SlideShare une entreprise Scribd logo

5-Authentification.2P.pdf

Bellaj Badr
Bellaj Badr

description of authentication with kerberos protocol

Technologie
1  sur  15
Télécharger pour lire hors ligne
1 Sécurité des réseaux informatiques 1 Protocoles d'authentification Sécurité des réseaux informatiques 2 Plan Plan • Les problèmes de sécurité des protocoles d'authentification • Un exemple de protocole d'authentification : Kerberos • Autres services d'authentification • Les certificats d'authentification X.509 – Liste de révocation
2 Sécurité des réseaux informatiques 3 Service d'authentification Service d'authentification • Service d'authentification – À base de serveur d'authentification • Un tiers … de confiance • Par ex. Kerberos, AAA, Radius, Diameter – Sans • par ex. SSL Sécurité des réseaux informatiques 4 Les problèmes de sécurité Les problèmes de sécurité • Les services de sécurité nécessaire à la distribution des clefs : – confidentialité et opportunité (" timeliness ") • La confidentialité : – chiffrement des informations d' identification et de la clef de session – Nécessite l'utilisation d'une connexion préalablement sécurisée qui utilise des clefs partagées ou publiques • La justesse/opportunité – Contre les attaques de type rejeu – Fournit par une numérotation, horodatage ou un processus de type "challenge/response "
3 Sécurité des réseaux informatiques 5 KERBEROS KERBEROS In Greek mythology, a many headed dog, the guardian of the entrance of Hades Sécurité des réseaux informatiques 6 KERBEROS KERBEROS • But – Contrôle de l'accès aux services d'un serveur • Trois risques existent : – Un client prétend être un autre. – Le client modifie l'adresse IP d'une station. – Le client capture des messages et utilise une attaque par rejeu.
4 Sécurité des réseaux informatiques 7 KERBEROS KERBEROS • Un serveur d'authentification centralisé – Authentifie les clients vis-à-vis des serveurs et vice versa. • Utilise une technique de chiffrement conventionnel (pas d'utilisation de clef publique) • Deux versions: v4 et v5 – La version 4 utilise DES et est mono domaine Sécurité des réseaux informatiques 8 Fonctionnement de Kerberos Fonctionnement de Kerberos User authentication UID, password Access control : UID, server V
5 Sécurité des réseaux informatiques 9 Kerberos Version 4 Kerberos Version 4 • Les variables : – C = client – AS = authentication server – V = server – IDc = identifier of user on C – IDv = identifier of V – Pc = password of user on C – ADc = network address of C – Kv = secret encryption key shared by AS and V – TS = timestamp, TTL = lifetime – || = concatenation Sécurité des réseaux informatiques 10 Un dialogue simple Un dialogue simple d'authentification d'authentification (1) C ¼ AS: IDc || Pc || IDv (2) AS ¼ C: Ticket (3) C ¼ V: IDc || Ticket Ticket = EKv[IDc || ADc || IDv] • Le mot de passe est en clair • La durée de vie du ticket est infinie • Surcharge du serveur d'authentification Une clé partagée Kv entre chaque serveur V et AS.
6 Sécurité des réseaux informatiques 11 Deuxième dialogue d' Deuxième dialogue d' authentification authentification (1) C ¼ AS: IDc || IDtgs (2) AS ¼ C: EKc[Tickettgs] Tickettgs= EKtgs [IDc||ADc||IDtgs||TS1||TTL1] (3) C ¼ TGS: IDc||IDv||Tickettgs (4) TGS ¼ C: Ticketv Ticketv= EKv [IDc||ADc||IDv||TS2||TTL2] (5) C ¼ V: IDc||Ticketv •Une clé partagée Kc entre chaque C et AS, issue du mot de passe f(Pc)=Kc •Une clé partagée Ktgs entre chaque TGS et AS •Une clé partagée Kv entre chaque serveur V et son TGS. Sécurité des réseaux informatiques 12 Dialogue d'authentification Dialogue d'authentification • Problèmes: – Un adversaire peut voler un ticket et s'en servir • Un durée de vie est associé au ticket "ticket-granting" – Trop courte ¼ demande répétée du mot de passe – Trop longue ¼ plus d'opportunité pour une attaque par rejeu – Un adversaire peut voler un ticket et s'en servir avant qu'il n'expire !
7 Sécurité des réseaux informatiques 13 Dialogue d'authentification Dialogue d'authentification Authentication Service Exhange: To obtain Ticket-Granting Ticket (1) C ¼ AS: IDc || IDtgs ||TS1 (2) AS ¼ C: EKc [Kc,tgs|| IDtgs || TS2 || TTL2 || Tickettgs] Tickettgs = EKtgs [Kc,tgs|| IDc||ADc||IDtgs||TS2 || TTL2 || Tickettgs] Ticket-Granting Service Echange: To obtain Service-Granting Ticket (3) C ¼ TGS: IDv ||Tickettgs ||Authenticatorc (4) TGS ¼ C: EKc [Kc,¨v|| IDv || TS4 || Ticketv] Ticketv = EKv [Kc,v|| IDc||ADc||IDv||TS4 || TTL4 || Tickettgs] Authenticatorc = EKc [Kc,¨tgs|| IDc || ADc || TS3] Client/Server Authentication Exhange: To obtain Service (5) C ¼ V: Ticketv || Authenticator'c (6) V ¼ C: EKc,v[TS5 +1] Authenticator'c = EKc,v [IDc || ADc || TS5] Sécurité des réseaux informatiques 14 Fonctionnement de Kerberos Fonctionnement de Kerberos User authentication UID, password Access control : UID, server V
