SlideShare une entreprise Scribd logo

application SSL_TLS.pptx

Télécharger en tant que PPTX, PDF
K
kohay75604

ssl

Technologie
1  sur  25
Introduction generale SSL/TLS Protocole Problematique Les Attaques MITM Dans SSL / TLS Solution propose Conclusion
Il existe des situations où il existe une exigence de sécurité pour assurer la confidentialité ou l'intégrité du trafic réseau, ce qui est généralement réalisé à l'aide de mesures cryptographiques, Donc lorsque vous vous connectez sur un serveur la connexion se fait toujours en HTTPS pour des raisons de sécurité que se passerait il si la communication se faisait en http? c'est simple toutes les informations échangées transiteraient en clair ce qui veut dire qu'une personne malveillante peut intercepter les échange entre vous et votre serveur En fait le https c'est une connexion http dans un tunnel chiffré ssl/tls ce tunnel va sécuriser vos échange car même si une personne malveillante intercepte vos échange les informations sont chiffrées.
Secure Socket Layer / Transport Layer Security (SSL / TLS) est généralement intégré à l'application pour protéger les données envoy via HTTP entre les clients et les serveurs, également appelé HTTP sur TLS (HTTPS). Le protocole SSL / TLS est composé par sous-protocole Handshake permet au client d'authentifier le serveur communicant en utilisant le certificat de clé publique du serveur voici le processus comment un client et un serveur utilise le protocole de prise de contact pour négocier comment échanger des données en toute sécurité étape 1: le client envoie un message "clienthello« qui répertorient des informations telles que la version SSL / TLS les algorithmes cryptographiques méthodes de compression de données prises en charge par le client étape 2: le serveur répond par un message "serverhello » qui contient les algorithmes cryptographiques choisis par le serveur à pa de la liste fournie par le client l'ID de session le serveur envoie également son certificat numérique et sa clé publique étape 3: le client contactera l'autorité de certification du serveur et vérifie le certificat numérique du serveur confirmant ainsi l'authenticité du serveur Web Certifica et signature étape 3: établit essentiellement la confiance sur le serveur Web une fois que le client fait confiance au serveur Web il faudra l'étape 4: échange de clé client avec cette étape, le client envoie une clé secrète partagée à utiliser dans la conversation suivante la secrète est chiffrée avec la clé publique du serveur étape 5: le client envoie un message terminé qui est chiffré avec la clé secrète indiquant que la partie client de la négociation est terminée
le problème va venir de la transmission de la clé publique dans la cryptographie asymétrique notamment si personne malveillantes se positionne entre le client et le serveur se fait passer pour l'un d'eux et donne a clé publique a la place Ces derniers temps, une menace potentielle, connue sous le nom de main-in-the-middle (MITM) attaque, a été exploitée par des attaquants d'applications Web compatibles SSL / TLS, en particulier lorsque des utilisateurs naïfs souhaitent se connecter à un serveur Web compatible SSL / TLS.
Une attaque MITM est une forme d'attaque active dans laquelle l'attaquant intercepte et modifie de manière sélective les données interceptées afin de se faire passer pour une partie légitime impliqué dans la communication client et serveur. Basé sur les services et l'activité prévus perspectives, plusieurs applications Web compatibles SSL / TLS n'emploient pas de client authentification comme une exigence, à la place les applications Web activent SSL / TLS dans mode d'authentification du serveur Main in the middle va donc intercepté et modifié les échanges de clé entre le client et le serveur du coup lorsque le client envoie un message a serveur Il va l'envoyer en chiffrent avec la clé publique supposée appartenir a le serveur en fait MITM va intercepter le message il va le déchiffrer avec sa clé privé et lire le message ensuite pour pallier le il va chiffré le message avec la clé publique de serveur et envoyer le message comme ca le serveur peut déchiffré avec sa clé prive pour lire les message MITM est donc capable de lire les conversation entre les 2 et de récupéré information importante
