Introduction
Ce document est une introduction au protocoleSecure Sockets Layer (SSL). SSL a été universellement adopté sur leWorld Wide Web pour authentifier et crypter les communications entre clients et serveurs.
Le nouveau protocole standard de l'Internet Engineering Task Force (IETF), appeléTransport Layer Security (TLS) est basé sur SSL. Les détails de ce protocole sont disponible dans le documentRequest For Comments (RFC): 2246,The TLS Protocol Version 1.0. Certains produits de Red Hat supportent déjà le TLS, et la plupart des autres produits Red Hat prévoient son support dans leurs futures versions.
Ce document est d'abord destiné aux administrateurs des produits serveurs de Red Hat, mais les informations qu'il contient peuvent être tout aussi utiles aux développeurs d'applications supportant SSL. Ce document suppose que vous connaissez les concepts de base de la cryptographie à clef publique, tels que décrits dans « Introduction à la cryptographie à clef publique ».
Le protocole SSL
LeTransmission Control Protocol/Internet Protocol (TCP/IP) contrôle le transport et le routage des données sur Internet. D'autres protocoles, tels que l'HyperText Transport Protocol (HTTP),Lightweight Directory Access Protocol (LDAP), ouInternet Messaging Access Protocol (IMAP), s'exécutent « par dessus » TCP/IP dans le sens où ils utilisent tous TCP/IP pour permettre des applications typiques telles qu'afficher des pages Web ou faire fonctionner des serveurs de courrier.
Le protocole SSL s'exécute au dessus de TCP/IP, mais en dessous des protocoles applicatifs tels que HTTP ou IMAP. Il utilise TCP/IP au nom des protocoles de haut niveau, et ce faisant, il permet à un serveur gérant SSL de s'authentifier auprès d'un client gérant SSL, il permet au client de s'authentifier auprès du serveur, et permet aux deux ordinateurs d'établir une connexion chiffrée.
Ces fonctions répondent à des soucis fondamentaux concernant les communications sur Internet ou tout autre réseau TCP/IP :
- L'authentification du serveur SSL permet à un utilisateur de s'assurer de l'identité du dit serveur. Les logiciels clients SSL peuvent utiliser des techniques standards de cryptographie à clef publique pour vérifier que le certificat d'un serveur et son ID publique sont valides et ont été délivrés par une autorité de certification (AC, Certificate Authority en anglais) faisant partie des AC de confiance définies par le logiciel client. Cette confirmation peut être importante si l'utilisateur, par exemple, utilise sa carte de crédit pour payer une transaction par Internet et qu'il désire vérifier l'identité du serveur récepteur.
- L'authentification d'un client SSL permet à un serveur de s'assurer de l'identité de l'utilisateur. En utilisant les mêmes techniques que pour l'authentification d'un serveur, un serveur SSL peut vérifier que le certificat client et son ID publique sont valides et ont été délivrés par une AC appartenant à la liste des AC de confiance du serveur. Cette confirmation peut être importante lorsque, par exemple, le serveur d'un banque veut s'assurer de l'identité du destinataire de données confidentielles.
- Une connexion SSL chiffrée requiert que toutes les informations échangées entre le client et le serveur soient codées par le logiciel émetteur et décodées par le logiciel récepteur, ceci permettant un haut degré de confidentialité. La confidentialité est importante pour les deux parties impliquées dans une transaction privée. De plus, toutes les données transmises lors d'une connexion SSL chiffrée sont protégées par un mécanisme permettant de détecter les altérations, pour déterminer automatiquement si les données ont été modifiées pendant leur transmission.
Le protocole SSL inclus deux sous-protocoles : le protocoleSSL record et le protocoleSSL handshake (négociation SSL). Le protocoleSSL record définit le format utilisé pour la transmission des données. Le protocole de négociation SSL utilise le protocoleSSL record pour échanger une série de messages entre un serveur et un client lorsqu'ils débutent une connexion SSL. Cet échange de messages est destiné à faciliter les actions suivantes :
- Authentifier le serveur auprès du client.
