SlideShare une entreprise Scribd logo

SSL.TLS.pptx

Télécharger en tant que PPTX, PDF
K
kohay75604

ssl

Technologie
1  sur  19
Application SSL/TLS MINI-PROJET Année Universitaire: 2020/2021 Elaboré Par : Loussaief Sabrine et Louati Omaima
Plan 2 1 2 3 4 Introduction General SSL/TLS Protocol Problematique Solution propose 5 Les Attaques MITM Dans SSL / TLS Conclusion 6
Introduction General 3
En fait le https c'est une connexion http dans un tunnel chiffré SSL/TLS ce tunnel va sécuriser vos échange car même si une personne malveillante intercepte vos échange les informations sont chiffrées. c'est simple toutes les informations échangées transiteraient en clair ce qui veut dire qu'une personne malveillante peut intercepter les échange entre vous et votre serveur Il existe des situations où il existe une exigence de sécurité pour assurer la confidentialité ou l'intégrité du trafic réseau, ce qui est généralement réalisé à l'aide de mesures cryptographiques Donc lorsque vous vous connectez sur un serveur la connexion se fait toujours en HTTPS pour des raisons de sécurité  Que se passerait si la communication se faisait en http? 4
SSL/TLS Protocol 5
Secure Socket Layer / Transport Layer Security (SSL / TLS) est généralement intégré à l'application pour protéger les données envoyées via HTTP entre les clients et les serveurs, également appelé HTTP sur TLS (HTTPS). 01 Le protocole SSL / TLS est composé par sous- protocole Handshake permet au client d'authentifier le serveur communicant en utilisant le certificat de clé publique du serveur. 02 Aujourd'hui c'était qui est utilisé ssl étant obsolète mais on parle encore parfois de SSL/TLS pour parler juste de TLS le chiffrement consiste a transformer vos données afin de les rendre illisibles grâce a un algorithme de chiffrement et de clé la clé de chiffrement est utilisé par l'algorithme pour chiffré et déchiffré des données. 03 6 Il offre un certain nombre de services de sécurité tels que la confidentialité des données transmise ou l'authentification des interlocuteurs a l'aide de certificats électronique. 04
6 01 02 03 04 05 06 le serveur répond au client avec un "message terminé qui est crypté avec la clé secrète indiquant que la partie serveur de la négociation est terminée le client envoie un message terminé qui est chiffré avec la clé secrète indiquant que la partie client de la négociation est terminée échange de clé client, le client envoie une clé secrète partagée à utiliser dans la conversation suivante la clé secrète est chiffrée avec la clé publique du serveur le client envoie un message « clienthello » qui contaient des informations telles que la version SSL / TLS les algorithmes cryptographiques etc. le serveur répond par un message "serverhello » qui contient les algorithmes cryptographiques et son certificat numérique et sa clé publique le client contactera l'autorité de certification du serveur et vérifie le certificat numérique du serveur confirmant ainsi l'authenticité du serveur Web Handshake Protocol
Pour pouvoir lire les données entre le client et le serveur il est nécessaire de connaitre l'algorithme et la clé de chiffrement pour les déchiffrer que se soit cryptographie symétrique ou cryptographie asymétrique chiffrement symétrique quand il utilise la même clé pour chiffrer et déchiffrer. chiffrement asymétrique quand il utilise des clés différentes : une paire composée d'une clé publique, servant au chiffrement, et d'une clé privée, servant à déchiffrer. 01 02 03 8
Problematique 9
En particulier lorsque des utilisateurs naïfs souhaitent se connecter à un serveur Web compatible SSL / TLS. Donc c'est quoi l'attaque « l'homme au milieu » dans SSL/TLS? Ces derniers temps, une menace potentielle, connue sous le nom de main-in-the-middle (MITM) A été exploitée par des attaquants d'applications Web compatibles SSL / TLS, Notamment si personne malveillantes se positionne entre le client et le serveur se fait passer pour l'un d'eux et donne a clé publique a la place Le problème va venir de la transmission de la clé publique dans la cryptographie asymétrique 10
Les Attaques MITM Dans SSL / TLS 11
Ensuite pour pallier l'il va chiffrer le message avec la clé publique de serveur et envoyer le message comme ça le serveur peut déchiffrer avec sa clé prive pour lire les messages MITM est donc capable de lire les conversations entre les deux et de récupérer information importante. Main in the middle va donc intercepter et modifier les échanges de clés entre le client et le serveur du coup lorsque le client envoie un message à serveur Il va l'envoyer en chiffrent avec la clé publique supposée appartenir au serveur en fait MITM va intercepter le message il va le déchiffrer avec sa clé privée et lire le message. Basé sur les services et l'activité prévues perspectives, plusieurs applications Web compatibles SSL / TLS n'emploient pas de client authentification comme une exigence, à la place les applications Web activent SSL / TLS dans mode d'authentification du serveur. Une attaque MITM est une forme d'attaque active dans laquelle l'attaquant intercepte et modifie de manière sélective les données interceptées afin de se faire passer pour une partie légitime impliquée dans la communication client et serveur. L’homme au milieu 11