Nous discutons des solutions existantes pour contrer les attaques MITM sur SSL / TLS enabled applications. Comme la plupart des solutions considèrent l'authentification client comme facteur important, nous discutons de l'espace de solution pour le mot de passe, l'utilisateur graphique interface et des approches basées sur des jetons pour l'authentification des utilisateurs. Nous présentons ensuite un solution efficace utilisant l'authentification client basée sur un jeton logiciel qui peut résister à SSL / Application compatible TLS contre les attaques MITM. Nous analysons la solution proposée pour sa fonction de sécurité en plus de la sécurité du protocole SSL / TLS, et fournir son efficacité par rapport à d’autres approches.
Les entités participantes de notre protocole sont les suivantes: - Utilisateur / client, qui souhaite accéder aux applications compatibles SSL / TLS. - Serveur qui héberge l'application compatible SSL / TLS. Avant d'accéder à l'application, l'utilisateur / client doit s'inscrire auprès du serveur en toute sécurité. Une fois l'inscription réussie, l'utilisateur partage son identité (UID), son mot de passe (PWD) et un code de motif (PC) avec le serveur. Le code du modèle est un mesure de sécurité qui s'ajoute à notre solution proposée. Le code de modèle est un forme ou une séquence d'éléments de matrice A (i, j) d'une matrice de motifs (Kumar et Raghavan, 2008). Chaque cellule de la matrice de motifs est une image qui représente un personnage. Pendant le processus d'inscription, l'utilisateur reçoit un message généré de manière aléatoire matrice de motifs et invité à choisir une séquence de positions en tapant les caractères présents dans la matrice de motif, qui devient alors le motif de l’utilisateur code, PC
La figure suivant montre le PC de l'utilisateur, qui est capturé dans la région ombrée (nous notons que la séquence du PC de l'utilisateur est remplacée par les numéros 1 à 7 dans le région ombrée), c'est-à-dire que PC sur la figure B {# (S7 &. Le protocole fonctionne comme suit. Lorsque l'utilisateur / client souhaite accéder au serveur, le client et le serveur établissent une clé de session SSL / TLS K utilisant le protocole de prise de contact SSL / TLS. Après cela, le serveur génère un soft-token contenant le PC, l'UID et un code d'authentification, AC, où AC = MAC (PC; h (tous les messages SSL / TLS précédents)) et MAC (.) Est un code d'authentification de message. Le jeton logiciel fournit à l'utilisateur le caractère visuel retour par caractère du PC une fois que l'utilisateur entre en courant alternatif. Le navigateur va également avoir un petit écran où la valeur de hachage compressée de tous les SSL / TLS précédents les messages seront affichés. Cette zone peut être personnalisée par l'utilisateur, ainsi éviter toute attaque par usurpation visuelle. L'utilisateur génère AC en utilisant la valeur de hachage affiché sur le navigateur et son code de motif PC. Ensuite, l'utilisateur soumet l'UID et AC au serveur. Après avoir reçu le courant alternatif, le serveur calcule également le courant alternatif à l'aide du valeur de hachage et PC correspondant à l'UID. Si le CA calculé est le même que le reçu AC puis le client est authentifié par le serveur. L'utilisateur peut arrêter la saisie à AC si il / elle ne voit pas le code de motif correspondant au motif choisi au moment de l'inscription. Le processus d'entrée sur AC et d'affichage du PC est montré sur la Fig. 3. Chaque caractère d'AC est couplé à la session SSL / TLS afin que l'adversaire ne peut pas utiliser le même message dans un autre SSL / TLS session. Le protocole est donné ci-dessous: Figure.
Nous avons discuté de la menace MITM pour les applications Web compatibles SSL / TLS. Nous avons examiné les approches existantes pour l'authentification des utilisateurs et proposé un authentification utilisateur basée sur un jeton logiciel. En activant la solution proposée en SSL / Application Web compatible TLS, les attaques MITM peuvent être évitées. La proposition la solution nécessite un affichage de confiance (contrôlé par le serveur légitime) sur le navigateur pour rendre la valeur compressée du hachage des messages de négociation SSL / TLS. La solution proposée est efficace en termes de calcul et fournit des sécurité en plus de la force de sécurité du protocole SSL / TLS.