8 Sécurité des réseaux informatiques 15 Requêtes entre domaines Requêtes entre domaines Kerberos Kerberos Sécurité des réseaux informatiques 16 Différence entre les versions Différence entre les versions V4 et V5 de V4 et V5 de Kerberos Kerberos • Dépendance vis-à-vis du système de chiffrement – V4 utilise DES • Dépendance vis-à-vis du protocole Internet • L'ordre des octets dans les messages – V5 : ASN1 + BER • "Ticket lifetime" – V5 : "explicit start and end times" • La propagation des crédits – transitivité : C => V1=> V2) • L'authentification entre domaines – N2/2 authentification
9 Sécurité des réseaux informatiques 17 Technique de chiffrement de Technique de chiffrement de Kerberos Kerberos Sécurité des réseaux informatiques 18 Le mode PCBC de DES Le mode PCBC de DES
10 Sécurité des réseaux informatiques 19 Utilisation de Utilisation de Kerberos Kerberos • Utiliser la dernière version de Kerberos : – v5 : permet l'authentification entre domaines – Kerberos v5 : • RFC 1510 (septembre 1993), rfc 4120 (juillet 2005) • Pour utiliser Kerberos: – un KDC ("Key Distribution Center") dans votre réseau – Des applications adaptées et utilisant Kerberos dans tout vos systèmes Sécurité des réseaux informatiques 20 Qq Qq systèmes d'authentification systèmes d'authentification • AAA : – "Authentication, Authorization and Accounting" – RFC 2903 (2000) • RADIUS – "Remote Authentication Dial In User Service" – Rfc 2865 (June 2000), m-à-j. par rfc 3373 (2003), en 2001 pour IPv6, etc.
11 Sécurité des réseaux informatiques 21 Le service Le service d'authentification d'authentification de X.509 de X.509 • X500 : – Le service de l'OSI pour l'annuaire (equiv. à DNS)directory Service (eq. DNS) • Un ensemble distribué de serveurs qui maintiennent une base de données des noms et de leur attribut (adresse IP) – Cette base de données peut servir de stockage '"repository") pour les clefs publiques • X.509 : – Historiquement X.509 definissait les certificats nécessaire au service d'authentification de X.500 – Chaque certificat contient la clef publique d'un utilisateur. Il est signé par la clef privée d'une autorité de certification (CA). – Utilisé par S/MIME, IPsec, SSL/TLS , SET, etc. – L'utilisation de RSA est initialement prévue. – Les versions de X.509 : • V1 en 1998, V2 en 1993, V3 en 1995 • Une certaine compatibilité ascendante Sécurité des réseaux informatiques 22 Le format Le format X.509 X.509
12 Sécurité des réseaux informatiques 23 Signature numérique à Signature numérique à base de chiffrement base de chiffrement asymétrique asymétrique Sécurité des réseaux informatiques 24 L'obtention d'un certificat L'obtention d'un certificat • Les propriétés d'un certificat généré par un CA : – N'importe quel client ayant la clef publique du CA peut obtenir la clef publique d'un client qui a été certifiée. • Cette association est sûre – le niveau de sûreté est celui accordé au CA • L'association est authentique – Personne hormis le CA peut modifier la certificat sans être détecté : • the private key of CA is secret • Intégrité des certificats
13 Sécurité des réseaux informatiques 25 Hiérarchie des certificats Hiérarchie des certificats X.509 X.509 X<<Y>> : certificat d' Y est produit par l'autorité de certification X Forward certificate Reverse certificate Sécurité des réseaux informatiques 26 Domaine d'authentification Domaine d'authentification
14 Sécurité des réseaux informatiques 27 Révocation des certificats Révocation des certificats • Les raisons de révoquer un certificat : – Lorsque la clef secrète est potentiellement compromise. – Lorsque le client n'est plus certifié par le CA – Changement de CA – Fin de contrat. – Le CA est potentiellement compromis. – CRL : • "Certificat Revocation List" Sécurité des réseaux informatiques 28 Protocoles d'authentification Protocoles d'authentification tA : timestamp (begin and end times) rA : nonce ("number once") Kab : session key A{X} : message X + its digital signature by A •Authentification of A •Message was generated by A •Message intented for B •Integrity and originality of message •Idem + •Reply message was generated by B •Authentification of B
15 Sécurité des réseaux informatiques 29 Bibliographie et sites Bibliographie et sites web web • Bryant, W. "Designing an Authentication System: A Dialogue in Four Scenes". http://web.mit.edu/kerberos/www/dialogue.html • Kohl, J.; Neuman, B. “The Evolution of the Kerberos Authentication Service” http://web.mit.edu/kerberos/www/papers.html • http://www.isi.edu/gost/info/kerberos/