Solution proposé 13
Nous analysons la solution proposée pour sa fonction de sécurité en plus de la sécurité du protocole SSL / TLS, et fournir son efficacité par rapport à d’autres approches. Nous présentons ensuite une solution efficace utilisant l'authentification cliente basée sur un jeton logiciel qui peut résister à SSL / Application compatible TLS contre les attaques MITM. Nous discutons de l'espace de solution pour le mot de passe, l'utilisateur graphique interface et des approches basées sur des jetons pour l'authentification des utilisateurs. Nous discutons des solutions existant pour contrer les attaques MITM sur SSL / TLS. Comme la plupart des solutions considèrent l'authentification client comme facteur important 12
13 Les entités participantes de notre protocole sont les suivantes: - utilisateur / client, qui souhaite accéder aux applications compatibles SSL / TLS. - Serveur qui héberge l'application compatible SSL / TLS. Avant d'accéder à l'application, l'utilisateur / client doit s'inscrire auprès du serveur en toute sécurité. Une fois l'inscription réussie, l'utilisateur partage son identité (UID), son mot de passe (PWD) et un code de motif (PC) avec le serveur. Le code du modèle est un mesure de sécurité qui s'ajoute à notre solution proposée. Il est un forme ou une séquence d'éléments de matrice A (i, j) (Kumar et Raghavan, 2008). 01 02 03 Chaque cellule de la matrice de motifs est une image qui représente un personnage. Pendant le processus d'inscription, l'utilisateur reçoit un message généré de manière aléatoire matrice de motifs et invité à choisir une séquence de positions en tapant les caractères présents dans la matrice de motif, qui devient alors le motif de l’utilisateur code, PC 04
Fonctionnement  La figure suivante montre que le PC de l'utilisateur, qui est capturé dans la région ombrée (nous notons que la séquence du PC de l'utilisateur est remplacée par les numéros 1 à 7 dans la région ombrée).  c'est-à-dire que PC sur la figure B {# (S7 &. Le protocole fonctionne comme suit. Lorsque l'utilisateur / client souhaite accéder au serveur.  le client et le serveur établissent une clé de session SSL / TLS (K) utilisant le protocole de prise de contact SSL / TLS.  Après cela, le serveur génère un soft-token contenant le PC, l'UID et un code d'authentification, (AC) Est un code d'authentification de message.  Le jeton logiciel fournit à l'utilisateur le caractère visuel retour par caractère du PC  Une fois que l'utilisateur entre en courant alternatif. Le navigateur va également avoir un petit écran où la valeur de hachage compressée de tous les SSL / TLS précédents les messages seront affichés.
Fonctionnement  Cette zone peut être personnalisée par l'utilisateur, ainsi éviter toute attaque par usurpation visuelle. L'utilisateur génère AC en utilisant la valeur de hachage affiché sur le navigateur et son code de motif PC.  Ensuite, l'utilisateur soumet l'UID et AC au serveur. Après avoir reçu le courant alternatif, le serveur calcule également le courant alternatif à l'aide du valeur de hachage et PC correspondant à l'UID.  Si le CA calculé est le même que le reçu AC puis le client est authentifié par le serveur. L'utilisateur peut arrêter la saisie à AC.  S’il ne voit pas le code de motif correspondant au motif choisi au moment de l'inscription. Le processus d'entrée sur AC et d'affichage du PC est montré sur la Figure suivante.  Chaque caractère d'AC est couplé à la session SSL / TLS afin que l'adversaire ne peut pas utiliser le même message dans un autre SSL / TLS session.
Conclusion Nous avons discuté de la menace MITM pour les applications Web compatibles SSL / TLS. Nous avons examiné les approches existant pour l'authentification des utilisateurs et proposé une authentification utilisatrice basée sur un jeton logiciel. 13 En activant la solution proposée en SSL / Application Web compatible TLS, les attaques MITM peuvent être évitées. La proposition la solution nécessite un affichage de confiance (contrôlé par le serveur légitime) sur le navigateur pour rendre la valeur compressée du hachage des messages de négociation SSL / TLS. La solution proposée est efficace en matière de calcul et fournit des sécurités en plus de la force de sécurité du protocole SSL / TLS.
Merci Pour Votre Attentions

