View
3
Download
0
Category
Preview:
Citation preview
Présenté par: Mme Lamia Chaffai SghaierAgence Nationale de Certification Electronique
« La Sécurité des Transactions et des Echanges Electroniques »
Séminaire « Journées d’Informatique Pratique JIP’2005 » Département Informatique, ISET Rades
31 Mars, 1et 2 Avril 2005
Sommaire
• Introduction• Sécurité sur Internet• Crypto systèmes symétriques et asymétriques• Certificat et signature numérique• Autorité de Certification• Quelques protocoles de sécurité • Rôle de l’Agence Nationale de Certification
Electronique• Applications• Perspectives futures
Sécurité des transactions et des échanges électroniques
• Pas de présence physique • L'interaction se fait à travers un réseau ouvert• risques : écoute, répudiation d ’un acte de
vente, d’achat ou de payement problèmes de spoofing, sniffing, phishing,….
• Nécessité de services de sécurité → cryptographie
Cryptographie• Cryptographie: Science pour définir les
crypto systèmes et les algorithmes de chiffrement pour assurer la confidentialité des communications
• Cryptanalyse : L’art de «casser» les techniques cryptographiques
• Cryptologie : Cryptographie + Cryptanalyse
Chiffrement
• 2 types de chiffrement:– chiffrement à clé symétrique– chiffrement à clé asymétrique (à clé
publique)
Chiffrement à clé symétriquePrincipe: •On utilise une seule clé « secrète » pour chiffrer et déchiffrer les messages
Chiffrement à clé symétrique• Il existe plusieurs algorithmes de chiffrement à clé symétrique: DES (Data Encryption Standard), Triple DES, Blowfish, IDEA (International data Encryption Algorithm)nouveau : AES (Advanced Encryption Standard 256 bits , adopté par le NIST, FIPS 197) http://csrc.nist.gov/CryptoToolkit/aes/•Avantage: rapidité d ’exécution•Problème de gestion (distribution) des clés
Chiffrement à clé publique• Utilisation d ’une paire de clé :
– une clé privée (secrète)– une clé publique destinée à être distribuée.
• Principe:– Lorsqu’un message est chiffré par une clé il
ne peut être déchiffré que par l’autre clé– Les deux clés sont reliés par une fonction
mathématique– Il est impossible de déduire la clé privée à
partir de la clé publique
Chiffrement à clé publique1- Le Récepteur communique sa clé publique à l’émetteur2- L’émetteur chiffre le message avec la clé publique puis l ’envoi3- Le récepteur déchiffre le message avec sa clé privée
Chiffrement à clé publique
• Introduit en 1976 par W.Diffie et M. Hellman
• Il existe plusieurs algorithmes à clé publique: Diffie-Hellman, RSA, ElGamal,…le plus récent : Elliptic Curve Cryptography ECC
• Avantage: gestion de clé simple• inconvénient: coûteux en temps de calcul
Fonction de Hachage (hash function)
• Traitement mathématique pour générer un condensé (message digest) du message de manière irréversible
• Deux messages différents ne peuvent pas avoir le même condensé
• exemple d’algorithmes de hachage:– MD5: Message Digest– SHA: Secure Hash Algorithm SHA 1 délaissé,
SHA 256 et SHA 512 (NIST)
Qu ’est-ce qu ’une signature numérique
Une signature numérique=
résultat du traitement du message par uncalcul mathématique pour obtenir une
empreinte digitale du message
Utilisation d’un logiciel ou d ’une carte à puce
Qu’est-ce qu’une signature numérique
• Cette empreinte digitale doit permettre d ’authentifier l ’émetteur
• Elle doit garantir l’intégrité du message• Non répudiation par l ’émetteur
Signature numérique à clé publique• Principe:
– Utiliser une paire de clés :• publique: pour vérifier les signatures • privée: pour signer les messages • Utiliser une fonction de hachage (Hash
Function) • Standard DSS (1994): Digital Signature Standard
défini l ’algorithme DSA pour obtenir une signature
1- L’émetteur opère la fonction de hachage sur le message et obtient un condensé2- le condensé est chiffré par la clé privée de l ’émetteur pour obtenir la signature numérique du message
Obtention de la Signature à clé publique
1- Le Récepteur fait le même traitement de hachage sur le message qu’il reçoit
2- Il déchiffre la signature avec la clé publique de l ’émetteur
3- Il compare les deux condensés
Vérification de la Signature à clé publique
Vérification de la Signature à clé publique
Token
Exemple de message signé (PGP)Subject: Order Author: rqz@ipc.com October 30, 1995 ---BEGIN PGP SIGNED MESSAGE---Dear Order Department: We commit to purchase 10,000 widgets at your price of $175 per hundred. Ship to: Industrial Products Co. 555 Retail Drive Chicago, Illinois 60061 Sincerely,Purchasing Department, Industrial Products Co. ----BEGIN PGP SIGNATURE----Version: 2.6.2 owHtWX1sU1UUP+91G+22ysbHDHcBeZAVmq7L9iauNJ@UuhX2soUSpaufVsfu8tby1kUXTGsGhAYh9b+EPBgArBGNSELGpiNEFM5A80xIzEoPiPSEiMRFbPfR/ajW7rlBjR/Zbf0/eed9+599177j3ndS9CWlcIlqe3Dflw45vqJ85+dZ5hPywt6u0jb5zYvRmy2drFnZKT17a/97n/Tt11d8dNmyvqV12K7jt8Lxf ---END PGP SIGNATURE---
Sommaire• Certificat Numérique
– Qu ’est-ce qu ’un certificat numérique?– Quels sont les différents types de certificats?– Quels sont les usages d ’un certificats?