Recommandé

Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSylvain Maret
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
securite.ppt
securite.pptsecurite.ppt
securite.pptbahajzouhair
 

Recommandé

Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSylvain Maret
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
securite.ppt
securite.pptsecurite.ppt
securite.pptbahajzouhair
 
cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfGodefroyCheumaniTche1
 
Sécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySlimen Belhaj Ali
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Cours si1
Cours si1Cours si1
Cours si1Hafsa Elfassi
 
Best practise Infrastructure pki
Best practise Infrastructure pkiBest practise Infrastructure pki
Best practise Infrastructure pkiESD Cybersecurity Academy
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
83839589 radius
83839589 radius83839589 radius
83839589 radiusAchraf Mabrouk
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Afnic
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssldihiaselma
 
Sécurité-Wifi
Sécurité-WifiSécurité-Wifi
Sécurité-WifiDAmien Gueg'
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
PKI par la Pratique
PKI par la PratiquePKI par la Pratique
PKI par la PratiqueSylvain Maret
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm
 
Decouvrez le SSL
Decouvrez le SSLDecouvrez le SSL
Decouvrez le SSLKeynectis
 
BSidesQuebec2013-ssl
BSidesQuebec2013-sslBSidesQuebec2013-ssl
BSidesQuebec2013-sslBSidesQuebec2013
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium ParisAlexis Moussine-Pouchkine
 
Cours4.pptx
Cours4.pptxCours4.pptx
Cours4.pptxBellaj Badr
 
0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdfBellaj Badr
 

Contenu connexe

Similaire à 5-Authentification.2P.pdf

cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfGodefroyCheumaniTche1
 
Sécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySlimen Belhaj Ali
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Afnic
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssldihiaselma
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm
 
Decouvrez le SSL
Decouvrez le SSLDecouvrez le SSL
Decouvrez le SSLKeynectis
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 

Similaire à 5-Authentification.2P.pdf (20)

cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdf
 
Sécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-Security
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Cours si1
Cours si1Cours si1
Cours si1
 
Best practise Infrastructure pki
Best practise Infrastructure pkiBest practise Infrastructure pki
Best practise Infrastructure pki
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
83839589 radius
83839589 radius83839589 radius
83839589 radius
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
 
Sécurité-Wifi
Sécurité-WifiSécurité-Wifi
Sécurité-Wifi
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
PKI par la Pratique
PKI par la PratiquePKI par la Pratique
PKI par la Pratique
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
 
Decouvrez le SSL
Decouvrez le SSLDecouvrez le SSL
Decouvrez le SSL
 
BSidesQuebec2013-ssl
BSidesQuebec2013-sslBSidesQuebec2013-ssl
BSidesQuebec2013-ssl
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
 

Plus de Bellaj Badr

0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdfBellaj Badr
 
Is web 3 an overengineered solution
Is web 3 an overengineered solutionIs web 3 an overengineered solution
Is web 3 an overengineered solutionBellaj Badr
 
create your own cryptocurrency
create your own cryptocurrencycreate your own cryptocurrency
create your own cryptocurrencyBellaj Badr
 
