Chiffrement opportuniste

1,148 views
1,080 views

Published on

Introduction au chiffrement opportuniste, technique permettant d'établir des sessions chiffrées et authentifiées sans accord préalable.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,148
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
29
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Chiffrement opportuniste

  1. 1. Sommaire IPsec Fonction du chiffrement opportuniste IKE ? DNSsec Inconvénients
  2. 2. IPsec Batterie de protocole permettant de sécuriser IP en utilisant l’authentification et le chiffrement des paquets IP. AH, ESP, IKE, ISAKMP, OAKLEY RFC publiée en Novembre 1998 Inclus dans IPv6 Implémentation pour des VPN Couche 3.5
  3. 3. Rappel IPsec Protocoles d’échanges de clé (ISAKMP) pour la création de SA (Security Association) Authentification des paquets IP (Authentification Header) Chiffrement des paquets IP (Encapsulated Security Payload) Impossibilité de routage par NAT
  4. 4. Datagramme IPSec
  5. 5. Et le NAT ?
  6. 6. C’est cool mais … On sécurise les échanges de données entre X sites et/ou X clients Accord préalable (échange de clés) Et le reste des communications ? Top tendance : Hadopi, Great Firewall of China, Echellon, …
  7. 7. The solution Le chiffrement opportuniste Authentification et Chiffrement sans accord préalable Chiffrement de toutes les connexions Propagation non intrusive Facultatif
  8. 8. « OpportunisticEncryption » RFC 4322 – Décembre 2005 ANONSEC (« Anonymous Security ») Vise clairement les attaques par MiM, DPI (DeepPacket Inspection), écoutes, …
  9. 9. Ouai mais en fait … Pas d’accord préalable pour HTTPS ! Ouai mais en fait si… intégré au navigateur Mais mon HTTPS il est pas dans mon navigateur! Ouai mais exception de sécurité… Ouai mais CA préconfiguré…
  10. 10. Fonctionnement - Archi
  11. 11. Fonctionnement L’application d’Alice résout le nom de Bob Initiation de la communication Interception par la passerelle et obtention de la passerelle sécurisée via DNS. Obtention de la clé publique via DNS. Phase 1 d’IKE (compléter)
  12. 12. Fonctionnement La passerelle de Bob obtient via DNS la clé publique de la passerelle d’Alice Phase 2 IKE La passerelle de Bob authentifie la passerelle d’Alice via DNS. Etablissement de la connexion
  13. 13. IKE ?! Truc de jedi !
  14. 14. IKE !
  15. 15. IKE « IPSec Key Exchange » Sécurisation par secret partagé Impossibilité d’interception (ESP) Impossibilité de modification (AH) Echanges d’informations pour l’établissement d’une connexion sécurisée (Security Assocations)
  16. 16. DNSSEC ? Importance cruciale du DNS… Passage à DNSSEC Signature hiérarchique Complexification du DNS Augmentation du nombre de requêtes DNS et du volume des réponses
  17. 17. Inconvénients Latence d’initialisation de connexion Efficacité d’utilisation de la bande passante DDoS à cause d’IKE ? Cout de l’implémentation Cisco 5510 – 2000€ pour 250 sessions IPSec

×