Recommandé

application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tlsFranck TOUNGA
 
SSL/TSL Protocols
SSL/TSL ProtocolsSSL/TSL Protocols
SSL/TSL ProtocolsHaifa Ftirich
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
la sécurité dans la commerce electronique
la sécurité dans la commerce electroniquela sécurité dans la commerce electronique
la sécurité dans la commerce electroniqueMouna Slama
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLSThomas Moegli
 

Recommandé

application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tlsFranck TOUNGA
 
SSL/TSL Protocols
SSL/TSL ProtocolsSSL/TSL Protocols
SSL/TSL ProtocolsHaifa Ftirich
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
la sécurité dans la commerce electronique
la sécurité dans la commerce electroniquela sécurité dans la commerce electronique
la sécurité dans la commerce electroniqueMouna Slama
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLSThomas Moegli
 
Cours si1
Cours si1Cours si1
Cours si1Hafsa Elfassi
 
Tp rsa1
Tp rsa1Tp rsa1
Tp rsa1ZIZI Yahia
 
radius
radiusradius
radiusmohamed hadrich
 
Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Luxembourg Institute of Science and Technology
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Https,ssl,ssh
Https,ssl,sshHttps,ssl,ssh
Https,ssl,sshMoncef Essid
 
SSL strip
SSL stripSSL strip
SSL stripSeifallah Jardak
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptxInstitut Supérieur des Etudes Technologiques de Nabeul
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Les socket ing1_issat
Les socket ing1_issatLes socket ing1_issat
Les socket ing1_issatsloumaallagui
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4Raouf Jaziri
 
Formation1 sockets
Formation1 socketsFormation1 sockets
Formation1 socketsMariem SOMRANI
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Ch3_Couche application.pptx
Ch3_Couche application.pptxCh3_Couche application.pptx
Ch3_Couche application.pptxOthmaneMansouri1
 
Chp5 - Sécurité des Services
Chp5 - Sécurité des ServicesChp5 - Sécurité des Services
Chp5 - Sécurité des ServicesLilia Sfaxi
 
Protocole Diameter
Protocole DiameterProtocole Diameter
Protocole DiameterEmeric Kamleu Noumi
 
Rapport application chat
Rapport application chatRapport application chat
Rapport application chatTbatou sanae
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssldihiaselma
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdfStyvePola1
 
crypto1.pdf
crypto1.pdfcrypto1.pdf
crypto1.pdfkohay75604
 
Chapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfChapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfkohay75604
 

