CONFIDENTAILITE

Deux classes de chiffrement permettent de garantir la confidentialité des données

symétrique et asymétrique. Ces deux classes diffèrent dans la façon dont elles utilisent les
clés. Les algorithmes de chiffrement symétrique tels que (DES), 3DES et Advanced
Encryption Standard (AES) sont basés sur l'hypothèse que chaque partie communicante
connaît la clé pré-partagée. La confidentialité des données peut également être assurée à
l'aide d'algorithmes asymétriques, notamment Rivest, Shamir et Adleman (RSA) et
l'infrastructure à clé publique (PKI). Les algorithmes de chiffrement symétriques sont
couramment utilisés avec le trafic VPN car ils utilisent moins de ressources CPU que les
algorithmes de chiffrement asymétriques. Les algorithmes de chiffrement symétrique sont
souvent classés dans l'une des catégories de chiffrement par bloc ou le chiffrement par flux.
Les algorithmes asymétriques (ou «algorithmes à clé publique») sont conçus de sorte que la
clé utilisée pour le chiffrement diffère de la clé utilisée pour le chiffrement. Les algorithmes
asymétriques utilisent une clé publique et une clé privée. Exemples de protocoles qui
utilisent des algorithmes à clé asymétrique: IKE, SSL, SSH, et PGP. Parmi les exemples
courants d'algorithmes de chiffrement asymétriques, mentionnons les techniques DSS, DSA,
RSA, ElGamal et les techniques de courbe elliptique. Les algorithmes asymétriques assurent
la confidentialité sans partager de mot de passe au préalable. Le processus est récapitulé à
l'aide de cette formule: clé publique (chiffrer) + clé privée (déchiffrement) = confidentialité
L'authentification des algorithmes asymétriques est réalisée quand vous lancez le processus
de chiffrement avec la clé privée. Le processus peut être récapitulé à l'aide de la formule: clé
privée (chiffrer) + clé publique (déchiffrement) = authentification. En combinant les deux
processus de chiffrement asymétrique, vous assurez l'intégrité, l'authentification et la
confidentialité de vos messages. L'échange de clés DH (Diffie-Hellman) est un algorithme
mathématique asymétrique qui permet à deux ordinateurs de générer et de partager une clé
secrète identique sans avoir communiqué auparavant. Deux exemples d'instances où DH est
utilisée sont lorsque des données sont des échanges à l'aide d'un VPN IPsec et lorsque des
données SSH sont échangées.
DISSIMULATION DES DONNES
Le masquage de données peut remplacer des données sensibles dans les environnements
hors production afin de protéger les informations sous-jacentes. Les méthodes incluent la
substitution, le brassage et l'annulation. La stéganographie dissimule les données (le
message) dans un autre fichier, comme un graphique, un fichier audio ou un autre fichier
texte. L'avantage de la sténographie sur la cryptographie est que le message secret n'attire
pas d'attention particulière.
INTEGRITE ET AUTENTICITE
Les organisations doivent fournir un support pour sécuriser les données au fur et à mesure
qu'elles traversent les liens. Les quatre éléments des communications sécurisées sont
l'intégrité des données, l'authentification d'origine, la confidentialité des données et la non-
répudiation des données. La cryptographie peut être utilisée presque partout où se produit
une communication de données. Les hashs permettent de contrôler et d'assurer l'intégrité
des données. Le hash est une fonction mathématique unidirectionnelle relativement simple à
calculer, mais extrêmement difficile à inverser. La fonction de hachage cryptographique
permet également de vérifier l’intégrité. Une fonction de hash prend un bloc variable de
données binaires (le message) et produit une représentation condensée de longueur fixe (le
hash). Il existe quatre fonctions de hachage bien connues: MD5 avec digest 128 bits, SHA-1,
SHA-2 et SHA-3. Bien que le hachage permette de détecter des modifications accidentelles,
il ne peut être utilisé pour se prémunir contre les modifications intentionnelles effectuées par
un acteur de menace. Le hachage est vulnérable aux attaques de l'homme au milieu. Pour
assurer l'intégrité et l'authentification de l'origine, vous devez opter pour un élément
supplémentaire. Pour ajouter l'authentification à l'assurance d'intégrité, utilisez un code
d'authentification de message de hachage à clé (HMAC). HMAC utilise une clé secrète
supplémentaire comme entrée pour la fonction de hachage.
UTILISATION HACHAGE
Les hashs permettent de contrôler et d'assurer l'intégrité des données. Un outil de hash peut
également vérifier l'authentification. Chaque fois que les données changent, la valeur du
fichier change également. Une fonction cryptographique has a les propriétés suivantes:
l'entrée peut être de n'importe quelle longueur, la sortie a une longueur fixe, la fonction de
hachage est unidirectionnelle et irréversible, et deux valeurs d'entrée différentes n'entraînent
presque jamais le même hash. Les deux algorithmes de hash les plus courants sont MD5 et
SHA. Pour pirater un hash, le hacker doit deviner le mot de passe. Les deux principales
attaques utilisées sont les attaques par dictionnaire et par force brute. Une valeur salt est
une entrée supplémentaire ajoutée au mot de passe. Cela crée un résultat de hachage
différent, même lorsque les deux mots de passe sont identiques. Un CSPRNG
(Cryptographically Secure Pseudo-Random Number Generator) est l'outil idéal pour générer
une valeur salt. Le salage empêche un attaquant d'utiliser une attaque par dictionnaire pour
deviner les mots de passe. L'utilisation d'une clé secrète dans le hash à l'aide d'un
algorithme appelé HMAC ou KHMAC permet de se protéger contre les attaques par
dictionnaire ou par force brute.
