Second part of certificates course
This commit is contained in:
parent
2a3a818ee2
commit
f88c10c29a
1 changed files with 47 additions and 3 deletions
|
|
@ -6,7 +6,7 @@ categories: ["Sécurité des réseaux", "Cours"]
|
|||
matjax: true
|
||||
---
|
||||
|
||||
Un certificat est une pièce d'identitApé comprenant:
|
||||
Un certificat est une pièce d'identité comprenant:
|
||||
|
||||
* une clé publique;
|
||||
* un émetteur;
|
||||
|
|
@ -107,10 +107,54 @@ tiers, avec *DANE* (et *DNSSEC) on en prend le contrôle. *DANE* dépends de
|
|||
|
||||
*DANE* permet de se passer d'autorité de certification.
|
||||
|
||||
#### DNSSEC
|
||||
|
||||
DNSSEC permet de résoudre certains problèmes de sécurité liés à *DNS*. Il permet
|
||||
de sécuriser les données envoyées par le DNS.
|
||||
|
||||
chaque entité dispose d'un couple de clés (privé / publique, on parle bien de
|
||||
*cryptographie asymétrique*). Chaque enregistrement d'une zone est signé par la
|
||||
clé privée du détenteur. Cette signature peut être vérifiée par sa **clé
|
||||
publique**. Afin d'assurer l'authenticité de cette dernière, elle est signée par
|
||||
la clé privée de la **zone au-dessus** -- et non pas la clé privée du détenteur.
|
||||
|
||||
Dans la pratique, chaque zone dispose de deux paire de clés :
|
||||
|
||||
* la *KSK*: Key Signing Key
|
||||
* la *ZSK*: Zone Signing Key
|
||||
|
||||
le lien entre les deux est réalisée par la fonction:
|
||||
|
||||
\\[ crypt( priv_KSK, hash(ZSK) \\]
|
||||
|
||||
La *KSK* sert à signer la *ZSK*. La KSK publique est envoyée au détenteur de la
|
||||
zone parente pour signature.
|
||||
|
||||
#### DNSSEC / DANE
|
||||
|
||||
Maintenant que *DNSSEC* est en place il est possible de stocker les
|
||||
certificats dans un enregistrement *DNS*: **TLSA**.
|
||||
|
||||
Le client peut alors vérifier la validité du certificat.
|
||||
|
||||
### DoH, DoT
|
||||
|
||||
Ces deux mécanismes permettent de sécuriser le protocole DNS en le passant sur
|
||||
du HTTPS (*DNS over HTTPS*) ou en l'en capsulant dans TLS (*DNS over TLS*).
|
||||
|
||||
Les certificats assurent deux propriétés: l'autentification du résolveur qui
|
||||
Les certificats assurent deux propriétés: l'authentification du résolvez qui
|
||||
répond et le chiffrement des messages.
|
||||
|
||||
## PGP -- Pretty Good Privacy
|
||||
|
||||
*PGP* utilise la cryptographie asymétrique, chaque entité dispose donc d'une
|
||||
paire de clés. L'utilisation la plus courante de *PGP* et la **signature**
|
||||
(cryptographique) et le **chiffrement de courriels**. Il est aussi utilisé dans
|
||||
la distribution logicielle et notamment dans les **dépôts de distributions**
|
||||
*GNU/Linux* ou *BSD*.
|
||||
|
||||
Pour le chiffrement, *PGP* créé une **clé symétrique aléatoire** qui est ensuite
|
||||
chiffrée avec la clé publique du destinataire.
|
||||
|
||||
Chaque partie publique contient un espace où d'autres personnes peuvent apposier
|
||||
leurs signatures avec une note.
|
||||
|
|
|
|||
Loading…
Add table
Add a link
Reference in a new issue