- Permettre au client et au serveur de sélectionner un algorithme de cryptage, ou de chiffrement, supporté par les deux.
- Éventuellement, authentifier le client auprès du serveur.
- Utiliser des techniques de cryptographie à clef publique pour générer des éléments secrets partagés.
- Établir une connexion SSL cryptée.
Pour plus d'informations à propos du processus de négociation, voir la section « La négociation SSL ».
Chiffrements utilisés avec SSL
Le protocole SSL supporte l'utilisation d'un grand nombre d'algorithmes de cryptographie, ou de chiffrement, pour des opérations telles que l'authentification réciproque d'un serveur et d'un client, la transmission de certificat, et l'établissement d'une clef de session. Les clients et les serveurs peuvent supporter différentes suites de chiffrement, c'est à dire différents ensembles d'algorithmes, selon la version de SSL qu'ils intègrent, la politique de l'entreprise concernant le niveau minimum de cryptage acceptable et les restrictions légales sur l'exportation de logiciels employant SSL. Parmi ses fonctions annexes, le protocole de négociation SSL détermine comment serveur et client choisissent l'algorithme de chiffrement utilisé pour s'authentifier l'un à l'autre, pour transmettre des certificats et pour établir les clefs de session.
Les algorithmes d'échange de clef, tels que KEA et RSA-échange de clé, déterminent la manière dont le serveur et le client déterminent les clefs symétriques qu'ils utiliseront pendant la session SSL. Les suites de chiffrement les plus courantes emploient l'échange de clefs RSA.
Les protocoles SSL 2.0 et SSL 3.0 autorisent l'emploi de suites de chiffrement qui se recouvrent partiellement. Les administrateurs peuvent activer ou désactiver chacune des suites supportées sur les clients ou sur les serveurs. Lorsqu'un client et un serveur s'échangent des informations durant la négociation SSL, ils identifient les plus fortes suites de chiffrement autorisées qu'ils ont en commun pour les utiliser lors de la session SSL.
La décision d'une organisation d'activer telle ou telle suite de chiffrement est un compromis entre la sensibilités des données à échanger, la rapidité du chiffrement, et des conditions d'application des règles d'exportation.
Certaines organisations peuvent vouloir désactiver les chiffrement les plus faibles pour empêcher les connexions SSL faiblement cryptées. Cependant, à cause de restrictions imposées par le gouvernement étasunien sur les produits supportant un cryptage de plus de 40-bits, désactiver le support de tous les chiffrements 40-bit restreindra l'accés aux seuls navigateurs provenant des États-Unis (à moins que le serveur n'ait uneGlobal Server ID qui permette aux clients internationaux d'utiliser un cryptage plus fort).
Pour satisfaire le plus d'utilisateurs possible, il est préférable que les administrateurs activent le plus grand nombre de suites de chiffrement possibles. Ainsi, lorsqu'un client et un serveur étatsuniens se connectent, ils choisiront le plus fort chiffrement disponible. Lorsqu'un client ou serveur étatsunien se connecte à un serveur ou un client international, il négociera l'utilisation de chiffrements autorisés par les lois sur l'exportations étasuniennes.
Cependant, comme les chiffrements 40-bits peuvent être cassés assez rapidement, les administrateurs dont les utilisateurs peuvent utiliser de plus forts chiffrements sans déroger aux restrictions sur l'exportation devraient désactiver les chiffrements 40-bits s'ils sont soucieux de l'interception des données par des tiers non autorisés.
- RC4 avec chiffrement 128-bit et message d'authentification MD5
- RC4 avec chiffrement 40-bit et message d'authentification MD5
- RC2 avec chiffrement 40-bit et message d'authentification MD5
- Pas de chiffrement, uniquement message d'authentification MD5
Suites de chiffrement avec clef d'échange RSA
intentionnel Le tableau 1 liste les suites de chiffrement supportées par SSL utilisant un algorithme à clef d'échange RSA. À moins que cela ne soit indiqué, tous les chiffrements listés dans ce tableau sont supportés par les protocoles SSL 2.0 et SSL 3.0. Les suites de chiffrement sont listées du plus haut au plus bas niveau de chiffrement.