Contenu connexe

Similaire à SSL.TLS.pptx

Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Les socket ing1_issat
Les socket ing1_issatLes socket ing1_issat
Les socket ing1_issatsloumaallagui
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Ch3_Couche application.pptx
Ch3_Couche application.pptxCh3_Couche application.pptx
Ch3_Couche application.pptxOthmaneMansouri1
 
Chp5 - Sécurité des Services
Chp5 - Sécurité des ServicesChp5 - Sécurité des Services
Chp5 - Sécurité des ServicesLilia Sfaxi
 
Rapport application chat
Rapport application chatRapport application chat
Rapport application chatTbatou sanae
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssldihiaselma
 

Similaire à SSL.TLS.pptx (20)

Cours si1
Cours si1Cours si1
Cours si1
 
Tp rsa1
Tp rsa1Tp rsa1
Tp rsa1
 
radius
radiusradius
radius
 
Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Https,ssl,ssh
Https,ssl,sshHttps,ssl,ssh
Https,ssl,ssh
 
SSL strip
SSL stripSSL strip
SSL strip
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptx
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Les socket ing1_issat
Les socket ing1_issatLes socket ing1_issat
Les socket ing1_issat
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4
 
Formation1 sockets
Formation1 socketsFormation1 sockets
Formation1 sockets
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
 
Ch3_Couche application.pptx
Ch3_Couche application.pptxCh3_Couche application.pptx
Ch3_Couche application.pptx
 
Chp5 - Sécurité des Services
Chp5 - Sécurité des ServicesChp5 - Sécurité des Services
Chp5 - Sécurité des Services
 
Protocole Diameter
Protocole DiameterProtocole Diameter
Protocole Diameter
 
Rapport application chat
Rapport application chatRapport application chat
Rapport application chat
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdf
 

Plus de kohay75604

Chapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfChapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfkohay75604
 
catalogue PFE 2023.pdf
catalogue PFE 2023.pdfcatalogue PFE 2023.pdf
catalogue PFE 2023.pdfkohay75604
 
Chap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdfChap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdfkohay75604
 
Chap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdfChap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdfkohay75604
 
res_mobiles_ch4.pdf
res_mobiles_ch4.pdfres_mobiles_ch4.pdf
res_mobiles_ch4.pdfkohay75604
 
Inf_theory_lect2.pdf
Inf_theory_lect2.pdfInf_theory_lect2.pdf
Inf_theory_lect2.pdfkohay75604
 
Inf_theory_lect3.pdf
Inf_theory_lect3.pdfInf_theory_lect3.pdf
Inf_theory_lect3.pdfkohay75604
 
Inf_theory_lect4.pdf
Inf_theory_lect4.pdfInf_theory_lect4.pdf
Inf_theory_lect4.pdfkohay75604
 
Business Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptxBusiness Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptxkohay75604
 
S2-00-HTTP.pptx
S2-00-HTTP.pptxS2-00-HTTP.pptx
S2-00-HTTP.pptxkohay75604
 
S2-02-PHP-objet.pptx
S2-02-PHP-objet.pptxS2-02-PHP-objet.pptx
S2-02-PHP-objet.pptxkohay75604
 
S2-01-PHP.pptx
S2-01-PHP.pptxS2-01-PHP.pptx
S2-01-PHP.pptxkohay75604
 

Plus de kohay75604 (16)

crypto1.pdf
crypto1.pdfcrypto1.pdf
crypto1.pdf
 
Chapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdfChapitre1_Introduction_res_sans_fils_mobiles.pdf
Chapitre1_Introduction_res_sans_fils_mobiles.pdf
 
catalogue PFE 2023.pdf
catalogue PFE 2023.pdfcatalogue PFE 2023.pdf
catalogue PFE 2023.pdf
 