• Autorité de certification– rôle de l ’autorité de certification– Hiérarchie des autorités de certification– Chaînes de certificats
• Protocoles sécurisés– IPsec– SSL / S/MIME– SET / 3D Secure– SSH
Le certificat numérique : un
passeport électronique Signature
Électronique
De document
Messagerie sécurisée
Commerce
Electronique
IntégritéIntégrité
Non répudiationNon répudiation ConfidentialitéConfidentialité
AuthentificationAuthentification
Prenom Nom
Prenom.nom@societe.tn
F330CBEC876DE554A46B52C35F0E7ABCF4
12/05Exp.
Nom
Clé Publique
Certificat
Contrôle
D’accès
Qu’est-ce qu’un certificat numérique?1- un ensemble d ’information (standard UIT
X.509):– nom du détenteur du certificat et certaine
information l ’identifiant (adresse E-mail)– clé publique du détenteur– nom de l ’autorité de certification qui a lui a
fourni le certificat– numéro de série (unique)– date de validité– autres informations
2- signature de l ’autorité de certification
Certificate: Data: Version: v3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: PKCS #1 MD5 With RSA Encryption Issuer: OU=Ace Certificate Authority, O=Ace Industry, C=US Validity: Not Before: Fri Oct 17 18:36:25 2004 Not After: Sun Oct 17 18:36:25 2005 Subject: CN=Jane Doe, OU=Finance, O=Ace Industry, C=US Subject Public Key Info: Algorithm: PKCS #1 RSA Encryption Public Key: Modulus: 00:ca:fa:79:98:8f:19:f8:d7:de:e4:49:80:48:e6:2a:2a:86: ed:27:40:4d:86:b3:05:c0:01:bb:50:15:c9:de:dc:85:19:22: 43:7d:45:6d:71:4e:17:3d:f0:36:4b:5b:7f:a8:51:a3:a1:00: 98:ce:7f:47:50:2c:93:36:7c:01:6e:cb:89:06:41:72:b5:e9: 73:49:38:76:ef:b6:8f:ac:49:bb:63:0f:9b:ff:16:2a:e3:0e: 9d:3b:af:ce:9a:3e:48:65:de:96:61:d5:0a:11:2a:a2:80:b0: 7d:d8:99:cb:0c:99:34:c9:ab:25:06:a8:31:ad:8c:4b:aa:54: 91:f4:15 Public Exponent: 65537 (0x10001)
CONTENU D ’UN CERTIFICAT (X.509)
Extensions:Identifier: Certificate Type Critical: no Certified Usage: SSL Client Identifier: Authority Key Identifier Critical: no Key Identifier: f2:f2:06:59:90:18:47:51:f5:89:33:5a:31:7a:e6:5c:fb:36: 26:c9 Signature: Algorithm: PKCS #1 MD5 With RSA Encryption Signature: 6d:23:af:f3:d3:b6:7a:df:90:df:cd:7e:18:6c:01:69:8e:54:65:fc:06: 30:43:34:d1:63:1f:06:7d:c3:40:a8:2a:82:c1:a4:83:2a:fb:2e:8f:fb: f0:6d:ff:75:a3:78:f7:52:47:46:62:97:1d:d9:c6:11:0a:02:a2:e0:cc: 2a:75:6c:8b:b6:9b:87:00:7d:7c:84:76:79:ba:f8:b4:d2:62:58:c3:c5: b6:c1:43:ac:63:44:42:fd:af:c8:0f:2f:38:85:6d:d6:59:e8:41:42:a5: 4a:e5:26:38:ff:32:78:a1:38:f1:ed:dc:0d:31:d1:b0:6d:67:e9:46:a8: dd:c4
CONTENU D ’UN CERTIFICAT (X.509)(Suite)
Comment obtenir un certificat• Générer sa paire de clé (navigateur, autre
logiciel)• Générer une requête: soumettre la clé
publique ainsi que d’autres informations à l ’autorité de certification
• Eventuellement s ’identifier physiquement (classe de certificats 1à 4)
• Récupérer le certificat signé par l’autorité de certification
Les usages d ’un certificat numérique
• Authentifier les utilisateurs dans certaines applications (accès aux ressources Internet, Intranet, Extranet)
• Authentifier les serveurs• Vérifier les signatures numériques• Sécuriser des messages électroniques
Les usages des certificats• SSL(Secure Socket Layer):
– certificat client et serveur• S/MIME(Secure Multipurpose Internet
Mail Extensions)– certificat client
• SET et 3D-Secure– certificats marchand– certificats porteur de la carte de crédit– certificats passerelle de payement
• SSH (Secure Shell)• IPsec
Autorité de CertificationUne entité de confiance (gouvernementale ou privée)
qui délivre les certificats numériques et qui offre:• une combinaison de technologies: protocoles et
standards de sécurité (PKI, SSL, SET...).• une infrastructure de services hautement
sécurisés incluant des systèmes redondants.• un recueil de procédures et des engagements de
responsabilités qui établissent sa capacité à agir en tant que tiers partie de confiance.