Recommandé

SSL.TLS.pptx
SSL.TLS.pptxSSL.TLS.pptx
SSL.TLS.pptxkohay75604
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
la sécurité dans la commerce electronique
la sécurité dans la commerce electroniquela sécurité dans la commerce electronique
la sécurité dans la commerce electroniqueMouna Slama
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tlsFranck TOUNGA
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
SSL/TSL Protocols
SSL/TSL ProtocolsSSL/TSL Protocols
SSL/TSL ProtocolsHaifa Ftirich
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4Raouf Jaziri
 
Cours si1
Cours si1Cours si1
Cours si1Hafsa Elfassi
 

Recommandé

SSL.TLS.pptx
SSL.TLS.pptxSSL.TLS.pptx
SSL.TLS.pptxkohay75604
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
la sécurité dans la commerce electronique
la sécurité dans la commerce electroniquela sécurité dans la commerce electronique
la sécurité dans la commerce electroniqueMouna Slama
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tlsFranck TOUNGA
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
SSL/TSL Protocols
SSL/TSL ProtocolsSSL/TSL Protocols
SSL/TSL ProtocolsHaifa Ftirich
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4Raouf Jaziri
 
Cours si1
Cours si1Cours si1
Cours si1Hafsa Elfassi
 
Tp rsa1
Tp rsa1Tp rsa1
Tp rsa1ZIZI Yahia
 
radius
radiusradius
radiusmohamed hadrich
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
SSL strip
SSL stripSSL strip
SSL stripSeifallah Jardak
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Formation1 sockets
Formation1 socketsFormation1 sockets
Formation1 socketsMariem SOMRANI
 
Ch3_Couche application.pptx
Ch3_Couche application.pptxCh3_Couche application.pptx
Ch3_Couche application.pptxOthmaneMansouri1
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLSThomas Moegli
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptxInstitut Supérieur des Etudes Technologiques de Nabeul
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Les architectures client serveur
Les architectures client serveurLes architectures client serveur
Les architectures client serveurAmeni Ouertani
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfRAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfSouf212
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdf
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdfDigital Signature Standard(DSS)_SAVADOGO_Tidiane.pdf
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdfdassise007
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdfStyvePola1
 
Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Luxembourg Institute of Science and Technology
 
Les attaques
Les attaquesLes attaques
Les attaquesnadia sassi
 
crypto1.pdf
crypto1.pdfcrypto1.pdf
crypto1.pdfkohay75604
 
Chapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfChapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfkohay75604
 

Contenu connexe

Similaire à application SSL_TLS.pptx

Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Ch3_Couche application.pptx
Ch3_Couche application.pptxCh3_Couche application.pptx
Ch3_Couche application.pptxOthmaneMansouri1
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Les architectures client serveur
Les architectures client serveurLes architectures client serveur
Les architectures client serveurAmeni Ouertani
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfRAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfSouf212
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdf
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdfDigital Signature Standard(DSS)_SAVADOGO_Tidiane.pdf
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdfdassise007
 

Similaire à application SSL_TLS.pptx (20)

Tp rsa1
Tp rsa1Tp rsa1
Tp rsa1
 
radius
radiusradius
radius
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
 
SSL strip
SSL stripSSL strip
SSL strip
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Formation1 sockets
Formation1 socketsFormation1 sockets
Formation1 sockets
 
Ch3_Couche application.pptx
Ch3_Couche application.pptxCh3_Couche application.pptx
Ch3_Couche application.pptx
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptx
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
 
Les architectures client serveur
Les architectures client serveurLes architectures client serveur
Les architectures client serveur
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
 
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfRAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdf
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdfDigital Signature Standard(DSS)_SAVADOGO_Tidiane.pdf
Digital Signature Standard(DSS)_SAVADOGO_Tidiane.pdf
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdf
 
Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...
 