Chap 3.pdf
Chap 3.pdfChap 3.pdf
Chap 3.pdf
 
Chap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdfChap 2 - Etudiant.pdf
Chap 2 - Etudiant.pdf
 
Chap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdfChap 1 - Etudiant.pdf
Chap 1 - Etudiant.pdf
 
res_mobiles_ch4.pdf
res_mobiles_ch4.pdfres_mobiles_ch4.pdf
res_mobiles_ch4.pdf
 
docker.pptx
docker.pptxdocker.pptx
docker.pptx
 
Inf_theory_lect2.pdf
Inf_theory_lect2.pdfInf_theory_lect2.pdf
Inf_theory_lect2.pdf
 
Inf_theory_lect3.pdf
Inf_theory_lect3.pdfInf_theory_lect3.pdf
Inf_theory_lect3.pdf
 
Inf_theory_lect4.pdf
Inf_theory_lect4.pdfInf_theory_lect4.pdf
Inf_theory_lect4.pdf
 
NFV.pdf
NFV.pdfNFV.pdf
NFV.pdf
 
Business Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptxBusiness Template with Transitions by Slidesgo.pptx
Business Template with Transitions by Slidesgo.pptx
 
S2-00-HTTP.pptx
S2-00-HTTP.pptxS2-00-HTTP.pptx
S2-00-HTTP.pptx
 
S2-02-PHP-objet.pptx
S2-02-PHP-objet.pptxS2-02-PHP-objet.pptx
S2-02-PHP-objet.pptx
 