Blockchain and bitcoin in numbers
Blockchain and bitcoin in numbersBlockchain and bitcoin in numbers
Blockchain and bitcoin in numbersBellaj Badr
 
Blockchain Tokenization
Blockchain TokenizationBlockchain Tokenization
Blockchain TokenizationBellaj Badr
 
Security in the blockchain
Security in the blockchainSecurity in the blockchain
Security in the blockchainBellaj Badr
 
Blockchain demystification
Blockchain demystificationBlockchain demystification
Blockchain demystificationBellaj Badr
 
An introduction to AI (artificial intelligence)
An introduction to AI (artificial intelligence)An introduction to AI (artificial intelligence)
An introduction to AI (artificial intelligence)Bellaj Badr
 
Connected Car Platform (CC-p)
Connected Car Platform (CC-p) Connected Car Platform (CC-p)
Connected Car Platform (CC-p) Bellaj Badr
 
the age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx Moroccothe age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx MoroccoBellaj Badr
 
C from hello world to 010101
C from hello world to 010101C from hello world to 010101
C from hello world to 010101Bellaj Badr
 
beware of Thing Bot
beware of Thing Botbeware of Thing Bot
beware of Thing BotBellaj Badr
 

Plus de Bellaj Badr (14)

Cours4.pptx
Cours4.pptxCours4.pptx
Cours4.pptx
 
0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf
 
Is web 3 an overengineered solution
Is web 3 an overengineered solutionIs web 3 an overengineered solution
Is web 3 an overengineered solution
 
create your own cryptocurrency
create your own cryptocurrencycreate your own cryptocurrency
create your own cryptocurrency
 
Blockchain and bitcoin in numbers
Blockchain and bitcoin in numbersBlockchain and bitcoin in numbers
Blockchain and bitcoin in numbers
 
Blockchain Tokenization
Blockchain TokenizationBlockchain Tokenization
Blockchain Tokenization
 
Security in the blockchain
Security in the blockchainSecurity in the blockchain
Security in the blockchain
 
Blockchain demystification
Blockchain demystificationBlockchain demystification
Blockchain demystification
 
Bitcoin
BitcoinBitcoin
Bitcoin
 
An introduction to AI (artificial intelligence)
An introduction to AI (artificial intelligence)An introduction to AI (artificial intelligence)
An introduction to AI (artificial intelligence)
 
Connected Car Platform (CC-p)
Connected Car Platform (CC-p) Connected Car Platform (CC-p)
Connected Car Platform (CC-p)
 
the age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx Moroccothe age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx Morocco
 
C from hello world to 010101
C from hello world to 010101C from hello world to 010101
C from hello world to 010101
 
