Secure Socket Layer prsentation gnrale

1
Secure Socket Layer présentation générale
Estelle Djeh Cau le Vergor Marc Bégot
2
Agenda (intro)
Agenda
1. Introduction 2. Cryptographie et
législation 3. Présentation du protocole SSL 4.
Les certificats 5. SSL et les applications 6. Les
serveurs WEB sécurisés 7. Conclusion
3
Introduction

• Développement de nouveau services en ligne
• Achats / enchères sur site de e-commerce
• Consultation demail via des passerelles web
  (IMHO)
• Consultation de comptes bancaires
• nécessité de garantir lintégrité et la
  confidentialité des informations transmissent.
• Différentes solutions
• IPSec
• VPN
• S-HTTP
• SSL

4
Agenda (législation)
Agenda
1. Introduction 2. Cryptographie et
législation 3. Présentation du protocole SSL 4.
Les certificats 5. SSL et les applications 6. Les
serveurs WEB sécurisés 7. Conclusion
5
La législation française en cryptographie (1/2)

• Loi du 15/6/2001 sur  la société de
  linformation 
• Art.37
• Utilisation libre des moyens
• Fourniture des moyens libre si pas de
  confidentialité
• Si confidentialité, autorisation préalable du
  premier ministre selon les cas

6
La législation française en cryptographie (2/2)

• Art. 39
• "Sauf à démontrer quelles nont commis aucune
  faute intentionnelle ou négligence, les personnes
  physiques ou morales fournissant des prestations
  de cryptographique à des fins de confidentialité
  sont présumées responsables, nonobstant toute
  stipulation contractuelle contraire, du préjudice
  causé aux personnes leur confiant la gestion de
  leurs conventions secrètes en cas datteinte à
  lintégrité, à la confidentialité ou à la
  disponibilité des données transformées à laide
  de ces conventions. 

7
Agenda (protocole)
Agenda
1. Introduction 2. Cryptographie et
législation 3. Présentation du protocole SSL 4.
Les certificats 5. SSL et les applications 6. Les
serveurs WEB sécurisés 7. Conclusion
8
Le protocole SSL (1/4)

• Entre TCP et les protocoles applicatifs
• Services rendus
• Intégrité
• Confidentialité
• Authentification
• Autres protocoles assurant des fonctions
  similaires
• S-HTTP
• Fonctionnalité supplémentaires (non répudiation)
• Peu supporté par les navigateurs
• SET
• Secure Electronic Transactions
• développé par MasterCard et VISA pour les cartes
  bleues

9
Le protocole SSL (2/4)

• Implémentation
• SSLeay
• Implémentation libre de SSL par Netscape
• Supporte DES, RSA, RC4, IDEA et Blowfish
• OpenSSL
• Implémentation libre basée sur SSLeay
• Évolution TLS
• 2001 lIETF rachète le brevet SSL à Netscape et
  le rebaptise TLS
• Basé sur SSLv3.1
• Compatibilité ascendante uniquement
• Intégration dans la pile protocolaire 802.1x/EAP

10
Le protocole SSL (3/5)
11
Le protocole SSL (4/5)
12
Le protocole SSL (5/5)
13
Agenda (certificats)
Agenda
1. Introduction 2. Cryptographie et
législation 3. Présentation du protocole SSL 4.
Les certificats 5. SSL et les applications 6. Les
serveurs WEB sécurisés 7. Conclusion
14
Les certificats (1/4)

• Certificats clients ou personnels
• Authentifier et signer des messages (mail)
• Obtention auprès dun fournisseur de certificats
  (Certplus)
• Certificats serveurs
• Auto signé ou certifié par un tiers de confiance
• Authentification du serveur
• Ex passerelle IMHO, intranet, serveur de
  e-commerce
• Basé sur les PKI
• Autorité de certification
• Autorité denregistrement
• Système de distribution des clés

15
Les certificats (2/4)
16
Les certificats (3/4)

• Format X509
• Défini la syntaxe des certificats généré par des
  AC
• Encodé en PEM ou DER
• DER dérive de BER
• PEM (Privacy Enhanced Mail)
• Mieux adapté aux mails
• Codage sur 64 bits
• DER (Distinguished Encoding Rules)

17
Les certificats (4/4)
18
Agenda (SSL et appli)
Agenda
1. Introduction 2. Cryptographie et
législation 3. Présentation du protocole SSL 4.
Les certificats 5. SSL et les applications 6. Les
serveurs WEB sécurisés 7. Conclusion
19
SSL et les applications (1/2)

• Première implémentation dans Netscape 2 en 1995
• Utilisation indépendante du protocole applicatif
• HTTP
• Serveur Apache, MSIE, Netscape, Stronghold,
  Roxen
• Navigateurs Netscape, IE, Mosaic
• SMTP
• IMAP
• POP
• FTP
• Telnet

20
SSL et les applications (2/2)

• Stunnel
• Cryptage des connexions TCP
• Sécurisation de protocoles ne supportant pas SSL
  sans modification du code POP3, IMAP, LDAP
• Sécurisation de démons NNTP, SMTP
• SSH
• Établissement de connexions sécurisées entre un
  client et un serveur distant
• Chiffrement de sessions telnet, rlogin, ftp
• Protection contre les sniffeurs
• SSH est construit sur SSL

21
Agenda (web)
Agenda
1. Introduction 2. Cryptographie et
législation 3. Présentation du protocole SSL 4.
Les certificats 5. SSL et les applications 6. Les
serveurs WEB sécurisés 7. Conclusion
22
Serveurs WEB sécurisés

• GNU
• OpenSSL
• Générer des clés openssl genrsa -des3 -out
  projet.key 512
• Demande de certificat openssl req -new -key
  projet.key -out projet.csr
• Générer un certificat autosignéopenssl req x509
  -key projet.key -in projet.csr -out projet.crt
• Visualiser un certificatopenssl x509 -noout
  -text -in projet.crt

23
Serveurs WEB sécurisés

• Apache
• Apache ModSSL ou ApacheSSL
• Principe des virtual hosts pour sécuriser
  certaines parties dun site
• Ex http//serveur_test_SSL.org

24
Serveurs WEB sécurisés

• Serveurs commerciaux

25

• Questions ?

26
Bibliographie

• Quelques normes et standards
• http//www.isss-awareness.cenorm.be/FR/e-guide/sta
  ndards.htm
• Formats de certificats
• http//cuisung.unige.ch/memoires/Hugentobler/certn
  um.html
• Certificat X509
• http//search.ietf.org/internet-drafts/draft-ietf-
  pkix-new-part1-12.txt
• Qques infos sur le fonctionnement dApache
• http//developer.novell.com/research/appnotes/2001
  /february/02/a0102024.htm1047739
• Sur lencodage PEM RFC 1421 1422 1423 et 1424
  
• http//sunsite.cnlab-switch.ch/ftp/doc/standard/rf
  c/14xx/1421
• Sur SSH
•  http//minimum.inria.fr/raynal/index.php3?page4
  05
• sur les implémentations de SSL
• http//www.modssl.org/docs/apachecon2001/