Présenté par: Mme Lamia Chaffai Sghaier
Agence Nationale de Certification Electronique
« La Sécurité
des Transactions et des Echanges
Electroniques »
Séminaire « Journées d’Informatique Pratique JIP’2005 »
Département Informatique, ISET Rades 31 Mars, 1et 2 Avril 2005
Sommaire
• Introduction
• Sécurité sur Internet
• Crypto systèmes symétriques et asymétriques
• Certificat et signature numérique
• Autorité de Certification
• Quelques protocoles de sécurité
• Rôle de l’Agence Nationale de Certification Electronique
• Applications
• Perspectives futures
Sécurité des transactions et des échanges électroniques
• Pas de présence physique
• L'interaction se fait à travers un réseau ouvert
• risques : écoute, répudiation d ’un acte de vente, d’achat ou de payement problèmes de spoofing, sniffing, phishing,….
• Nécessité de services de sécurité → cryptographie
Cryptographie
• Cryptographie: Science pour définir les crypto systèmes et les algorithmes de
chiffrement pour assurer la confidentialité des communications
• Cryptanalyse : L’art de «casser» les techniques cryptographiques
• Cryptologie : Cryptographie + Cryptanalyse
Chiffrement
• 2 types de chiffrement:
– chiffrement à clé symétrique
– chiffrement à clé asymétrique (à clé publique)
Chiffrement à clé symétrique
Principe:
•On utilise une seule clé « secrète » pour chiffrer et déchiffrer les messages
Chiffrement à clé symétrique
• Il existe plusieurs algorithmes de
chiffrement à clé symétrique: DES (Data Encryption Standard), Triple DES,
Blowfish, IDEA (International data Encryption Algorithm)
nouveau : AES (Advanced Encryption Standard 256 bits , adopté par le NIST, FIPS 197) http://csrc.nist.gov/CryptoToolkit/aes/
•Avantage: rapidité d ’exécution
•Problème de gestion (distribution) des clés
Chiffrement à clé publique
• Utilisation d ’une paire de clé :
– une clé privée (secrète)
– une clé publique destinée à être distribuée.
• Principe:
– Lorsqu’un message est chiffré par une clé il ne peut être déchiffré que par l’autre clé
– Les deux clés sont reliés par une fonction mathématique
– Il est impossible de déduire la clé privée à partir de la clé publique
Chiffrement à clé publique
1- Le Récepteur communique sa clé publique à l’émetteur
2- L’émetteur chiffre le message avec la clé publique puis l ’envoi
3- Le récepteur déchiffre le message avec sa clé privée
Chiffrement à clé publique
• Introduit en 1976 par W.Diffie et M.
Hellman
• Il existe plusieurs algorithmes à clé publique: Diffie-Hellman, RSA,
ElGamal,…
le plus récent : Elliptic Curve Cryptography ECC
• Avantage: gestion de clé simple
• inconvénient: coûteux en temps de calcul
Fonction de Hachage (hash function)
• Traitement mathématique pour générer un condensé (message digest) du message de manière irréversible
• Deux messages différents ne peuvent pas avoir le même condensé
• exemple d’algorithmes de hachage:
– MD5: Message Digest
– SHA: Secure Hash Algorithm SHA 1 délaissé, SHA 256 et SHA 512 (NIST)
Qu ’est-ce qu ’une signature numérique
Une signature numérique
=
résultat du traitement du message par un calcul mathématique pour obtenir une
empreinte digitale du message
Utilisation d’un logiciel ou d ’une carte à puce
Qu’est-ce qu’une signature numérique
• Cette empreinte digitale doit permettre d ’authentifier l ’émetteur
• Elle doit garantir l’intégrité du message
• Non répudiation par l ’émetteur
Signature numérique à clé publique
• Principe:
– Utiliser une paire de clés :
• publique: pour vérifier les signatures
• privée: pour signer les messages
• Utiliser une fonction de hachage (Hash Function)
• Standard DSS (1994): Digital Signature Standard défini l ’algorithme DSA pour obtenir une
signature
1- L’émetteur opère la fonction de hachage sur le message et obtient un condensé
2- le condensé est chiffré par la clé privée de
l ’émetteur pour obtenir la signature numérique du message
Obtention de la Signature à clé publique
1- Le Récepteur fait le même traitement de hachage sur le message qu’il reçoit
2- Il déchiffre la signature avec la clé publique de l ’émetteur
3- Il compare les deux condensés
Vérification de la Signature à clé publique
Vérification de la Signature à clé publique
Token
Exemple de message signé (PGP)
Subject: Order
Author: rqz@ipc.com October 30, 1995
---BEGIN PGP SIGNED MESSAGE--- Dear Order Department:
We commit to purchase 10,000 widgets at your price of $175 per hundred.