• Un cadre légal permettant de régler les litiges.
Infrastructure à Clé Publique PKI
• Le standard de base X.509 défini le format des données et procédures relatives à la distribution des clés publiques à travers les certificats signés par les autorités de certification
Certification électronique:Request For Comments
Depuis 1995, le WG PKIX de l’IETF a publié 26 RFC et des Drafts disponibles sur :http://www.ietf.org/html.charters/pkix-charter.html•Demande de certificat : Certificate Request Message Format :RFC 2511•Profil des certificats et de la Liste de Révocation des certificats (CRL): Certificate and CRL Profile : RFC 2459•Algorithme d ’échange des clés:Representation of Key Exchange Algorithm in X.509 Public Key Infrastructure Certificates: RFC 2528•Protocoles de Gestion des Certificats : RFC 2510• Certificate Policy and Certification Practices Framework : RFC 2527
Architecture d ’une autorité de certification
Autorité d’Enregistrement
Principale
Production des Certificats
Autorité d’enregistrement
secondaireUtilisateur Final
Annuaire
Annuaire
Annuaire
PKIXCross-certification
Autorité d’enregistrement
secondaire
R.A.
C.A.
R.A. R.A.
Modèles de confiance (Trust Models)
• Modèle hiérarchique (une racine root CA : cas de la Tunisie)
• Modèle en Mesh (pas de racine, les CA peuvent se co-certifier)
• Modèle hybride (+sieurs root CA avec des CA non root qui peuvent se co-certifier)
• Bridge CA (pas de racine, 1 autorité de co-certification)
• Listes de confiance (existe dans les navigateurs)
Modèle de confiance Hiérarchique
Modèle Hybride
Chaîne de Certificats
Le protocole IPsec• Sécurité au niveau réseau / Paquets IP • Algorithmes de cryptage:
– Diffie-Hellman et/ou RSA pour l ’échanges de clés
– DES et Triple-DES– fonctions de hachage : SHA1 et MD5
• Applications:– VPN: matériel et logiciel– Accès distant : matériel et logiciel– Firewalls supportant IPsec
Le Protocole SSL• SSL permet de:
– authentifier un serveur par son certificat– authentifier un client par son certificat– crypter une connexion client/serveur
• IETF: Transport Layer Security (TLS)
Algorithmes: RSA, RC4, 3DES, DES, DSA, DH SHA1, MD5,
Le Protocole SSL• Applications:
– authentification client(optionnelle)/serveur par certificats numériques et sécurisation des échanges
– réseaux Intranet/Extranet sécurisés• SSL Versus IPsec
– SSL permet de sécuriser la connexion entre deux applications
– IPsec sécurise tout le réseau
SSL et Commerce électronique• Limites du SSL:
– permet d ’authentifier le serveur web du marchand et pas le marchand lui même
– ne permet pas d ’authentifier le porteur de la carte de crédit
– les données de payement peuvent être transmises au site web marchand.
• Permet de sécuriser les messages électroniques
• Permet de signer les messages électroniques
Le Protocole S/MIME
Le Protocole S/MIME• Algorithmes:
– RSA pour la signature numérique – RC2, DES, et Triple DES pour le cryptage
symétrique– SHA1 et MD5: fonctions de hachage
• Applications:– S/Mime standard de base pour l ’EDI/INT
(standard EDI sur Internet)– envoie sécurisé des échanges bancaires,
ordres de payement, messagerie électronique sécurisée
Protocole SET• Protocole SET (Secure Electronic
Transaction) mis en place par Visa, Mastercard et d ’autres partenaires.