Niveau de chiffrement et usage recommandé
|
Suites de chiffrement
|
---|---|
Chiffrement de très haut niveau Autorisé pour un déploiement uniquement aux États-Unis. Ces suites de chiffrement supportent un chiffrement de très haut niveau utilisées par les banques et toutes autres institutions pour chiffrer des données hautement sensibles. Red Hat Console n'intègre pas ces suites de chiffrement. | Chiffrement 168-Bit triple DES et message d'authentification SHA-1 Triple DES est le chiffrement de plus haut niveau supporté par SSL, mais il n'est pas aussi rapide que RC4. Triple DES uses a key three times as long as the key for standard DES. À cause de la longueur de la clef, il y a infiniment plus de possibilités de clefs que la plupart des autres chiffrements avoisinant les 3.7 * 1050. Cette suite de chiffrement est compatible avec FIPS. Elle est supportée par SSL 2.0 et SSL 3.0. |
Chiffrement de haut niveau Autorisé pour un déploiement uniquement aux États-Unis. Ces suites de chiffrement supportent un chiffrement d'assez haut niveau pour la plupart des besoin commerciaux et gouvernementaux. | Chiffrement 128-Bit avec RC4 et message d'authentification MD5 Du fait de leur encryptage 128-bit, les chiffrements RC4 et RC2 sont parmi les plus forts chiffrements après le Triple DES (Data Encryption Standard), avec un encryptage 168-bit. Les encryptages RC4 et RC2 128-bit permettent approximativement 3.4 * 1038 clefs possibles, les rendant très difficiles à briser. Les chiffrements RC4 sont les plus rapide des chiffrements supportés.. Cette suite de chiffrement est supportée par le protocole SSL 3.0 mais pas par SSL 2.0. Red HatConsole ne supporte que la version pour SSL 3.0 de cette suite de chiffrement. |
Chiffrement 128-Bit avec RC2 et message d'authentification MD5 Du fait de leur encryptage 128-bit, les chiffrements RC4 et RC2 sont parmi les plus forts chiffrements après le Triple DES (Data Encryption Standard), avec un encryptage 168-bit. Les encryptages RC4 et RC2 128-bit permettent approximativement 3.4 * 1038 clefs possibles, les rendant très difficiles à briser. Les chiffrements RC2 sont plus lents que les RC4. Cette suite de chiffrement est uniquement supportée par le protocole SSL 2.0. Red HatConsole ne la supporte pas | |
Chiffrement 56-Bit avec DES et message d'authentification SHA-1 DES est plus fort que le cryptage 40-bit, mais moins que le 128-bit. Le cryptage 56-bit DES permet environ 7.2 * 1016 clefs possibles. Cette suite de chiffrement est compatible avec FIPS. Cette suite de chiffrement est supportée par SSL 2.0 et SSL 3.0, excepté que SSL 2.0 utilises le message d'authentification MD5 à la place de SHA-1. Red HatConsole ne supporte pas cette suite de chiffrement. | |
Chiffrements exportables Cette suite de chiffrement est moins forte que les précédentes, mais elle peut être utilisée dans la plupart des pays (notez que la France les autorise pour SSL mais pas pour S/MIME). Ils fournissent le cryptage de plus haut niveau exportable.1 | Chiffrement 40-Bit avec RC4 et message d'authentification MD5 L'encryptage 40-bit de RC4 40-bit permet approximativement 1.1 * 1012 (un billion) de clefs possibles. Les chiffrements RC4 sont les plus rapides de tous les chiffrements supportés. Ce chiffrement est supporté par SSL 2.0 et SSL 3.0. Red HatConsole ne supporte que la version pour SSL 3.0 de cette suite de chiffrement. |
Chiffrement 40-bit avec RC2 et message d'authentification MD5 L'encryptage RC2 40-bit permet environ 1.1 * 1012 (un billion) de clefs possibles. Les chiffrements RC2 sont plus lents que les RC4. Ce chiffrement est supporté par le protocole SSL 3.0 mais pas par SSL 2.0. Red HatConsole ne supporte que la version pour SSL 3.0 de cette suite de chiffrement. | |