Ship to: Industrial Products Co.
555 Retail Drive
Chicago, Illinois 60061 Sincerely,
Purchasing Department, Industrial Products Co.
----BEGIN PGP SIGNATURE---- Version: 2.6.2
owHtWX1sU1UUP+91G+22ysbHDHcBeZAVmq7L9iauNJ@UuhX2soUSpaufVsfu8tby1kUXTGsGhAY h9b+EPBgArBGNSELGpiNEFM5A80xIzEoPiPSEiMRFbPfR/ajW7rlBjR/Zbf0/eed9+599177j3ndS9C WlcIlqe3Dflw45vqJ85+dZ5hPywt6u0jb5zYvRmy2drFnZKT17a/97n/Tt11d8dNmyvqV12K7jt8Lxf ---END PGP SIGNATURE---
Sommaire
• Certificat Numérique
– Qu ’est-ce qu ’un certificat numérique?
– Quels sont les différents types de certificats?
– Quels sont les usages d ’un certificats?
• Autorité de certification
– rôle de l ’autorité de certification
– Hiérarchie des autorités de certification – Chaînes de certificats
• Protocoles sécurisés
– IPsec
– SSL / S/MIME – SET / 3D Secure – SSH
Le certificat numérique : un passeport électronique
Signature Électronique De document
Messagerie sécurisée Commerce
Electronique
Intégrité Intégrité Non répudiation
Non répudiation ConfidentialitéConfidentialité Authentification
Authentification
Prenom Nom
Prenom.nom@societe.tn F330CBEC876DE554A 46B52C35F0E7ABCF4
12/05 Exp.
Nom E-Mail Clé Publique
Certificat
Contrôle D’accès
Qu’est-ce qu’un certificat numérique?
1- un ensemble d ’information (standard UIT X.509):
– nom du détenteur du certificat et certaine information l ’identifiant (adresse E-mail) – clé publique du détenteur
– nom de l ’autorité de certification qui a lui a fourni le certificat
– numéro de série (unique) – date de validité
– autres informations
2- signature de l ’autorité de certification
Certificate:
Data:
Version: v3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: PKCS #1 MD5 With RSA Encryption Issuer: OU=Ace Certificate Authority, O=Ace Industry, C=US Validity:
Not Before: Fri Oct 17 18:36:25 2004 Not After: Sun Oct 17 18:36:25 2005
Subject: CN=Jane Doe, OU=Finance, O=Ace Industry, C=US Subject Public Key Info:
Algorithm: PKCS #1 RSA Encryption Public Key:
Modulus:
00:ca:fa:79:98:8f:19:f8:d7:de:e4:49:80:48:e6:2a:2a:86:
ed:27:40:4d:86:b3:05:c0:01:bb:50:15:c9:de:dc:85:19:22:
43:7d:45:6d:71:4e:17:3d:f0:36:4b:5b:7f:a8:51:a3:a1:00:
98:ce:7f:47:50:2c:93:36:7c:01:6e:cb:89:06:41:72:b5:e9:
73:49:38:76:ef:b6:8f:ac:49:bb:63:0f:9b:ff:16:2a:e3:0e:
9d:3b:af:ce:9a:3e:48:65:de:96:61:d5:0a:11:2a:a2:80:b0:
7d:d8:99:cb:0c:99:34:c9:ab:25:06:a8:31:ad:8c:4b:aa:54:
91:f4:15
Public Exponent: 65537 (0x10001)
CONTENU D ’UN CERTIFICAT (X.509)
Extensions:
Identifier: Certificate Type Critical: no
Certified Usage:
SSL Client
Identifier: Authority Key Identifier Critical: no
Key Identifier:
f2:f2:06:59:90:18:47:51:f5:89:33:5a:31:7a:e6:5c:fb:36:
26:c9 Signature:
Algorithm: PKCS #1 MD5 With RSA Encryption Signature:
6d:23:af:f3:d3:b6:7a:df:90:df:cd:7e:18:6c:01:69:8e:54:65:fc:06:
30:43:34:d1:63:1f:06:7d:c3:40:a8:2a:82:c1:a4:83:2a:fb:2e:8f:fb:
