Etude des protocoles de sécurité dans le réseau internet

V.3.4.5. Opérations cryptographiques d'ISAKMP phase 1

Le tableau V.3 décrit les opérations cryptographiques effectuées pendant la négociation de la phase 1 (identity protection) d'ISAKMP. Les trois modes d'authentification supportés sont :

1' L'initiateur et le répondeur s'authentifient avec des certificats X.509 et une signature RSA. Dans ce cas, les deux entités possèdent à signer les données échangées en utilisant la clé privée associée à leur certificat X.509. Chacun de son coté doit vérifier le certificat envoyé et générer des valeurs DH éphémères pour l'échange des clés ;

1' Dans la deuxième mode d'authentification, chaque entité doit chiffrer avec la clé publique de l'autre bout de la communication, son identité et le nombre aléatoire ;

1' L'échange des clés se base aussi sur la génération des valeurs DH éphémères.

Dans le troisième mode d'authentification, les deux entités utilisent les clés publiques pour le chiffrement des nombres aléatoires. Il génère des valeurs DH éphémères pour l'échange des données. Le tableau V.3 illustre les opérations cryptographiques dans la phase 1 d'ISAKMP.

Tableau V.3. Opérations cryptographiques dans la phase 1 d'ISAKMP.

V.3.5. Protocole SSL/TLS ¹³ V.3.5.1. Généralités

Le protocole SSL (Secure Socket Layer) est développé a l'origine en 1996 par Netscape. En 1999, la première version standard de ce protocole est apparue à l'IETF sous le nom de TLS (Transport Layer Security). TLS correspond a la version 3.1 de SSL. SSL/TLS est un protocole modulaire dont le but est de sécuriser les transactions Internet entre le client et le serveur indépendamment de tout type d'application. En effet, SSL/TLS agit comme une couche supplémentaire au-dessus de TCP, permettant ainsi d'assurer les services d'authentification, de confidentialité et d'intégrité. L'implémentation native de la dernière version de SSL/TLS (version 3) par les navigateurs et serveurs Web actuels du marché, fait de HTTPS (HTTP sur SSL/TLS) le standard de facto de sécurisation des applications Web. C'est principalement pour

¹³ http : // www.cert-i-care.org.

cette raison que SSL/TLS est aujourd'hui massivement utilisé dans le commerce électronique afin de chiffrer les échanges et authentifier les serveurs via l'utilisation de certificats X.509v3. En revanche, l'authentification des clients reste beaucoup moins répandue. Ceci est dû au problème du déploiement à grande échelle des PKI, les lourdes opérations cryptographiques pour la vérification des certificats ainsi que la chaîne de certification. La figure suivante montre le temps de traitement cryptographique nécessaire pour l'établissement d'une session SSL/TLS avec une longueur de chaîne de certification égale à 1. La Figure V.10 illustre le temps de traitement pour un handshake SSL/TLS.

La figure V.10 illustre le temps de traitement pour un Handshake SSL/TLS.

a) Mode RSA sans authentification du client b) Mode RSA avec authentification du client

c) Mode RSA sans authentification du client d) Mode RSA avec authentification du client
Fig. V.10. Temps de traitement pour un Handshake SSL/TLS