Chiffrement de bas niveau Cette suite de chiffrement fournit une authentification et une détection de l'altération des données mais pas d'encryptage. Les administrateurs de serveurs doivent être très prudents concernant son activation, du fait que les données transmises avec cette suites de chiffrement ne sont pas encryptées et qu'elles sont potentiellement accessibles à de personnes tierces espionnant le réseau. | Pas de chiffrement, uniquement message d'authentification MD5 Cette suite de chiffrement utilise le message d'authentification MD5 pour détecter l'altération des données. Elle est généralement utilisée lorsqu'un client et un serveur n'ont aucun autre chiffrement en commun. Cette suite de chiffrement est supportée par SSL 3.0 mais pas par SSL 2.0. |
1 Notez que pour les chiffrements RC4 et RC2, le terme "chiffrement 40-bit" signifie que les clefs sont en 128 bits, mais que seuls 40 bits ont une signification cryptographique. |
Suites de chiffrement de Fortezza
Le tableau 2 liste les suites de chiffrement additionnelles supportées par les produits Red Hat intégrant Fortezza. Pour SSL 3.0 Fortezza est un système de cryptage utilisé par les agences gouvernementales étasuniennes pour la gestion des informations sensibles, mais déclassifiées. Il fournit une implémentation hardware de 2 chiffrements classifiés, développés par le gouvernement fédéral étasunien : Fortezza KEA et SKIPJACK. Les chiffrements Fortezza pour SSL utilise un algorithme par clef d'échange (KEA) plutôt qu'un algorithme de clef d'échange RSA mentionné dans la précédente section, et il utilise les cartes Fortezza et DSA pour l'authentification client.
Niveau de chiffrement et usage recommandé | Suites de chiffrement |
---|---|
Suites de chiffrement Fortezza haut niveau Autorisé pour un déploiement uniquement aux États-Unis. Ces suites de chiffrement supportent un chiffrement d'assez haut niveau pour la plupart des besoin commerciaux et gouvernementaux.Red Hat Console n'intègre pas ces suites de chiffrement. | Chiffrement 128-Bit avec RC4 et message d'authentification SHA-1 Comme le chiffrement 128-Bit avec RC4 et message d'authentification MD5, ce chiffrement est un des deux plus fort chiffrements après le Triple DES. Il permet approximativement 3.4 * 1038 clefs, le rendant très difficile à briser. Cette suite de chiffrement est supportée par le protocole SSL 3.0 mais pas par SSL 2.0. |
Chiffrement 80-bit RC4 avecSKIPJACK et message d'authentification SHA-1 Le chiffrement SKIPJACK est un algorithme cryptographique à clefs symétriques classifié, implémenté dans les matériels compatibles Fortezza. Certaines implémentations de SKIPJACK supportent les clefs tierce partie utilisant leLaw Enforcement Access Field (LEAF). Les plus récentes implémentations ne les supportent pas. Cette suite de chiffrement est supportée par le protocole SSL 3.0 mais pas par SSL 2.0. | |
Suites de chiffrement Fortezza bas niveau Cette suite de chiffrement fournit l'authentification et la détection des altérations mais pas l'encryptage des données. Les administrateurs de serveurs doivent être très prudents concernant son activation, du fait que les données transmises avec cette suites de chiffrement ne sont pas encryptées et qu'elles sont potentiellement accessibles à de personnes tierces espionnant le réseau. Red HatConsole ne supporte pas ces suites de chiffrement. | Pas de chiffrement, message d'authentification SHA-1 uniquement Ce chiffrement utilise le message d'authentification SHA-1 pour détecter les altérations de données. Cette suite de chiffrement est supportées par le protole SSL 3.0 mais pas par SSL 2.0. |
La négociation SSL
Le protocole SSL utilise une combinaison de clef publique et de cryptage par clef symétrique. Le cryptage par clef symétrique est plus rapide que le cryptage par clef publique, cependant, le cryptage par clef publique fournit de bien meilleures techniques d'authentification. Une session SSL débute toujours par un échange de messages appelénégociation SSL. La négociation permet au serveur de s'authentifier auprès du client en utilisant les techniques par clef publique, puis autorise le client et le serveur à coopérer pour la création de clefs symétriques utilisées pour le cryptage rapide, le décryptage, et la détection de l'altération des données pendant la session qui suit. Éventuellement, la négociation SSL peut également permettre au client de s'authentifier auprès du serveur.