f0:6d:ff:75:a3:78:f7:52:47:46:62:97:1d:d9:c6:11:0a:02:a2:e0:cc:
2a:75:6c:8b:b6:9b:87:00:7d:7c:84:76:79:ba:f8:b4:d2:62:58:c3:c5:
b6:c1:43:ac:63:44:42:fd:af:c8:0f:2f:38:85:6d:d6:59:e8:41:42:a5:
4a:e5:26:38:ff:32:78:a1:38:f1:ed:dc:0d:31:d1:b0:6d:67:e9:46:a8:
dd:c4
CONTENU D ’UN CERTIFICAT (X.509) (Suite)
Comment obtenir un certificat
• Générer sa paire de clé (navigateur, autre logiciel)
• Générer une requête: soumettre la clé
publique ainsi que d’autres informations à l ’autorité de certification
• Eventuellement s ’identifier physiquement (classe de certificats 1à 4)
• Récupérer le certificat signé par l’autorité de certification
Les usages d ’un certificat numérique
• Authentifier les utilisateurs dans certaines applications (accès aux ressources Internet, Intranet, Extranet)
• Authentifier les serveurs
• Vérifier les signatures numériques
• Sécuriser des messages électroniques
Les usages des certificats
• SSL(Secure Socket Layer):
– certificat client et serveur
• S/MIME(Secure Multipurpose Internet Mail Extensions)
– certificat client
• SET et 3D-Secure
– certificats marchand
– certificats porteur de la carte de crédit – certificats passerelle de payement
• SSH (Secure Shell)
• IPsec
Autorité de Certification
Une entité de confiance (gouvernementale ou privée) qui délivre les certificats numériques et qui offre:
• une combinaison de technologies: protocoles et standards de sécurité (PKI, SSL, SET...).
• une infrastructure de services hautement sécurisés incluant des systèmes redondants.
• un recueil de procédures et des engagements de responsabilités qui établissent sa capacité à agir en tant que tiers partie de confiance.
• Un cadre légal permettant de régler les litiges.
Infrastructure à Clé Publique PKI
• Le standard de base X.509 défini le format des données et procédures relatives à la
distribution des clés publiques à travers les certificats signés par les autorités de
certification
Certification électronique:
Request For Comments
Depuis 1995, le WG PKIX de l’IETF a publié 26 RFC et des Drafts disponibles sur :
http://www.ietf.org/html.charters/pkix-charter.html
•Demande de certificat :
Certificate Request Message Format :RFC 2511
•Profil des certificats et de la Liste de Révocation des certificats (CRL):
Certificate and CRL Profile : RFC 2459
•Algorithme d ’échange des clés:
Representation of Key Exchange Algorithm in X.509 Public Key Infrastructure Certificates: RFC 2528
•Protocoles de Gestion des Certificats : RFC 2510
• Certificate Policy and Certification Practices Framework : RFC 2527
Architecture d ’une autorité de certification
Autorité
d’Enregistrement Principale
Production des Certificats
Autorité
d’enregistrement secondaire
Utilisateur Final
Annuaire
Annuaire
Annuaire
PKIX
Cross-certification
Autorité
d’enregistrement secondaire
R.A.