beware of Thing Bot
beware of Thing Botbeware of Thing Bot
beware of Thing Bot
 

5-Authentification.2P.pdf

  • 1. 1 Sécurité des réseaux informatiques 1 Protocoles d'authentification Sécurité des réseaux informatiques 2 Plan Plan • Les problèmes de sécurité des protocoles d'authentification • Un exemple de protocole d'authentification : Kerberos • Autres services d'authentification • Les certificats d'authentification X.509 – Liste de révocation
  • 2. 2 Sécurité des réseaux informatiques 3 Service d'authentification Service d'authentification • Service d'authentification – À base de serveur d'authentification • Un tiers … de confiance • Par ex. Kerberos, AAA, Radius, Diameter – Sans • par ex. SSL Sécurité des réseaux informatiques 4 Les problèmes de sécurité Les problèmes de sécurité • Les services de sécurité nécessaire à la distribution des clefs : – confidentialité et opportunité (" timeliness ") • La confidentialité : – chiffrement des informations d' identification et de la clef de session – Nécessite l'utilisation d'une connexion préalablement sécurisée qui utilise des clefs partagées ou publiques • La justesse/opportunité – Contre les attaques de type rejeu – Fournit par une numérotation, horodatage ou un processus de type "challenge/response "
  • 3. 3 Sécurité des réseaux informatiques 5 KERBEROS KERBEROS In Greek mythology, a many headed dog, the guardian of the entrance of Hades Sécurité des réseaux informatiques 6 KERBEROS KERBEROS • But – Contrôle de l'accès aux services d'un serveur • Trois risques existent : – Un client prétend être un autre. – Le client modifie l'adresse IP d'une station. – Le client capture des messages et utilise une attaque par rejeu.
  • 4. 4 Sécurité des réseaux informatiques 7 KERBEROS KERBEROS • Un serveur d'authentification centralisé – Authentifie les clients vis-à-vis des serveurs et vice versa. • Utilise une technique de chiffrement conventionnel (pas d'utilisation de clef publique) • Deux versions: v4 et v5 – La version 4 utilise DES et est mono domaine Sécurité des réseaux informatiques 8 Fonctionnement de Kerberos Fonctionnement de Kerberos User authentication UID, password Access control : UID, server V
  • 5. 5 Sécurité des réseaux informatiques 9 Kerberos Version 4 Kerberos Version 4 • Les variables : – C = client – AS = authentication server – V = server – IDc = identifier of user on C – IDv = identifier of V – Pc = password of user on C – ADc = network address of C – Kv = secret encryption key shared by AS and V – TS = timestamp, TTL = lifetime – || = concatenation Sécurité des réseaux informatiques 10 Un dialogue simple Un dialogue simple d'authentification d'authentification (1) C ¼ AS: IDc || Pc || IDv (2) AS ¼ C: Ticket (3) C ¼ V: IDc || Ticket Ticket = EKv[IDc || ADc || IDv] • Le mot de passe est en clair • La durée de vie du ticket est infinie • Surcharge du serveur d'authentification Une clé partagée Kv entre chaque serveur V et AS.
  • 6. 6 Sécurité des réseaux informatiques 11 Deuxième dialogue d' Deuxième dialogue d' authentification authentification (1) C ¼ AS: IDc || IDtgs (2) AS ¼ C: EKc[Tickettgs] Tickettgs= EKtgs [IDc||ADc||IDtgs||TS1||TTL1] (3) C ¼ TGS: IDc||IDv||Tickettgs (4) TGS ¼ C: Ticketv Ticketv= EKv [IDc||ADc||IDv||TS2||TTL2] (5) C ¼ V: IDc||Ticketv •Une clé partagée Kc entre chaque C et AS, issue du mot de passe f(Pc)=Kc •Une clé partagée Ktgs entre chaque TGS et AS •Une clé partagée Kv entre chaque serveur V et son TGS. Sécurité des réseaux informatiques 12 Dialogue d'authentification Dialogue d'authentification • Problèmes: – Un adversaire peut voler un ticket et s'en servir • Un durée de vie est associé au ticket "ticket-granting" – Trop courte ¼ demande répétée du mot de passe – Trop longue ¼ plus d'opportunité pour une attaque par rejeu – Un adversaire peut voler un ticket et s'en servir avant qu'il n'expire !
  • 7. 7 Sécurité des réseaux informatiques 13 Dialogue d'authentification Dialogue d'authentification Authentication Service Exhange: To obtain Ticket-Granting Ticket (1) C ¼ AS: IDc || IDtgs ||TS1 (2) AS ¼ C: EKc [Kc,tgs|| IDtgs || TS2 || TTL2 || Tickettgs] Tickettgs = EKtgs [Kc,tgs|| IDc||ADc||IDtgs||TS2 || TTL2 || Tickettgs] Ticket-Granting Service Echange: To obtain Service-Granting Ticket (3) C ¼ TGS: IDv ||Tickettgs ||Authenticatorc (4) TGS ¼ C: EKc [Kc,¨v|| IDv || TS4 || Ticketv] Ticketv = EKv [Kc,v|| IDc||ADc||IDv||TS4 || TTL4 || Tickettgs] Authenticatorc = EKc [Kc,¨tgs|| IDc || ADc || TS3] Client/Server Authentication Exhange: To obtain Service (5) C ¼ V: Ticketv || Authenticator'c (6) V ¼ C: EKc,v[TS5 +1] Authenticator'c = EKc,v [IDc || ADc || TS5] Sécurité des réseaux informatiques 14 Fonctionnement de Kerberos Fonctionnement de Kerberos User authentication UID, password Access control : UID, server V
