Université 7 Novembre de CarthageFaculté des Sciences de BizerteDépartement d’Informatique2009/2010HTTPS SSL SSHSujet proposé par : Mr. Ali GHORBELElaboré par :BACHER MEJRIMONCEF ESSIDI4 NTSS
PlanIntroductionSSL (Secure Socket Layer)Etapes de Communication du SSLFonctionnement du SSLLes Utilisations de SSLHTTPS (HyperText Transfer Protocol Secure)SSH (Secure Shell)Conclusion2
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionIntroductionLa sécurité informatique est de nos jours devenue un problème majeur dans   la gestion des réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet.La transmission d’informations sensibles et le désir d’assurer la confidentialité de celles-ci est devenu un point primordiale dans la mise en place de réseaux informatiques, d'où la naissance du Protocol SSL.3
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionSSL (Secure Socket Layer)C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 choses: • Confidentialité: Il est impossible d'espionner les informations échangées.  • Intégrité: Il est impossible de truquer les informations échangées.  • Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec laquelle on communique. SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP.SSL a été créé et développé par la société Netscape et RSA Security. On trouve désormais des versions open source ainsi qu'un protocole libre similaire: TLS4
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionEtapes de Communication du SSLSSL consiste en 2 protocoles:• SSL Handshake Protocol: avant de communiquer, les 2 programmes SSL négocient des clés et des protocoles de chiffrement communs. • SSL Record Protocol: Une fois négociés, ils chiffrent toutes les informations échangées et effectuent divers contrôles. 5
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionFonctionnement du SSLSSL utilise:• Un système de chiffrement asymétrique (comme RSA ou Diffie-Hellman). • Un système de chiffrement symétrique (DES, 3DES, IDEA, RC4...) en utilisant les clés de session pour chiffrer les données. • Un système de signature cryptographique des messages (HMAC, utilisant MD5, SHA...) pour s'assurer que les messages ne sont pas corrompus. 6
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionRôle des CertificatsLors d'une négociation SSL, il faut s'assurer de l'identité de la personne avec qui on communique. Comment être sûr que le serveur auquel on parle est bien celui qu'il prétend être ?C'est là qu'interviennent les certificats. Au moment de connexion sur un serveur web sécurisé, ce dernier nous enverra un certificat contenant le nom de l'entreprise, son adresse, etc. C'est une sorte de pièce d'identité.7
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionAuthentification des CertificatsCe sont les PKI (Public Key Infrastructure), des sociétés externes (auxquelles on a fait implicitement confiance), qui vont vérifier l'authenticité du certificat.(La liste de ces PKI est incluse dans notre navigateur. Il y a généralement VeriSign, Thawte, etc.)Ces PKI signent cryptographiquement les certificats des entreprises (et ils se font payer pour ça).8
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (HTTPS)SSL peut être utilisé pour sécuriser pratiquement n'importe quel protocole utilisant TCP/IP.Certains protocoles ont été spécialement modifiés pour supporter SSL:• HTTPS: c'est HTTP+SSL : Le protocole HTTP (HyperText Transfer Protocol) est le protocole le plus utilisé sur Internet depuis 1990, La version 1.0 du protocole (la plus utilisée) permet désormais de transférer des messages avec des en-têtes décrivant le contenu du message en utilisant un codage de type MIME. Le but du protocole HTTP est de permettre un transfert de fichiers (essentiellement au format HTML) localisés grâce à une chaîne de caractères appelée URL entre un navigateur (le client) et un serveur Web. Le protocole HTTPS c'est une version sûre du protocole HTTP qui met en œuvre un canal de communication sûr et basé en SSL entre le navigateur du client et l’employé HTTP.9
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (HTTPS)1. Négociations: Client HELLO2. Négociations: Serveur HELLO4. Le Client vérifie le certificat3. Négociations: le Serveur envoie son certificat au Client5.Échange de clés, spécifications de chiffrement et message chiffré vers le Serveur6.Échange de clés, spécifications de chiffrement et message chiffré vers le Client7. Application Data: la connexion chiffrée est établie.10