Les détails programmatiques exacts des messages échangés pendant la négociation SSL fait parti des objectifs de ce document. Cependant, les étapes mises en œuvre peuvent être résumées comme suit (en admettant l'utilisation de suites de chiffrement listées à la section « Suites de chiffrement avec clef d'échange RSA ») :
- Le client envoie au serveur sa version de SSL, ses paramètres de chiffrement, des données générées aléatoirement, et toutes autres informations dont le serveur à besoin pour communiquer avec lui en utilisant SSL.
- Le serveur envoie au client sa version de SSL ses paramètres de chiffrement, des données générées aléatoirement, et toutes autres informations dont le client à besoin pour communiquer avec lui en utilisant SSL. Le serveur envoie également son propre certificat et, si le client demande une ressource serveur nécessitant une authentification client, il demande le certificat client.
- Le client utilise certaines informations envoyées par le serveur pour l'authentifier (pour plus d'informations, voir la section « Authentification serveur »). Si le serveur ne peut pas être authentifié, l'utilisateur est averti du problème et il est informé que la connexion chiffrée et authentifiée ne peut pas être établie. Si le serveur peut être correctement authentifié, le client procède alors à l'étape 4.
- En utilisant toutes les données générées pendant la négociation SSL, le client (avec la coopération du serveur, suivant les chiffrements utilisés) crée un code secret préliminaire pour la session, le chiffre avec la clef publique du serveur (obtenue dans le certificat du serveur envoyé à l'étape 2), et envoie le code secret préliminaire chiffré au serveur.
- Si le serveur requiert une authentification client (une étape optionnelle dans la négociation), le client doit alors signer une autre portion de données limitée à cette négociation et connue par le client et le serveur. Dans ce cas, le client envoie les données chiffrées et son propre certificat au serveur ainsi que le code secret préliminaire chiffré.
- Si le serveur a requis une authentification client, il tente cette authentification (pour plus d'information, voir la section « Authentification client »). Si le client ne peut être authentifié, alors la session prend fin. Si le client est authentifié avec succès, le serveur utilise sa clef privée pour déchiffrer le code secret préliminaire, puis procéder à une série d'étapes (également exécutée par le client, à partir du même code secret préliminaire) pour générer le code secret principale.
- Le client et le serveur utilise tout les deux, le code secret principale pour générer desclefs de sessions, qui sont des clefs symétriques utilisées pour chiffrer et déchiffrer les informations échangées pendant la session SSL et pour vérifier leur intégrité, afin de détecter tout changement intervenu dans les données entre leur envoie et leur réception durant la connexion SSL.
- Le client envoie un message au serveur pour l'informer que les futures données transmises seront chiffrées avec la clef de session. Il envoie alors séparément un message (chiffré) indiquant que la négociation côté client est finie.
- Le serveur envoie un message au client pour l'informer que les futures données transmises seront chiffrées avec la clef de session. Il envoie alors séparément un message chiffré indiquant que la négociation SSL côté serveur est finie.
- La négociation SSL est maintenant terminée et la session SSL peut commencer. Le client et le serveur utilisent les clefs de session pour crypter et décrypter les données échangées et pour valider leur intégrité.
Avant d'aller plus loin dans la session, les serveurs Red Hat peuvent être configurés pour vérifier que le certificat client est présent dans les données de l'utilisateur dans le répertoire LDAP. Cette option de configuration fournit un moyen sûr de savoir si le certificat client n'a pas été révoqué.
