay Attack
17 / 31
Attaques de sécurité
Attaque Active: Modification
18 / 31
Attaques de sécurité
Attaque Active: Denial of Service (DoS)
19 / 31
Cryptographie et Cryptanalyse
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
20 / 31
Cryptographie et Cryptanalyse
Types de classification
On peut classifier les alg de cryptage selon :Le nb de clés utilisés :
Une seul clé cryptosystème à clé privée (symétrique)2 clés ou cryptosystème à clé publique (asymétrique)
type d’opération utilisée:substitutiontranspositionproduit des deux
la façon dont le plaintext est traitéblockstream (flux)
21 / 31
Cryptographie et Cryptanalyse
Cryptage symétrique
Aussi connu comme cryptage conventionnel ou cryptage à clésecrète.c’était le seul type de cryptage jusqu’à invention du cryptageasymétrique ds les années 70.reste comme même le cryptage le plus répandu des deux
22 / 31
Cryptographie et Cryptanalyse
Terminologie basique
Plaintext: le message originalCiphertext: le message chiffréchiffrement ou cryptage : le processus de conversion du plaintextvers le ciphertextdéchiffrement ou décryptage: le processus de conversion duciphertext vers le plaintextcryptographie: l’étude des méthodes de cryptage (science desmessages secrets)cryptanalyse : l’étude des techniques pour casser les algorithmesde chiffrementCryptologie: la cryptographie et la cryptanalyse
23 / 31
Cryptographie et Cryptanalyse
Modèle simplifié du cryptage symétrique
24 / 31
Cryptographie et Cryptanalyse
Modèle du cryptage symétrique
25 / 31
Cryptographie et Cryptanalyse
Cryptanalyse
Son objectif est de retrouver la clé secrète pas simplement leplaintextbrute force attack (attaque à force brute):
essayer toutes les combinaisons (sur une ciphertext pour ledéchiffrer) de la clé jusqu’à trouver la bonneEn moyenne, il faut essayer au moins la moitié des clés disponiblespour arriver à casser un cryptosystème.
cryptanalytic attack: plus intelligente, exploite une connaissancesur l’algorithme et la manière dont le plaintext est traité.
26 / 31
Protocole d’attaque cryptographique general
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
27 / 31
Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
Known-plaintext attack(KPA)
Chosen-plaintext attack(CPA)
Chosen-ciphertext attack(CCA)
28 / 31
Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
Known-plaintext attack(KPA)
Chosen-plaintext attack(CPA)
Chosen-ciphertext attack(CCA)
28 / 31
Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
Known-plaintext attack(KPA)
Chosen-plaintext attack(CPA)
Chosen-ciphertext attack(CCA)
28 / 31
Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
Known-plaintext attack(KPA)
Chosen-plaintext attack(CPA)
Chosen-ciphertext attack(CCA)
28 / 31
Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses physiques
Attaques par canal auxiliaire: Side Channel AttackMesure du temps de cryptage/décryptage: étude du temps mispour effectuer certaines opérationsFuites électromagnétiques: émet des rayonnements qui varientselon les opérations effectuéesAnalyse du Comportement du processeur lors du calcul: bruitacoustiqueAnalyse de la consommation d’énergie: Une consommation accrueindique un calcul important et peut donner des renseignements surla clé
29 / 31
Protocole d’attaque cryptographique general
Analyse, déduction et exploitation
Étape "off-line" : Analyse & DéductionAttaque à force brute: essayer toutes les clés possibles pourretrouver un texte en clair à partir du cryptogrammeAttaque statistique: Estimer la fréquence d’apparition des lettresdans un texteAttaque algébrique: trouver des représentations équivalentes ducryptosystème, exploiter des linéarités existantes.Cryptanalyse linéaire : approximation linéaire de l’algorithme dechiffrement, augmenter le nombre de couples pour améliorerl’approximation.Cryptanalyse différentielle: étudier la manière dont les différencesentre les entrées affectent les différences de leurs sorties pourdécouvrir des vulnérabilités.
Exploitation: Estimation de la clé et Déchiffrement de tous lescryptogrammes.
30 / 31
Protocole d’attaque cryptographique general
Analyse, déduction et exploitation
Étape "off-line" : Analyse & DéductionAttaque à force brute: essayer toutes les clés possibles pourretrouver un texte en clair à partir du cryptogrammeAttaque statistique: Estimer la fréquence d’apparition des lettresdans un texteAttaque algébrique: trouver des représentations équivalentes ducryptosystème, exploiter des linéarités existantes.Cryptanalyse linéaire : approximation linéaire de l’algorithme dechiffrement, augmenter le nombre de couples pour améliorerl’approximation.Cryptanalyse différentielle: étudier la manière dont les différencesentre les entrées affectent les différences de leurs sorties pourdécouvrir des vulnérabilités.
Exploitation: Estimation de la clé et Déchiffrement de tous lescryptogrammes.
30 / 31
Protocole d’attaque cryptographique general
exemple brute force attack
31 / 31