• Permet de sécuriser les transactions par cartes de crédit sur Internet
• Permet d ’authentifier l ’acheteur, le vendeur et la passerelle de payement puisqu ’ils possèdent tous deux paires de clés (authentification, signature numérique)
Sécurisation d ’une transaction par SET
CORPORATE BUYER
3. Purchase Request
4. AuthorizationRequest/Response
6. Capture/TransmitTransaction Data
5. Ship Goods
Internet
VisaNet
ISSUER
Internet
SupplierServer
OCTACON
Certificate Certificate
PaymentGateway
Certificate
2. Initiate Request/Supplier Response
4. Authorization Request/Response
7. Clearing
7. Line Item Detail
1. ControlParameters
8. Statement& LID Reporting
PurchaseCard
ACQUIRER
Protocole SET
• Algorithmes utilisés:– RSA, SHA1, DES, HMAC-SHA1
• Contraintes :– déploiement du SET– logiciel non disponible à large échelle
(navigateur) – investissement : certification, matériel et
logiciel (client, marchand et passerelle de paiement)
• Nouvelle version : 3D-Secure
Favoriser la confiance et la sécurité des transactions
Création de l’Agence Nationale de Certification Electronique :
http://www.certification.tn – Autorité de certification racine (plus haut niveau de
confiance)– Génération, renouvellement et révocation des
certificats électroniques– Fournisseurs de Services de Certification Electronique
(FSCEs)– Etablissement des accords de reconnaissance
mutuelle.– Homologation des produits de cryptage
Architecture PKI Tunisienne
)ANCE )racine
RA RARA
CA Publique CACA Privée
ANCEAccords de Reconnaissance mutuelle
AutoritéEtrangère
Cadre réglementaire
• Loi sur le commerce et les échanges électronique (Août 2000):– Définition du document électronique et de la
signature électronique (génération, conservation, vérification…)
– Définition du certificat électronique– Rôle et obligations des Fournisseurs de Services de
Certifications (CSP)– Transactions commerciales électroniques – Protection des données personnelles
Cadre réglementaire Loi sur les Échanges et commerce électroniques
Décret n° 2001-1667
cahier des charges des fournisseurs de services de certification électronique.
Décret n°2001-2727
Conditions d’utilisation des moyens ou des services de cryptage.
Arrêté du 19 juillet 2001
Données techniques relatives aux certificats électroniques et leurs fiabilités.
Arrêté du 19 juillet 2001
Caractéristiques techniques du dispositif de création de la signature électronique.
Applications• Commerce électronique• E-gouvernement• E-banking, E-finance• E-santé• E-learning,…
Commerce électronique• Utilisation des certificats électroniques
pour l’authentification des sites marchands et la sécurisation des transactions (exp. L’inscription universitaire en ligne en utilisant le
«E-dinar »)
E-gouvernement
Un ensemble de projets prioritaires:• Paiement des impôts en ligne• Paiement des charges sociales en ligne
(CNSS)• Municipalités : état civil en ligne
(Madania)• Constitution juridique des entreprises en
ligne
Télé-déclaration Fiscale• Actuellement plus d’une centaine d’entreprises
utilisent des certificats pour utiliser le service les transactions sont sécurisées et signées électroniquement.
• La loi de Finance 2005 impose la télé-déclaration en ligne aux entreprises ayant un certain C.A..
E-Services & E-Finance : cas de la Poste
IIIIII-- TTUNISIANUNISIAN PPOSTOST EE--BUSINESS BUSINESS SSTRATEGYTRATEGY
4
Ambitious strategy toward developing e-Business strategy to empower SMEs &e-Government Services
On-line Servicese-Shops / e-Counter / Secure e-mail
e-LogisticsTrack & Trace
DHL, FedEx, DPD,… partnerships
Certification Third-Trust-party
e-Finance /e-Payment
e-BusinessStrategy
E-Finance
Télécompensation bancaire • Signature électronique des images des
chèques scannés• Archivage électronique des images
signées Commission nationale pour l’archivage
électronique
Perspectives futures
Prenom Nom
Prenom.nom@societe.fr
F330CBEC876DE554A46B52C35F0E7ABCF4
12/03Exp.
Nom
Clé Publique
Création d’entreprise en ligne
Télé-déclaration Fiscale
Télé-déclaration CNSS
…
Certificat
E-banking (CCPnet)
Perspectives futures
• Horodatage et Notariat Electronique• Sécurité du commerce mobile (PKI mobile)• Archivage électronique légal• Intégration d’éléments biométriques dans le
certificat électronique
Projets PKI OpenSource
PKI• OpenSSL et TinyCA• SSH• PyCA,…LDAP• OpenLDAP
Invitation Conférence Régionale
«Sécurité des transactions électroniques et PKI»
du 20 au 22 Juin 2005 à Tunis , événement en préparation du SMSI Tunis 2005
Le programme sera disponible sur le site http://www.certification.tn
Merci pour votre attention
Agence Nationale de certification Electronique
http://www.certification.tn
Recommended