Il est important de retenir que l'authentification du serveur comme celle du client entraîne le cryptage de certaines données à l'aide d'une clef, privée ou publique, et leur décryptage à l'aide de l'autre clef :
- Dans le cas d'une authentification serveur, le client chiffre le code secret préliminaire avec la clef publique du serveur. Seule la clef privée correspondante pourra déchiffrer correctement ce code secret, ainsi le client sera assuré que l'identité associée à la clef publique est bien celle du serveur avec lequel il est connecté. Dans le cas contraire, le serveur ne pourra pas déchiffrer le code secret préliminaire et ne pourra pas générer les clefs symétriques requises pour la session et celle-ci se terminera.
- Dans le cas d'une authentification client, le client chiffre certaines données aléatoires avec ses clef privée, créant ainsi une signature numérique. La clef publique du certificat client peut correctement valider cette signature seulement si elle correspond à la clef privée utilisée. Dans le cas contraire, le serveur ne pourra pas valider la signature numérique et la session se terminera.
Les sections ci-dessous fournissent plus de détails concernant les authentifications serveur et client.
Authentification serveur
Les logiciels client SSL de Red Hat requirent toujours une authentification du serveur, ou une validation cryptographique de l'identité du serveur par le client. Comme expliqué à l'étape 2 de « La négociation SSL », le serveur envoie un certificat au client pour s'identifier. Le client utilise le certificat serveur lors de l'étape 3 pour authentifier l'identité que le certificat dit représenter.
Pour authentifier le lien existant entre la clef publique et le serveur identifié par le certificat contenant cette clef, un client SSL doit pouvoir répondre affirmativement aux quatre questions décrites dans la Figure 2. Bien que la quatrième question ne fasse pas techniquement partie du protocole SSL, il est de la responsabilité du client d'y répondre, ce qui donne une plus grande assurance quant à l'identité du serveur et aide ainsi à se protéger contre les attaques de type «Man-in-the-Middle ».
Un client SSL doit valider toutes ces étapes pour authentifier l'identité d'un serveur :
- Le certificat est-il valide aujourd'hui ? Le client vérifie la période de validité du certificat serveur. Si la date et l'heure courantes sont en dehors de cette période de validité, le processus d'authentification n'ira pas plus loin. Dans le cas contraire, le client continue le processus d'authentification.
- L'AC émettrice est-elle une AC de confiance ? Chaque client SSL possède une liste de certificat d'AC de confiance, représentée par la zone ombrée à droite de la figure 3. Cette liste détermine quels certificats serveur le client acceptera. Si le nom distinct (DN ou distinguished name en anglais) de l'AC émettrice correspond au DN d'une AC de confiance présente dans la liste du client, la réponse à la question sera « Oui », et le client passera à l'étape 3. Si l'AC émettrice n'est pas dans la liste, le serveur ne sera pas authentifié à moins que le client ne puisse établir une chaîne de confiance qui se termine sur un certificat se trouvant dans la liste.
- La clef publique de l'AC émettrice valide-t-elle la signature numérique de l'émetteur ? Le client utilise la clef publique provenant du certificat de l'AC (trouvé dans sa liste d'AC de confiance à l'étape 2) pour valider la signature numérique de l'AC présente dans le certificat serveur qui lui est présenté. Si l'information du certificat serveur a été modifiée depuis qu'elle a été signée par l'AC ou si la clef publique du certificat d'AC ne correspond pas à la clef privée utilisée par l'AC pour signer le certificat serveur, le client n'authentifiera pas l'identité du serveur. Si la signature numérique de l'AC peut être validée, le serveur traite le certificat client comme une « lettre de recommandation » valide de la part de l'AC et poursuit le processus. À ce moment, le client a déterminé que le certificat serveur est valide. Il est désormais de sa responsabilité de procéder à l'étape 4 avant de passer à l'étape 5.
- Le nom de domaine présent dans le certificat serveur correspond-il au nom de domaine du serveur ? Cette étape confirme que le serveur est bien localisé à l'adresse réseau spécifiée par le nom de domaine du certificat serveur. Bien que cette étape ne fasse pas partie du protocole SSL, elle fournit l'unique protection contre une attaque de type «Man-in-the-midlle ». Les clients doivent effectuer cette étape et ils doivent refuser d'authentifier un serveur ou d'établir une connexion si le nom de domaine ne correspond pas. Si le nom de domaine du serveur correspond à celui présent dans le certificat serveur, alors le client peut procéder à l'étape 5.