Les attaques
Les attaquesLes attaques
Les attaques
 

Plus de kohay75604

Chapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfChapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfkohay75604
 
catalogue PFE 2023.pdf
catalogue PFE 2023.pdfcatalogue PFE 2023.pdf
catalogue PFE 2023.pdfkohay75604
 
Chap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdfChap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdfkohay75604
 
Chap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdfChap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdfkohay75604
 
res_mobiles_ch4.pdf
res_mobiles_ch4.pdfres_mobiles_ch4.pdf
res_mobiles_ch4.pdfkohay75604
 
Inf_theory_lect2.pdf
Inf_theory_lect2.pdfInf_theory_lect2.pdf
Inf_theory_lect2.pdfkohay75604
 
Inf_theory_lect3.pdf
Inf_theory_lect3.pdfInf_theory_lect3.pdf
Inf_theory_lect3.pdfkohay75604
 
Inf_theory_lect4.pdf
Inf_theory_lect4.pdfInf_theory_lect4.pdf
Inf_theory_lect4.pdfkohay75604
 
Business Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptxBusiness Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptxkohay75604
 
S2-00-HTTP.pptx
S2-00-HTTP.pptxS2-00-HTTP.pptx
S2-00-HTTP.pptxkohay75604
 
S2-02-PHP-objet.pptx
S2-02-PHP-objet.pptxS2-02-PHP-objet.pptx
S2-02-PHP-objet.pptxkohay75604
 
S2-01-PHP.pptx
S2-01-PHP.pptxS2-01-PHP.pptx
S2-01-PHP.pptxkohay75604
 

Plus de kohay75604 (16)

crypto1.pdf
crypto1.pdfcrypto1.pdf
crypto1.pdf
 
Chapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfChapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdf
 
catalogue PFE 2023.pdf
catalogue PFE 2023.pdfcatalogue PFE 2023.pdf
catalogue PFE 2023.pdf
 
Chap 3.pdf
Chap 3.pdfChap 3.pdf
Chap 3.pdf
 
Chap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdfChap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdf
 
Chap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdfChap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdf
 
res_mobiles_ch4.pdf
res_mobiles_ch4.pdfres_mobiles_ch4.pdf
res_mobiles_ch4.pdf
 
docker.pptx
docker.pptxdocker.pptx
docker.pptx
 
Inf_theory_lect2.pdf
Inf_theory_lect2.pdfInf_theory_lect2.pdf
Inf_theory_lect2.pdf
 
Inf_theory_lect3.pdf
Inf_theory_lect3.pdfInf_theory_lect3.pdf
Inf_theory_lect3.pdf
 
Inf_theory_lect4.pdf
Inf_theory_lect4.pdfInf_theory_lect4.pdf
Inf_theory_lect4.pdf
 
NFV.pdf
NFV.pdfNFV.pdf
NFV.pdf
 
Business Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptxBusiness Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptx
 
S2-00-HTTP.pptx
S2-00-HTTP.pptxS2-00-HTTP.pptx
S2-00-HTTP.pptx
 
S2-02-PHP-objet.pptx
S2-02-PHP-objet.pptxS2-02-PHP-objet.pptx
S2-02-PHP-objet.pptx
 