S2-01-PHP.pptx
S2-01-PHP.pptxS2-01-PHP.pptx
S2-01-PHP.pptx
 

SSL.TLS.pptx

  • 2. Plan 2 1 2 3 4 Introduction General SSL/TLS Protocol Problematique Solution propose 5 Les Attaques MITM Dans SSL / TLS Conclusion 6
  • 4. En fait le https c'est une connexion http dans un tunnel chiffré SSL/TLS ce tunnel va sécuriser vos échange car même si une personne malveillante intercepte vos échange les informations sont chiffrées. c'est simple toutes les informations échangées transiteraient en clair ce qui veut dire qu'une personne malveillante peut intercepter les échange entre vous et votre serveur Il existe des situations où il existe une exigence de sécurité pour assurer la confidentialité ou l'intégrité du trafic réseau, ce qui est généralement réalisé à l'aide de mesures cryptographiques Donc lorsque vous vous connectez sur un serveur la connexion se fait toujours en HTTPS pour des raisons de sécurité  Que se passerait si la communication se faisait en http? 4
  • 6. Secure Socket Layer / Transport Layer Security (SSL / TLS) est généralement intégré à l'application pour protéger les données envoyées via HTTP entre les clients et les serveurs, également appelé HTTP sur TLS (HTTPS). 01 Le protocole SSL / TLS est composé par sous- protocole Handshake permet au client d'authentifier le serveur communicant en utilisant le certificat de clé publique du serveur. 02 Aujourd'hui c'était qui est utilisé ssl étant obsolète mais on parle encore parfois de SSL/TLS pour parler juste de TLS le chiffrement consiste a transformer vos données afin de les rendre illisibles grâce a un algorithme de chiffrement et de clé la clé de chiffrement est utilisé par l'algorithme pour chiffré et déchiffré des données. 03 6 Il offre un certain nombre de services de sécurité tels que la confidentialité des données transmise ou l'authentification des interlocuteurs a l'aide de certificats électronique. 04
  • 7. 6 01 02 03 04 05 06 le serveur répond au client avec un "message terminé qui est crypté avec la clé secrète indiquant que la partie serveur de la négociation est terminée le client envoie un message terminé qui est chiffré avec la clé secrète indiquant que la partie client de la négociation est terminée échange de clé client, le client envoie une clé secrète partagée à utiliser dans la conversation suivante la clé secrète est chiffrée avec la clé publique du serveur le client envoie un message « clienthello » qui contaient des informations telles que la version SSL / TLS les algorithmes cryptographiques etc. le serveur répond par un message "serverhello » qui contient les algorithmes cryptographiques et son certificat numérique et sa clé publique le client contactera l'autorité de certification du serveur et vérifie le certificat numérique du serveur confirmant ainsi l'authenticité du serveur Web Handshake Protocol
  • 8. Pour pouvoir lire les données entre le client et le serveur il est nécessaire de connaitre l'algorithme et la clé de chiffrement pour les déchiffrer que se soit cryptographie symétrique ou cryptographie asymétrique chiffrement symétrique quand il utilise la même clé pour chiffrer et déchiffrer. chiffrement asymétrique quand il utilise des clés différentes : une paire composée d'une clé publique, servant au chiffrement, et d'une clé privée, servant à déchiffrer. 01 02 03 8
  • 10. En particulier lorsque des utilisateurs naïfs souhaitent se connecter à un serveur Web compatible SSL / TLS. Donc c'est quoi l'attaque « l'homme au milieu » dans SSL/TLS? Ces derniers temps, une menace potentielle, connue sous le nom de main-in-the-middle (MITM) A été exploitée par des attaquants d'applications Web compatibles SSL / TLS, Notamment si personne malveillantes se positionne entre le client et le serveur se fait passer pour l'un d'eux et donne a clé publique a la place Le problème va venir de la transmission de la clé publique dans la cryptographie asymétrique 10
  • 12. Ensuite pour pallier l'il va chiffrer le message avec la clé publique de serveur et envoyer le message comme ça le serveur peut déchiffrer avec sa clé prive pour lire les messages MITM est donc capable de lire les conversations entre les deux et de récupérer information importante. Main in the middle va donc intercepter et modifier les échanges de clés entre le client et le serveur du coup lorsque le client envoie un message à serveur Il va l'envoyer en chiffrent avec la clé publique supposée appartenir au serveur en fait MITM va intercepter le message il va le déchiffrer avec sa clé privée et lire le message. Basé sur les services et l'activité prévues perspectives, plusieurs applications Web compatibles SSL / TLS n'emploient pas de client authentification comme une exigence, à la place les applications Web activent SSL / TLS dans mode d'authentification du serveur. Une attaque MITM est une forme d'attaque active dans laquelle l'attaquant intercepte et modifie de manière sélective les données interceptées afin de se faire passer pour une partie légitime impliquée dans la communication client et serveur. L’homme au milieu 11
