Second part of certificates course
This commit is contained in:
parent
2a3a818ee2
commit
f88c10c29a
1 changed files with 47 additions and 3 deletions
|
|
@ -6,7 +6,7 @@ categories: ["Sécurité des réseaux", "Cours"]
|
||||||
matjax: true
|
matjax: true
|
||||||
---
|
---
|
||||||
|
|
||||||
Un certificat est une pièce d'identitApé comprenant:
|
Un certificat est une pièce d'identité comprenant:
|
||||||
|
|
||||||
* une clé publique;
|
* une clé publique;
|
||||||
* un émetteur;
|
* un émetteur;
|
||||||
|
|
@ -107,10 +107,54 @@ tiers, avec *DANE* (et *DNSSEC) on en prend le contrôle. *DANE* dépends de
|
||||||
|
|
||||||
*DANE* permet de se passer d'autorité de certification.
|
*DANE* permet de se passer d'autorité de certification.
|
||||||
|
|
||||||
|
#### DNSSEC
|
||||||
|
|
||||||
|
DNSSEC permet de résoudre certains problèmes de sécurité liés à *DNS*. Il permet
|
||||||
|
de sécuriser les données envoyées par le DNS.
|
||||||
|
|
||||||
|
chaque entité dispose d'un couple de clés (privé / publique, on parle bien de
|
||||||
|
*cryptographie asymétrique*). Chaque enregistrement d'une zone est signé par la
|
||||||
|
clé privée du détenteur. Cette signature peut être vérifiée par sa **clé
|
||||||
|
publique**. Afin d'assurer l'authenticité de cette dernière, elle est signée par
|
||||||
|
la clé privée de la **zone au-dessus** -- et non pas la clé privée du détenteur.
|
||||||
|
|
||||||
|
Dans la pratique, chaque zone dispose de deux paire de clés :
|
||||||
|
|
||||||
|
* la *KSK*: Key Signing Key
|
||||||
|
* la *ZSK*: Zone Signing Key
|
||||||
|
|
||||||
|
le lien entre les deux est réalisée par la fonction:
|
||||||
|
|
||||||
|
\\[ crypt( priv_KSK, hash(ZSK) \\]
|
||||||
|
|
||||||
|
La *KSK* sert à signer la *ZSK*. La KSK publique est envoyée au détenteur de la
|
||||||
|
zone parente pour signature.
|
||||||
|
|
||||||
|
#### DNSSEC / DANE
|
||||||
|
|
||||||
|
Maintenant que *DNSSEC* est en place il est possible de stocker les
|
||||||
|
certificats dans un enregistrement *DNS*: **TLSA**.
|
||||||
|
|
||||||
|
Le client peut alors vérifier la validité du certificat.
|
||||||
|
|
||||||
### DoH, DoT
|
### DoH, DoT
|
||||||
|
|
||||||
Ces deux mécanismes permettent de sécuriser le protocole DNS en le passant sur
|
Ces deux mécanismes permettent de sécuriser le protocole DNS en le passant sur
|
||||||
du HTTPS (*DNS over HTTPS*) ou en l'en capsulant dans TLS (*DNS over TLS*).
|
du HTTPS (*DNS over HTTPS*) ou en l'en capsulant dans TLS (*DNS over TLS*).
|
||||||
|
|
||||||
Les certificats assurent deux propriétés: l'autentification du résolveur qui
|
Les certificats assurent deux propriétés: l'authentification du résolvez qui
|
||||||
répond et le chiffrement des messages.
|
répond et le chiffrement des messages.
|
||||||
|
|
||||||
|
## PGP -- Pretty Good Privacy
|
||||||
|
|
||||||
|
*PGP* utilise la cryptographie asymétrique, chaque entité dispose donc d'une
|
||||||
|
paire de clés. L'utilisation la plus courante de *PGP* et la **signature**
|
||||||
|
(cryptographique) et le **chiffrement de courriels**. Il est aussi utilisé dans
|
||||||
|
la distribution logicielle et notamment dans les **dépôts de distributions**
|
||||||
|
*GNU/Linux* ou *BSD*.
|
||||||
|
|
||||||
|
Pour le chiffrement, *PGP* créé une **clé symétrique aléatoire** qui est ensuite
|
||||||
|
chiffrée avec la clé publique du destinataire.
|
||||||
|
|
||||||
|
Chaque partie publique contient un espace où d'autres personnes peuvent apposier
|
||||||
|
leurs signatures avec une note.
|
||||||
|
|
|
||||||
Loading…
Add table
Add a link
Reference in a new issue