diff --git a/content/secu_reseaux/6_certificats/index.md b/content/secu_reseaux/6_certificats/index.md index 577c709..1848935 100644 --- a/content/secu_reseaux/6_certificats/index.md +++ b/content/secu_reseaux/6_certificats/index.md @@ -6,7 +6,7 @@ categories: ["Sécurité des réseaux", "Cours"] matjax: true --- -Un certificat est une pièce d'identitApé comprenant: +Un certificat est une pièce d'identité comprenant: * une clé publique; * un émetteur; @@ -20,7 +20,7 @@ Lors de la réception d'un certificat, le client vérifie: * la validité * l'identité -Dans le cas du CA, il est possible de se référerà une chaine de certification +Dans le cas du CA, il est possible de se référer à une chaine de certification (on parle alors de certificats intermédiaire.) ## La norme x509 @@ -107,10 +107,54 @@ tiers, avec *DANE* (et *DNSSEC) on en prend le contrôle. *DANE* dépends de *DANE* permet de se passer d'autorité de certification. +#### DNSSEC + +DNSSEC permet de résoudre certains problèmes de sécurité liés à *DNS*. Il permet +de sécuriser les données envoyées par le DNS. + +chaque entité dispose d'un couple de clés (privé / publique, on parle bien de +*cryptographie asymétrique*). Chaque enregistrement d'une zone est signé par la +clé privée du détenteur. Cette signature peut être vérifiée par sa **clé +publique**. Afin d'assurer l'authenticité de cette dernière, elle est signée par +la clé privée de la **zone au-dessus** -- et non pas la clé privée du détenteur. + +Dans la pratique, chaque zone dispose de deux paire de clés : + + * la *KSK*: Key Signing Key + * la *ZSK*: Zone Signing Key + +le lien entre les deux est réalisée par la fonction: + +\\[ crypt( priv_KSK, hash(ZSK) \\] + +La *KSK* sert à signer la *ZSK*. La KSK publique est envoyée au détenteur de la +zone parente pour signature. + +#### DNSSEC / DANE + +Maintenant que *DNSSEC* est en place il est possible de stocker les +certificats dans un enregistrement *DNS*: **TLSA**. + +Le client peut alors vérifier la validité du certificat. + ### DoH, DoT Ces deux mécanismes permettent de sécuriser le protocole DNS en le passant sur du HTTPS (*DNS over HTTPS*) ou en l'en capsulant dans TLS (*DNS over TLS*). -Les certificats assurent deux propriétés: l'autentification du résolveur qui +Les certificats assurent deux propriétés: l'authentification du résolvez qui répond et le chiffrement des messages. + +## PGP -- Pretty Good Privacy + +*PGP* utilise la cryptographie asymétrique, chaque entité dispose donc d'une +paire de clés. L'utilisation la plus courante de *PGP* et la **signature** +(cryptographique) et le **chiffrement de courriels**. Il est aussi utilisé dans +la distribution logicielle et notamment dans les **dépôts de distributions** +*GNU/Linux* ou *BSD*. + +Pour le chiffrement, *PGP* créé une **clé symétrique aléatoire** qui est ensuite +chiffrée avec la clé publique du destinataire. + +Chaque partie publique contient un espace où d'autres personnes peuvent apposier +leurs signatures avec une note.