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (SSH)•  SSH (Secure Shell): c'est une sorte de telnet sécurisé. Cela permet de se connecter à un ordinateur distant de façon sûre et d'avoir une ligne de commande. SSH possède des extensions pour sécuriser d'autres protocoles (FTP, POP3 ou même X Windows). Il est possible de sécuriser des protocoles en créant des tunnels SSL. Une fois le tunnel créé, vous pouvez faire passer n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...). Toutes les données échangées sont automatiquement chiffrées. on peut faire cela avec des outils comme STunnel ou SSH.11
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (SSH)Voici un exemple avec le protocole POP3:Avec le protocole POP3  utiliser pour lire le courrier, les mots de passe et les messages transitent en clair sur Internet. Il est possible de voler les mots de passe et les messagesAvec le tunnel SSL, et sans rien changer aux logiciels client et serveur, on peut sécuriser la récupération des emails: personne ne peut voler les mots de passe ou les emails puisque tout ce qui passe à travers le tunnel SSL est chiffré.Mais cela nécessite d'installer SSH sur le client et sur le serveur.SSH permet ainsi de sécuriser la majorité des protocoles basé sur TCP/IP sans modifier les logiciels. Il est très facile à installer.12
SSLUtilisation de SSLConclusionCommunication du SSLFonctionnement du SSLIntroductionConclusionLe cadenas en bas de page Web, indique que les communications entre            le navigateur et le site web sont sûres: personne ne peut les espionner, et personne ne peut trafiquer les communications. le HTTPS, c'est un peu comme un fourgon blindé: Il vous assure que la  sécurité du transport.Alors, soyez vigilants, et ne confiez pas n'importe quelle information sur n'importe quel site, sécurisé ou pas.13
14Merci pour votre attention

Https,ssl,ssh

  • 1.
    Université 7 Novembrede CarthageFaculté des Sciences de BizerteDépartement d’Informatique2009/2010HTTPS SSL SSHSujet proposé par : Mr. Ali GHORBELElaboré par :BACHER MEJRIMONCEF ESSIDI4 NTSS
  • 2.
    PlanIntroductionSSL (Secure SocketLayer)Etapes de Communication du SSLFonctionnement du SSLLes Utilisations de SSLHTTPS (HyperText Transfer Protocol Secure)SSH (Secure Shell)Conclusion2
  • 3.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionIntroductionLa sécurité informatique est de nos jours devenue un problème majeur dans la gestion des réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet.La transmission d’informations sensibles et le désir d’assurer la confidentialité de celles-ci est devenu un point primordiale dans la mise en place de réseaux informatiques, d'où la naissance du Protocol SSL.3
  • 4.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionSSL (Secure Socket Layer)C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 choses: • Confidentialité: Il est impossible d'espionner les informations échangées. • Intégrité: Il est impossible de truquer les informations échangées. • Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec laquelle on communique. SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP.SSL a été créé et développé par la société Netscape et RSA Security. On trouve désormais des versions open source ainsi qu'un protocole libre similaire: TLS4
  • 5.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionEtapes de Communication du SSLSSL consiste en 2 protocoles:• SSL Handshake Protocol: avant de communiquer, les 2 programmes SSL négocient des clés et des protocoles de chiffrement communs. • SSL Record Protocol: Une fois négociés, ils chiffrent toutes les informations échangées et effectuent divers contrôles. 5
  • 6.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionFonctionnement du SSLSSL utilise:• Un système de chiffrement asymétrique (comme RSA ou Diffie-Hellman). • Un système de chiffrement symétrique (DES, 3DES, IDEA, RC4...) en utilisant les clés de session pour chiffrer les données. • Un système de signature cryptographique des messages (HMAC, utilisant MD5, SHA...) pour s'assurer que les messages ne sont pas corrompus. 6