C.A.
R.A. R.A.
Modèles de confiance (Trust Models)
• Modèle hiérarchique (une racine root CA : cas de la Tunisie)
• Modèle en Mesh (pas de racine, les CA peuvent se co-certifier)
• Modèle hybride (+sieurs root CA avec des CA non root qui peuvent se co-certifier)
• Bridge CA (pas de racine, 1 autorité de co- certification)
• Listes de confiance (existe dans les navigateurs)
Modèle de confiance
Hiérarchique
Modèle Hybride
Chaîne de Certificats
Le protocole IPsec
• Sécurité au niveau réseau / Paquets IP
• Algorithmes de cryptage:
– Diffie-Hellman et/ou RSA pour l ’échanges de clés
– DES et Triple-DES
– fonctions de hachage : SHA1 et MD5
• Applications:
– VPN: matériel et logiciel
– Accès distant : matériel et logiciel – Firewalls supportant IPsec
Le Protocole SSL
• SSL permet de:
– authentifier un serveur par son certificat – authentifier un client par son certificat – crypter une connexion client/serveur
• IETF: Transport Layer Security (TLS)
Algorithmes:
RSA, RC4, 3DES, DES, DSA, DH SHA1, MD5,
Le Protocole SSL
• Applications:
– authentification client(optionnelle)/serveur par certificats numériques et sécurisation des
échanges
– réseaux Intranet/Extranet sécurisés
• SSL Versus IPsec
– SSL permet de sécuriser la connexion entre deux applications
– IPsec sécurise tout le réseau
SSL et Commerce électronique
• Limites du SSL:
– permet d ’authentifier le serveur web du marchand et pas le marchand lui même
– ne permet pas d ’authentifier le porteur de la carte de crédit
– les données de payement peuvent être transmises au site web marchand.
• Permet de sécuriser les messages électroniques
• Permet de signer les messages électroniques
Le Protocole S/MIME
Le Protocole S/MIME
• Algorithmes:
– RSA pour la signature numérique
– RC2, DES, et Triple DES pour le cryptage symétrique
– SHA1 et MD5: fonctions de hachage
• Applications:
– S/Mime standard de base pour l ’EDI/INT (standard EDI sur Internet)
– envoie sécurisé des échanges bancaires,
ordres de payement, messagerie électronique sécurisée
Protocole SET
• Protocole SET (Secure Electronic Transaction) mis en place par Visa, Mastercard et d ’autres partenaires.
• Permet de sécuriser les transactions par cartes de crédit sur Internet
• Permet d ’authentifier l ’acheteur, le vendeur et la passerelle de payement puisqu ’ils possèdent tous deux paires de clés (authentification, signature numérique)
Sécurisation d ’une transaction par SET
CORPORATE
BUYER 3. Purchase Request
4. Authorization Request/Response
6. Capture/Transmit Transaction Data 5. Ship Goods
Internet
VisaNet ISSUER
Internet
Supplier Server
OCTACON
Certificate Certificate
Payment Gateway
Certificat e
2. Initiate Request/Supplier Response
4. Authorization Request/Response
7. Clearing
7. Line Item Detail 1. Control
Parameters
8. Statement
& LID Reporting
Purchase Card
ACQUIRER
Protocole SET
• Algorithmes utilisés:
– RSA, SHA1, DES, HMAC-SHA1
• Contraintes :
– déploiement du SET
– logiciel non disponible à large échelle (navigateur)
– investissement : certification, matériel et logiciel (client, marchand et passerelle de paiement)
• Nouvelle version : 3D-Secure
Favoriser la confiance et la sécurité des transactions
Création de l’Agence Nationale de Certification Electronique :
http://www.certification.tn
– Autorité de certification racine (plus haut niveau de confiance)
– Génération, renouvellement et révocation des certificats électroniques
– Fournisseurs de Services de Certification Electronique (FSCEs)
– Etablissement des accords de reconnaissance mutuelle.