LA CRYPTOGRAPHIE EN CLE PUBLIQUE
La signature numérique est une technique mathématique utilisée pour fournir trois services
de sécurité de base, pour assurer l'authenticité, l'intégrité et la non-répudiation. Les
propriétés de la signature numérique sont qu'elles sont authentiques, inaltérables, non
réutilisables et non répudiées. Les signatures numériques sont couramment utilisées dans
les deux situations suivantes: la signature de code et les certificats numériques. Il existe trois
algorithmes DSS (Digital Signature Standard) utilisés pour générer et vérifier les signatures
numériques: Digital Signature Algorithm (DSA), Rivet-Shamir Adelman Algorithm (RSA) et
Elliptical Curve Digital Signature Algorithm (ECDSA). Le code de signature numérique fournit
des assurances sur le code logiciel: le code est authentique et provient en fait de l'éditeur, le
code n'a pas été modifié depuis qu'il a quitté l'éditeur du logiciel, et l'éditeur a indéniablement
publié le code. Un certificat numérique est l'équivalent d'un passeport électronique. Il permet
aux utilisateurs, hôtes et entreprises d'échanger des informations sur Internet de manière
sécurisée. Concrètement, un certificat numérique permet d'authentifier et de vérifier que
l'expéditeur d'un message est bien celui qu'il prétend être.
LES AUTORISATION DES SYSTEME INFRASTRUCTURE A CLE PUBLIQUE
Lorsqu'ils établissent une connexion sécurisée entre deux hôtes, les hôtes échangent leurs
informations de clé publique. Sur Internet, des tiers de confiance valident l'authenticité de
ces clés publiques à l'aide de certificats numériques. L'infrastructure à clé publique (PKI)
regroupe le matériel, les logiciels, les personnes, les politiques et les procédures
nécessaires pour créer, gérer, stocker, distribuer et révoquer des certificats numériques.
L'infrastructure PKI est nécessaire pour soutenir une distribution de grande envergure des
clés de chiffrement publiques. Le cadre PKI favorise une relation de confiance hautement
évolutive. De nombreux fournisseurs proposent leurs serveurs CA sous la forme d'un service
managé ou d'un produit pour utilisateur final. Il s'agit notamment de Symantec Group
(VeriSign), Comodo, Go Daddy Group, GlobalSign et de DigiCert. Le numéro de classe (0 à
5) est déterminé par la rigueur de la procédure qui a permis de vérifier l'identité du titulaire
lors de la délivrance du certificat, cinq étant la valeur la plus élevée. Les infrastructures PKI
peuvent présenter différentes topologies de confiance. La topologie PKI à racine unique est
la plus simple. L'interopérabilité entre une infrastructure PKI et ses services d'assistance
revêt une importance particulière, car de nombreux fournisseurs CA ont préféré proposer et
implémenter des solutions propriétaires plutôt que d'attendre la publication de normes. Pour
résoudre ce problème d'interopérabilité, l'IETF a publié une politique sur les certificats des
infrastructures à clé publique Internet X.509 et instauré un cadre sur les pratiques de
certification (RFC 2527).
LES UTILISATIONS DES EFFECT DE LA CRYPTOGRAPHIE
Il existe de nombreuses utilisations courantes des PKI, y compris quelques-unes
répertoriées ici: authentification homologue basée sur des certificats SSL/TLS, trafic Web
HTTPS, message instantané sécurisé et sécurisation des périphériques de stockage USB.
Une analyse de la sécurité doit permettre d'identifier et de résoudre les problèmes potentiels
en termes d'autorisation de solutions PHI sur le réseau d'entreprise. Par exemple, les
acteurs de menace peuvent utiliser le protocole SSL/TSL pour compromettre le respect des
réglementations, ou introduire un virus, un programme malveillant, une perte de données ou
une tentative d'intrusion dans un réseau. Les autres problèmes rattachés au protocole
SSL/TSL peuvent porter sur la validation du certificat d'un serveur web. Les problèmes
d'infrastructure PKI associés aux avertissements de sécurité comprennent la plage de dates
de validité et la validation des signatures. Certains de ces problèmes peuvent être évités en
raison de l'extensibilité et de la modularité des protocoles SSL/TSL. Il s'agit d'une suite de
chiffrement. L'algorithme MAC (Message Authentication Code), l'algorithme de chiffrement,
l'algorithme d'échange de clés et l'algorithme d'authentification constituent les principales
composantes de cette suite de chiffrement. La cryptographie est dynamique et en constante
évolution. Vous devez bien connaître les algorithmes et les opérations cryptographiques de
sorte à pouvoir examiner les incidents liés à la sécurité afférents. Les communications
chiffrées peuvent rendre les charges utiles des données de sécurité réseau illisibles par les
analystes de cybersécurité. Le chiffrement peut être utilisé pour masquer les commandes de
logiciels malveillants et contrôler le trafic entre les hôtes infectés et les serveurs de
commande et de contrôle. De plus, les logiciels malveillants peuvent être cachés par
chiffrement et les données peuvent être cryptées pendant l'exfiltration, ce qui rend difficile la
détection.