  • 8. 8 Sécurité des réseaux informatiques 15 Requêtes entre domaines Requêtes entre domaines Kerberos Kerberos Sécurité des réseaux informatiques 16 Différence entre les versions Différence entre les versions V4 et V5 de V4 et V5 de Kerberos Kerberos • Dépendance vis-à-vis du système de chiffrement – V4 utilise DES • Dépendance vis-à-vis du protocole Internet • L'ordre des octets dans les messages – V5 : ASN1 + BER • "Ticket lifetime" – V5 : "explicit start and end times" • La propagation des crédits – transitivité : C => V1=> V2) • L'authentification entre domaines – N2/2 authentification
  • 9. 9 Sécurité des réseaux informatiques 17 Technique de chiffrement de Technique de chiffrement de Kerberos Kerberos Sécurité des réseaux informatiques 18 Le mode PCBC de DES Le mode PCBC de DES
  • 10. 10 Sécurité des réseaux informatiques 19 Utilisation de Utilisation de Kerberos Kerberos • Utiliser la dernière version de Kerberos : – v5 : permet l'authentification entre domaines – Kerberos v5 : • RFC 1510 (septembre 1993), rfc 4120 (juillet 2005) • Pour utiliser Kerberos: – un KDC ("Key Distribution Center") dans votre réseau – Des applications adaptées et utilisant Kerberos dans tout vos systèmes Sécurité des réseaux informatiques 20 Qq Qq systèmes d'authentification systèmes d'authentification • AAA : – "Authentication, Authorization and Accounting" – RFC 2903 (2000) • RADIUS – "Remote Authentication Dial In User Service" – Rfc 2865 (June 2000), m-à-j. par rfc 3373 (2003), en 2001 pour IPv6, etc.
  • 11. 11 Sécurité des réseaux informatiques 21 Le service Le service d'authentification d'authentification de X.509 de X.509 • X500 : – Le service de l'OSI pour l'annuaire (equiv. à DNS)directory Service (eq. DNS) • Un ensemble distribué de serveurs qui maintiennent une base de données des noms et de leur attribut (adresse IP) – Cette base de données peut servir de stockage '"repository") pour les clefs publiques • X.509 : – Historiquement X.509 definissait les certificats nécessaire au service d'authentification de X.500 – Chaque certificat contient la clef publique d'un utilisateur. Il est signé par la clef privée d'une autorité de certification (CA). – Utilisé par S/MIME, IPsec, SSL/TLS , SET, etc. – L'utilisation de RSA est initialement prévue. – Les versions de X.509 : • V1 en 1998, V2 en 1993, V3 en 1995 • Une certaine compatibilité ascendante Sécurité des réseaux informatiques 22 Le format Le format X.509 X.509
  • 12. 12 Sécurité des réseaux informatiques 23 Signature numérique à Signature numérique à base de chiffrement base de chiffrement asymétrique asymétrique Sécurité des réseaux informatiques 24 L'obtention d'un certificat L'obtention d'un certificat • Les propriétés d'un certificat généré par un CA : – N'importe quel client ayant la clef publique du CA peut obtenir la clef publique d'un client qui a été certifiée. • Cette association est sûre – le niveau de sûreté est celui accordé au CA • L'association est authentique – Personne hormis le CA peut modifier la certificat sans être détecté : • the private key of CA is secret • Intégrité des certificats
  • 13. 13 Sécurité des réseaux informatiques 25 Hiérarchie des certificats Hiérarchie des certificats X.509 X.509 X<<Y>> : certificat d' Y est produit par l'autorité de certification X Forward certificate Reverse certificate Sécurité des réseaux informatiques 26 Domaine d'authentification Domaine d'authentification
  • 14. 14 Sécurité des réseaux informatiques 27 Révocation des certificats Révocation des certificats • Les raisons de révoquer un certificat : – Lorsque la clef secrète est potentiellement compromise. – Lorsque le client n'est plus certifié par le CA – Changement de CA – Fin de contrat. – Le CA est potentiellement compromis. – CRL : • "Certificat Revocation List" Sécurité des réseaux informatiques 28 Protocoles d'authentification Protocoles d'authentification tA : timestamp (begin and end times) rA : nonce ("number once") Kab : session key A{X} : message X + its digital signature by A •Authentification of A •Message was generated by A •Message intented for B •Integrity and originality of message •Idem + •Reply message was generated by B •Authentification of B
  • 15. 15 Sécurité des réseaux informatiques 29 Bibliographie et sites Bibliographie et sites web web • Bryant, W. "Designing an Authentication System: A Dialogue in Four Scenes". http://web.mit.edu/kerberos/www/dialogue.html • Kohl, J.; Neuman, B. “The Evolution of the Kerberos Authentication Service” http://web.mit.edu/kerberos/www/papers.html • http://www.isi.edu/gost/info/kerberos/