  • 14. Nous analysons la solution proposée pour sa fonction de sécurité en plus de la sécurité du protocole SSL / TLS, et fournir son efficacité par rapport à d’autres approches. Nous présentons ensuite une solution efficace utilisant l'authentification cliente basée sur un jeton logiciel qui peut résister à SSL / Application compatible TLS contre les attaques MITM. Nous discutons de l'espace de solution pour le mot de passe, l'utilisateur graphique interface et des approches basées sur des jetons pour l'authentification des utilisateurs. Nous discutons des solutions existant pour contrer les attaques MITM sur SSL / TLS. Comme la plupart des solutions considèrent l'authentification client comme facteur important 12
  • 15. 13 Les entités participantes de notre protocole sont les suivantes: - utilisateur / client, qui souhaite accéder aux applications compatibles SSL / TLS. - Serveur qui héberge l'application compatible SSL / TLS. Avant d'accéder à l'application, l'utilisateur / client doit s'inscrire auprès du serveur en toute sécurité. Une fois l'inscription réussie, l'utilisateur partage son identité (UID), son mot de passe (PWD) et un code de motif (PC) avec le serveur. Le code du modèle est un mesure de sécurité qui s'ajoute à notre solution proposée. Il est un forme ou une séquence d'éléments de matrice A (i, j) (Kumar et Raghavan, 2008). 01 02 03 Chaque cellule de la matrice de motifs est une image qui représente un personnage. Pendant le processus d'inscription, l'utilisateur reçoit un message généré de manière aléatoire matrice de motifs et invité à choisir une séquence de positions en tapant les caractères présents dans la matrice de motif, qui devient alors le motif de l’utilisateur code, PC 04
  • 16. Fonctionnement  La figure suivante montre que le PC de l'utilisateur, qui est capturé dans la région ombrée (nous notons que la séquence du PC de l'utilisateur est remplacée par les numéros 1 à 7 dans la région ombrée).  c'est-à-dire que PC sur la figure B {# (S7 &. Le protocole fonctionne comme suit. Lorsque l'utilisateur / client souhaite accéder au serveur.  le client et le serveur établissent une clé de session SSL / TLS (K) utilisant le protocole de prise de contact SSL / TLS.  Après cela, le serveur génère un soft-token contenant le PC, l'UID et un code d'authentification, (AC) Est un code d'authentification de message.  Le jeton logiciel fournit à l'utilisateur le caractère visuel retour par caractère du PC  Une fois que l'utilisateur entre en courant alternatif. Le navigateur va également avoir un petit écran où la valeur de hachage compressée de tous les SSL / TLS précédents les messages seront affichés.
  • 17. Fonctionnement  Cette zone peut être personnalisée par l'utilisateur, ainsi éviter toute attaque par usurpation visuelle. L'utilisateur génère AC en utilisant la valeur de hachage affiché sur le navigateur et son code de motif PC.  Ensuite, l'utilisateur soumet l'UID et AC au serveur. Après avoir reçu le courant alternatif, le serveur calcule également le courant alternatif à l'aide du valeur de hachage et PC correspondant à l'UID.  Si le CA calculé est le même que le reçu AC puis le client est authentifié par le serveur. L'utilisateur peut arrêter la saisie à AC.  S’il ne voit pas le code de motif correspondant au motif choisi au moment de l'inscription. Le processus d'entrée sur AC et d'affichage du PC est montré sur la Figure suivante.  Chaque caractère d'AC est couplé à la session SSL / TLS afin que l'adversaire ne peut pas utiliser le même message dans un autre SSL / TLS session.
  • 18. Conclusion Nous avons discuté de la menace MITM pour les applications Web compatibles SSL / TLS. Nous avons examiné les approches existant pour l'authentification des utilisateurs et proposé une authentification utilisatrice basée sur un jeton logiciel. 13 En activant la solution proposée en SSL / Application Web compatible TLS, les attaques MITM peuvent être évitées. La proposition la solution nécessite un affichage de confiance (contrôlé par le serveur légitime) sur le navigateur pour rendre la valeur compressée du hachage des messages de négociation SSL / TLS. La solution proposée est efficace en matière de calcul et fournit des sécurités en plus de la force de sécurité du protocole SSL / TLS.
  • 19. Merci Pour Votre Attentions

Notes de l'éditeur

  1. Image source:- https://pixabay.com/en/technology-industry-big-data-cpu-3092486/
  2. Image source:- https://pixabay.com/en/computer-keyboard-apple-laptop-2563737/
  3. Image source:- https://pixabay.com/en/computer-keyboard-apple-laptop-2563737/
  4. un certitfica est un fichier avec un ensemble de donner conteneant une clé publique au minimum des information pouvant identifier la personne comme son nom son image sa localisation et des information liées aux certicats notament sa date de validité et une signature electronique d'une autorité la signature electroniqye est la preuve que le certificat a bien été de verifier par l'autorité de certification et donc garant de son intégrité c'est a dire la preuve que le document n"a pas subi d'alteration entre l'instant ou il a été signée par son auteur et celui ou il a été consulté
  5. Image source:- https://pixabay.com/en/computer-keyboard-apple-laptop-2563737/
  6. Image source:- https://pixabay.com/en/computer-keyboard-apple-laptop-2563737/
  7. Image source:- https://pixabay.com/en/computer-keyboard-apple-laptop-2563737/