  • 7.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionRôle des CertificatsLors d'une négociation SSL, il faut s'assurer de l'identité de la personne avec qui on communique. Comment être sûr que le serveur auquel on parle est bien celui qu'il prétend être ?C'est là qu'interviennent les certificats. Au moment de connexion sur un serveur web sécurisé, ce dernier nous enverra un certificat contenant le nom de l'entreprise, son adresse, etc. C'est une sorte de pièce d'identité.7
  • 8.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionAuthentification des CertificatsCe sont les PKI (Public Key Infrastructure), des sociétés externes (auxquelles on a fait implicitement confiance), qui vont vérifier l'authenticité du certificat.(La liste de ces PKI est incluse dans notre navigateur. Il y a généralement VeriSign, Thawte, etc.)Ces PKI signent cryptographiquement les certificats des entreprises (et ils se font payer pour ça).8
  • 9.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (HTTPS)SSL peut être utilisé pour sécuriser pratiquement n'importe quel protocole utilisant TCP/IP.Certains protocoles ont été spécialement modifiés pour supporter SSL:• HTTPS: c'est HTTP+SSL : Le protocole HTTP (HyperText Transfer Protocol) est le protocole le plus utilisé sur Internet depuis 1990, La version 1.0 du protocole (la plus utilisée) permet désormais de transférer des messages avec des en-têtes décrivant le contenu du message en utilisant un codage de type MIME. Le but du protocole HTTP est de permettre un transfert de fichiers (essentiellement au format HTML) localisés grâce à une chaîne de caractères appelée URL entre un navigateur (le client) et un serveur Web. Le protocole HTTPS c'est une version sûre du protocole HTTP qui met en œuvre un canal de communication sûr et basé en SSL entre le navigateur du client et l’employé HTTP.9
  • 10.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (HTTPS)1. Négociations: Client HELLO2. Négociations: Serveur HELLO4. Le Client vérifie le certificat3. Négociations: le Serveur envoie son certificat au Client5.Échange de clés, spécifications de chiffrement et message chiffré vers le Serveur6.Échange de clés, spécifications de chiffrement et message chiffré vers le Client7. Application Data: la connexion chiffrée est établie.10
  • 11.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (SSH)• SSH (Secure Shell): c'est une sorte de telnet sécurisé. Cela permet de se connecter à un ordinateur distant de façon sûre et d'avoir une ligne de commande. SSH possède des extensions pour sécuriser d'autres protocoles (FTP, POP3 ou même X Windows). Il est possible de sécuriser des protocoles en créant des tunnels SSL. Une fois le tunnel créé, vous pouvez faire passer n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...). Toutes les données échangées sont automatiquement chiffrées. on peut faire cela avec des outils comme STunnel ou SSH.11
  • 12.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionLes Utilisations de SSL (SSH)Voici un exemple avec le protocole POP3:Avec le protocole POP3 utiliser pour lire le courrier, les mots de passe et les messages transitent en clair sur Internet. Il est possible de voler les mots de passe et les messagesAvec le tunnel SSL, et sans rien changer aux logiciels client et serveur, on peut sécuriser la récupération des emails: personne ne peut voler les mots de passe ou les emails puisque tout ce qui passe à travers le tunnel SSL est chiffré.Mais cela nécessite d'installer SSH sur le client et sur le serveur.SSH permet ainsi de sécuriser la majorité des protocoles basé sur TCP/IP sans modifier les logiciels. Il est très facile à installer.12
  • 13.
    SSLUtilisation de SSLConclusionCommunicationdu SSLFonctionnement du SSLIntroductionConclusionLe cadenas en bas de page Web, indique que les communications entre le navigateur et le site web sont sûres: personne ne peut les espionner, et personne ne peut trafiquer les communications. le HTTPS, c'est un peu comme un fourgon blindé: Il vous assure que la sécurité du transport.Alors, soyez vigilants, et ne confiez pas n'importe quelle information sur n'importe quel site, sécurisé ou pas.13
  • 14.