S2-01-PHP.pptx
S2-01-PHP.pptxS2-01-PHP.pptx
S2-01-PHP.pptx
 

application SSL_TLS.pptx

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17. Introduction generale SSL/TLS Protocole Problematique Les Attaques MITM Dans SSL / TLS Solution propose Conclusion
  • 18. Il existe des situations où il existe une exigence de sécurité pour assurer la confidentialité ou l'intégrité du trafic réseau, ce qui est généralement réalisé à l'aide de mesures cryptographiques, Donc lorsque vous vous connectez sur un serveur la connexion se fait toujours en HTTPS pour des raisons de sécurité que se passerait il si la communication se faisait en http? c'est simple toutes les informations échangées transiteraient en clair ce qui veut dire qu'une personne malveillante peut intercepter les échange entre vous et votre serveur En fait le https c'est une connexion http dans un tunnel chiffré ssl/tls ce tunnel va sécuriser vos échange car même si une personne malveillante intercepte vos échange les informations sont chiffrées.
  • 19. Secure Socket Layer / Transport Layer Security (SSL / TLS) est généralement intégré à l'application pour protéger les données envoy via HTTP entre les clients et les serveurs, également appelé HTTP sur TLS (HTTPS). Le protocole SSL / TLS est composé par sous-protocole Handshake permet au client d'authentifier le serveur communicant en utilisant le certificat de clé publique du serveur voici le processus comment un client et un serveur utilise le protocole de prise de contact pour négocier comment échanger des données en toute sécurité étape 1: le client envoie un message "clienthello« qui répertorient des informations telles que la version SSL / TLS les algorithmes cryptographiques méthodes de compression de données prises en charge par le client étape 2: le serveur répond par un message "serverhello » qui contient les algorithmes cryptographiques choisis par le serveur à pa de la liste fournie par le client l'ID de session le serveur envoie également son certificat numérique et sa clé publique étape 3: le client contactera l'autorité de certification du serveur et vérifie le certificat numérique du serveur confirmant ainsi l'authenticité du serveur Web Certifica et signature étape 3: établit essentiellement la confiance sur le serveur Web une fois que le client fait confiance au serveur Web il faudra l'étape 4: échange de clé client avec cette étape, le client envoie une clé secrète partagée à utiliser dans la conversation suivante la secrète est chiffrée avec la clé publique du serveur étape 5: le client envoie un message terminé qui est chiffré avec la clé secrète indiquant que la partie client de la négociation est terminée
  • 20. le problème va venir de la transmission de la clé publique dans la cryptographie asymétrique notamment si personne malveillantes se positionne entre le client et le serveur se fait passer pour l'un d'eux et donne a clé publique a la place Ces derniers temps, une menace potentielle, connue sous le nom de main-in-the-middle (MITM) attaque, a été exploitée par des attaquants d'applications Web compatibles SSL / TLS, en particulier lorsque des utilisateurs naïfs souhaitent se connecter à un serveur Web compatible SSL / TLS.
  • 21. Une attaque MITM est une forme d'attaque active dans laquelle l'attaquant intercepte et modifie de manière sélective les données interceptées afin de se faire passer pour une partie légitime impliqué dans la communication client et serveur. Basé sur les services et l'activité prévus perspectives, plusieurs applications Web compatibles SSL / TLS n'emploient pas de client authentification comme une exigence, à la place les applications Web activent SSL / TLS dans mode d'authentification du serveur Main in the middle va donc intercepté et modifié les échanges de clé entre le client et le serveur du coup lorsque le client envoie un message a serveur Il va l'envoyer en chiffrent avec la clé publique supposée appartenir a le serveur en fait MITM va intercepter le message il va le déchiffrer avec sa clé privé et lire le message ensuite pour pallier le il va chiffré le message avec la clé publique de serveur et envoyer le message comme ca le serveur peut déchiffré avec sa clé prive pour lire les message MITM est donc capable de lire les conversation entre les 2 et de récupéré information importante
  • 22. Nous discutons des solutions existantes pour contrer les attaques MITM sur SSL / TLS enabled applications. Comme la plupart des solutions considèrent l'authentification client comme facteur important, nous discutons de l'espace de solution pour le mot de passe, l'utilisateur graphique interface et des approches basées sur des jetons pour l'authentification des utilisateurs. Nous présentons ensuite un solution efficace utilisant l'authentification client basée sur un jeton logiciel qui peut résister à SSL / Application compatible TLS contre les attaques MITM. Nous analysons la solution proposée pour sa fonction de sécurité en plus de la sécurité du protocole SSL / TLS, et fournir son efficacité par rapport à d’autres approches.