- Le serveur est authentifié. Le client procède à la négociation SSL. Si le client ne parvient pas à l'étape 5, quelle qu'en soit la raison, le serveur identifié par le certificat ne peut pas être authentifié, et l'utilisateur sera averti du problème et informé qu'une connexion chiffrée et authentifiée ne peut pas être établie. Si le serveur requiert une authentification client, il exécutera les étapes décrites dans la section « Authentification client ».
Après les étapes décrites ici, le serveur doit réussir à utiliser sa clef privée pour décrypter le code secret préliminaire que le client lui envoie lors de l'étape 4 de « la négociation SSL ». Dans le cas contraire, la session SSL se terminera. Ceci fournit l'assurance que l'identité associée à la clef publique présente dans le certificat serveur est bien celle du serveur auquel le client est connecté.
Attaque du type « Man-in-the-Middle » (l'homme-au-milieu)
Comme suggéré dans l'étape 4 ci-dessus, l'application cliente doit comparer le nom de domaine du serveur, spécifié dans le certificat serveur, avec le nom de domaine du serveur avec lequel le client communique. Cette étape est nécessaire pour protéger la communication contre une attaque de type « Man-in-the-Middle » qui fonctionne comme expliqué ci-dessous.
L'« homme au milieu » est un programme parasite qui intercepte toutes les communications entre le client et le serveur avec lequel il veut établir une connexion SSL. Ce programme intercepte les clefs légitimes qui sont échangées dans les deux sens, leur substitue ses propres clefs, et se fait passer pour le serveur auprès du client, et pour le client auprès du serveur.
Les informations chiffrées échangées au commencement de la négociation SSL sont en réalité chiffrées avec la clef publique ou privée du programme parasite, au lieu de celles du client, ou du serveur. Le programme parasite finit par établir un premier ensemble de clefs de session à utiliser avec le véritable serveur, puis un second ensemble à utiliser avec le client. Ceci permet au programme parasite non seulement de lire toutes les données transmises entre le client et le serveur, mais également de modifier ces données sans que cela ne soit détecté. Il est donc très important pour le client de vérifier que le nom de domaine du certificat serveur correspond effectivement au nom de domaine du serveur avec lequel il tente de communiquer, en plus de vérifier la validité du certificat en procédant aux autres étapes décrites dans la section « Authentification serveur ».
Authentification client
Les serveurs SSL peuvent être configurés pour exiger une authentification client, ou une validation cryptographique de l'identité du client par le serveur. Un serveur ainsi configuré demande l'authentification du client (voir l'étape 6 de « La négociation SSL »), le client envoie au serveur un certificat et des données signées numériquement pour s'authentifier. Le serveur utilise les données signées numériquement pour valider la clef publique dans le certificat et pour authentifier l'identité que le certificat est supposé représenter.
Le protocole SSL requiert que le client crée une signature numérique en créant une empreinte unidirectionnelle générée à partir de données aléatoires pendant la négociation et connues uniquement du client et du serveur. L'empreinte des données est alors chiffrée avec la clef privée correspondant à la clef publique du certificat soumis au serveur.
Pour authentifier le lien entre la clef publique et la personne ou tout autre entité identifiée par le certificat contenant la clef publique, un serveur SSL doit pouvoir répondre affirmativement aux quatre questions représentées sur la Figure 3. Bien que la cinquième question ne fasse pas partie du protocole SSL, les serveurs Red Hat peuvent être configurés pour la poser afin de tirer avantage de l'enregistrement de l'utilisateur dans un répertoire LDAP lors du processus d'authentification.
Un serveur SSL suit ces étapes pour authentifier l'identité d'un utilisateur :
- La clef publique de l'utilisateur valide-t-elle sa signature numérique ? Le serveur vérifie que la signature numérique de l'utilisateur peut être validée par la clef publique présente dans le certificat. Si oui, le serveur établit que la clef publique certifiée appartenir à John Doe correspond à la clef privée utilisée pour la création de la signature et que les données n'ont pas été corrompues depuis qu'elle a été créée.