– Homologation des produits de cryptage
Architecture PKI Tunisienne
)ANCE )racine
RA RA
RA
CA Publique CA
CA Privée
ANCE
Accords de Reconnaissance mutuelle
Autorité Etrangère
Cadre réglementaire
• Loi sur le commerce et les échanges électronique (Août 2000):
– Définition du document électronique et de la
signature électronique (génération, conservation, vérification…)
– Définition du certificat électronique
– Rôle et obligations des Fournisseurs de Services de Certifications (CSP)
– Transactions commerciales électroniques – Protection des données personnelles
Cadre réglementaire
Loi sur les Échanges et commerce électroniques
Décret n° 2001-1667
cahier des charges des fournisseurs de services de certification électronique.
Décret n°2001-2727
Conditions d’utilisation des moyens ou des services de cryptage.
Arrêté du 19 juillet 2001
Données techniques relatives aux certificats électroniques et leurs fiabilités.
Arrêté du 19 juillet 2001
Caractéristiques techniques du dispositif de création de la signature électronique.
Applications
• Commerce électronique
• E-gouvernement
• E-banking, E-finance
• E-santé
• E-learning,…
Commerce électronique
• Utilisation des certificats électroniques pour l’authentification des sites
marchands et la sécurisation des transactions (exp. L’inscription
universitaire en ligne en utilisant le «E-dinar »)
E-gouvernement
Un ensemble de projets prioritaires:
• Paiement des impôts en ligne
• Paiement des charges sociales en ligne (CNSS)
• Municipalités : état civil en ligne (Madania)
• Constitution juridique des entreprises en ligne
Télé-déclaration Fiscale
• Actuellement plus d’une centaine d’entreprises utilisent des certificats pour utiliser le service
les transactions sont sécurisées et signées électroniquement.
• La loi de Finance 2005 impose la télé-
déclaration en ligne aux entreprises ayant un certain C.A..
E-Services & E-Finance : cas de la Poste
III-III-TUNISIANTUNISIANPOSTPOSTE-E-BUSINESS BUSINESS SSTRATEGYTRATEGY
4 Ambitious strategy toward developing e-Business strategy to empower SMEs &
e-Government Services
On-line Services
e-Shops / e-Counter / Secure e-mail
e-Logistics
Track & Trace
DHL, FedEx, DPD,… partnerships
Certification
Third-Trust-party
e-Finance /e-Payment
e-Business Strategy
E-Finance
Télécompensation bancaire
• Signature électronique des images des chèques scannés
• Archivage électronique des images signées
Commission nationale pour l’archivage électronique
Perspectives futures
Prenom Nom
Prenom.nom@societe.fr F330CBEC876DE554A 46B52C35F0E7ABCF4
12/03 Exp.
Nom E-Mail Clé Publique
Création d’entreprise en ligne Télé-déclaration Fiscale
Télé-déclaration CNSS
… Certificat
E-banking (CCPnet)
Perspectives futures
• Horodatage et Notariat Electronique
• Sécurité du commerce mobile (PKI mobile)
• Archivage électronique légal
• Intégration d’éléments biométriques dans le certificat électronique
Projets PKI OpenSource
PKI
• OpenSSL et TinyCA
• SSH
• PyCA,…
LDAP
• OpenLDAP
Invitation
Conférence Régionale
«Sécurité des transactions électroniques et PKI»
du 20 au 22 Juin 2005 à Tunis , événement en préparation du SMSI Tunis 2005
Le programme sera disponible
sur le site http://www.certification.tn