  • 23. Les entités participantes de notre protocole sont les suivantes: - Utilisateur / client, qui souhaite accéder aux applications compatibles SSL / TLS. - Serveur qui héberge l'application compatible SSL / TLS. Avant d'accéder à l'application, l'utilisateur / client doit s'inscrire auprès du serveur en toute sécurité. Une fois l'inscription réussie, l'utilisateur partage son identité (UID), son mot de passe (PWD) et un code de motif (PC) avec le serveur. Le code du modèle est un mesure de sécurité qui s'ajoute à notre solution proposée. Le code de modèle est un forme ou une séquence d'éléments de matrice A (i, j) d'une matrice de motifs (Kumar et Raghavan, 2008). Chaque cellule de la matrice de motifs est une image qui représente un personnage. Pendant le processus d'inscription, l'utilisateur reçoit un message généré de manière aléatoire matrice de motifs et invité à choisir une séquence de positions en tapant les caractères présents dans la matrice de motif, qui devient alors le motif de l’utilisateur code, PC
  • 24. La figure suivant montre le PC de l'utilisateur, qui est capturé dans la région ombrée (nous notons que la séquence du PC de l'utilisateur est remplacée par les numéros 1 à 7 dans le région ombrée), c'est-à-dire que PC sur la figure B {# (S7 &. Le protocole fonctionne comme suit. Lorsque l'utilisateur / client souhaite accéder au serveur, le client et le serveur établissent une clé de session SSL / TLS K utilisant le protocole de prise de contact SSL / TLS. Après cela, le serveur génère un soft-token contenant le PC, l'UID et un code d'authentification, AC, où AC = MAC (PC; h (tous les messages SSL / TLS précédents)) et MAC (.) Est un code d'authentification de message. Le jeton logiciel fournit à l'utilisateur le caractère visuel retour par caractère du PC une fois que l'utilisateur entre en courant alternatif. Le navigateur va également avoir un petit écran où la valeur de hachage compressée de tous les SSL / TLS précédents les messages seront affichés. Cette zone peut être personnalisée par l'utilisateur, ainsi éviter toute attaque par usurpation visuelle. L'utilisateur génère AC en utilisant la valeur de hachage affiché sur le navigateur et son code de motif PC. Ensuite, l'utilisateur soumet l'UID et AC au serveur. Après avoir reçu le courant alternatif, le serveur calcule également le courant alternatif à l'aide du valeur de hachage et PC correspondant à l'UID. Si le CA calculé est le même que le reçu AC puis le client est authentifié par le serveur. L'utilisateur peut arrêter la saisie à AC si il / elle ne voit pas le code de motif correspondant au motif choisi au moment de l'inscription. Le processus d'entrée sur AC et d'affichage du PC est montré sur la Fig. 3. Chaque caractère d'AC est couplé à la session SSL / TLS afin que l'adversaire ne peut pas utiliser le même message dans un autre SSL / TLS session. Le protocole est donné ci-dessous: Figure.
  • 25. Nous avons discuté de la menace MITM pour les applications Web compatibles SSL / TLS. Nous avons examiné les approches existantes pour l'authentification des utilisateurs et proposé un authentification utilisateur basée sur un jeton logiciel. En activant la solution proposée en SSL / Application Web compatible TLS, les attaques MITM peuvent être évitées. La proposition la solution nécessite un affichage de confiance (contrôlé par le serveur légitime) sur le navigateur pour rendre la valeur compressée du hachage des messages de négociation SSL / TLS. La solution proposée est efficace en termes de calcul et fournit des sécurité en plus de la force de sécurité du protocole SSL / TLS.

Notes de l'éditeur

  1. un certitfica est un fichier avec un ensemble de donner conteneant une clé publique au minimum des information pouvant identifier la personne comme son nom son image sa localisation et des information liées aux certicats notament sa date de validité et une signature electronique d'une autorité
  2. la signature electroniqye est la preuve que le certificat a bien été de verifier par l'autorité de certification et donc garant de son intégrité c'est a dire la preuve que le document n"a pas subi d'alteration entre l'instant ou il a été signée par son auteur et celui ou il a été consulté
  3. une autorité de certification est l'institution responsable d'emettre ces certificats son role est de garantir que les information contenues dans les certificat