Cependant, après cette étape, le lien entre la clef publique et le DN (Nom distinctif) spécifié dans le certificat n'est pas encore établi. Le certificat a pu être créé par quelqu'un essayant d'usurper l'identité de l'utilisateur. Pour valider le lien entre la clef publique et le DN, le serveur doit également compléter les étapes 3 et 4.
- Le certificat est-il valide aujourd'hui ? Le serveur vérifie la période de validité du certificat. Si la date et l'heure courantes sont en dehors de cette période de validité, le processus d'authentification n'ira pas plus loin. Dans le cas contraire, le serveur continue le processus d'authentification.
- L'AC (autorité de certification) émettrice est-elle une AC de confiance ? Chaque serveur SSL possède une liste de certificats provenant d'AC de confiance, représenté par la zone grisée sur la droite de la Figure 3. Cette liste détermine les certificats acceptés par le serveur. Si le DN de l'AC émettrice correspond au DN d'une AC de confiance présente dans la liste du serveur, la réponse à la question est « Oui » et le serveur passe à l'étape 4. Si l'AC émettrice n'est pas dans la liste, le client ne sera pas authentifié à moins que le serveur ne puisse établir une chaîne de confiance qui se termine sur un certificat se trouvant dans la liste. Les administrateurs peuvent contrôler, pour leur organisation, quels certificats seront de confiance ou non en contrôlant les listes de certificats d'AC maintenues par les clients et les serveurs.
- La clef publique de l'AC émettrice correspond-elle à sa signature numérique ? Le serveur utilise la clef publique du certificat d'AC (qui a été trouvé dans la liste des AC de confiance à l'étape 3) pour valider la signature numérique de l'AC dans le certificat présenté. Si l'information contenue dans le certificat a été modifiée depuis qu'il a été signé par l'AC ou si la clef publique incluse avec le certificat ne correspondent pas à la clef privée utilisée par l'AC pour signer le certificat, alors le serveur n'authentifiera pas l'identité de l'utilisateur. Si la signature numérique de l'AC peut être validée, le serveur traite le certificat de l'utilisateur comme « lettre de recommandation » valide de la part de l'AC et continue le processus. À partir d'ici, le protocole SSL autorise le serveur à considérer le client comme authentifié et procède à la connexion telle que décrite à l'étape 6. Les serveurs Red Hat peuvent éventuellement être configurés pour exécuter l'étape 5 avant l'étape 6.
- Le certificat de l'utilisateur est-il listé dans les entrées LDAP ? Cette étape optionnelle fournit un moyen aux administrateurs système de révoquer un certificat utilisateur même si celui-ci valide toutes les autres étapes du test. LeRed Hat Certificate System peut supprimer automatiquement un certificat révoqué des données concernant l'utilisateur dans le répertoire LDAP. Tous les serveurs configurés pour exécuter cette étape refuseront alors d'authentifier ce certificat ou d'établir une connexion. Si le certificat utilisateur présent dans le répertoire est identique à celui présenté par l'utilisateur lors de la négociation SSL, alors le serveur passera à l'étape 6.
- Le client authentifié est-il autorisé à accéder aux ressources demandées ? Le serveur vérifie les ressources auxquelles l'utilisateur a le droit d'accéder selon les listes de contrôle d'accès du serveur (ACLs) et il établit la connexion avec les droits d'accès appropriés. Si, pour une raison ou une autre, le serveur ne parvient pas à l'étape 6, l'utilisateur identifié par le certificat ne peut pas être authentifié et il ne sera pas autorisé à accéder aux ressources du serveur qui nécessitent l'authentification.
Informations sur le document original
- Auteur(s) :
- Autres contributeurs: Giacomo Magnini
- Dernière mise à jour : 26 septembre 2005
- Copyright : © 2001 Sun Microsystems, Inc. Used by permission. © 2005 Red Hat, Inc. All rights reserved.