Galactic Civilizations 3
IPsec - Attaque Man-In-the-Middle

IPsec - Attaque Man-In-the-Middle

Catégorie: Sécurité.
Posté par le 02/10/2011.
Dernière mise à jour le 02/10/2011.

<<Tutoriel précédent    Tutoriel suivant>>

Description

Cette partie vous expliquera le fonctionnement de l'échange Diffie-Hellman et les techniques utilisées pour le protéger contre l'attaque de l'homme au milieu (Man-In-the-Middle).

L’attaque Man-In-the-Middle de DH

Etablissement d’un secret partagé (Diffie-Hellman)

Dans un système de clé privée, le problème majeur réside au niveau de l’échange de la clé entre les deux parties. Diffie et Hellman ont pour ça mis en place un moyen permettant de partager la clé sans avoir besoin d’un canal sécurisé.

IPsec Man-In-the-Middle

  • Clé privé : XA, XB
  • Clé publique : YA, YB
  • YA = gXA mod p et YB = gXB mod p (g est le secret partagé)
  • YBXA = (gXB)XA = gXBXA = gXAXB = (gXA)XB = YAXB (mod p)

Faille: l’attaque man-in-the-middle consiste à se placer entre A et B, récupère YA et YB et renvoyer YT à A et B. L’intrus peut ainsi lire tous les messages échangés entre A et B sans que ceux-ci ne remarque quelque chose (puisqu’il les transferts).

IPsec Man-In-the-Middle

  • Secret partagé entre A et T : YTXA = (gXT)XA = gXTXA = gXAXT = (gXA)XT = YAXT (mod p)
  • Secret partagé entre B et T : YBXT = (gXB)XT = gXBXT = gXTXB = (gXT)XB = YTXB (mod p)

Différent types de Diffie-Hellman

  • DH anonyme : Les paramètres YA et YB sont échangés, ils peuvent varier d’une session à l’autre ce qui les rend plus dur à casser par force brute. Cette technique n’est pas protégée contre l’attaque de l’homme au milieu vu que les paramètres ne sont pas authentifiés.
  • DH fixé : Les paramètres YA et YB du DH sont des nombres permanents, signés par un CA ou un KDC. Cette méthode résiste à l’attaque de l’homme au milieu (on ne peut pas envoyer YT à la place de YA et YB). Par contre, cette technique est sensible au brute force car les paramètres ne changent que très rarement.
  • DH éphémère : Les paramètres publics du DH sont échangés, ils peuvent varier d’une session à l’autre ce qui les rend plus dur à casser par force brute. Ici, pour contrecarrer l’attaque de l’homme au milieu, A et B prouve que c’est eux qui ont bien généré les valeurs de DH. Pour ce faire, il existe différentes solutions :
    • Chiffrer l’échange DH avec une clé secrète partagée (PSK).
    • Signer les valeurs de DH avec sa clé privée (PKI).
    • Chiffrer les valeurs de DH avec la clé publique de l’autre parti. (Tout le monde peut faire ça, alors comment ça prouve l’authenticité ? B est le seul à pouvoir déchiffrer YA KB+(A, YA) et A est la seule à pouvoir déchiffrer YB KA+(B, YB). Donc même si Trudy sait forger un des deux messages, elle ne pourra pas lire la réponse car la réponse de l’autre parti et ne saura donc pas générer le secret partagé.)
    • Exécuter l’échange DH et transmettre un hash de la clé secrète partagée et des valeurs de DH que vous transmettez (pendant l’échange).
    • Exécuter l’échange DH et transmettre un hash de la clé secrète partagée et des valeurs de DH choisis et de votre nom (après l’échange).

Le DH éphémère demande donc également un PKI ou un KDC. Donc si on en utilise déjà un à la base, alors pourquoi utiliser l’algorithme de DH pour établir une clé de session ? La raison est simplement parce qu’avec un tel algorithme, les deux parties contribuent à la clé partagée. Si les deux parties ont de bons générateurs de nombres aléatoires, alors la clé partagée sera parfaitement aléatoire.

Tu as aimé ce tutoriel ?
Aide nous à améliorer le site ! Deviens partenaire officiel ou suis nous sur facebook !

<<Tutoriel précédent    Tutoriel suivant>>

Commentaires[0]

Tu as aimé ce tutoriel ? Alors partage-le avec tes amis !
Partager sur Facebook Partager sur Twitter Partager sur Myspace Partager sur Stumbleupon Soumettre sur Reddit Partager sur Digg Ajouter à vos favoris Technorati Ajouter à vos favoris Live Ajouter à vos favoris Google Ajouter sur vos favoris Yahoo Voir le flux rss

Mots Clés: DH Diffie-Hellman IPsec Man-In-the-Middle MITM Securite

Veve :
(11/04/2013 - 17:19:44)
il faut juste mettre "sudo" à la place de "su" pour exécuter la commande en root

Veve :
(11/04/2013 - 17:18:56)
Salut tu peux aller lire ce tutoriel: http://www.tutorielsenfolie.com/tutoriels-63-installation-configuration-opennebula.html Il fonctionne aussi sous ubuntu

safa.souissi4 :
(10/04/2013 - 20:58:13)
s'il vous plait c urgent :(

safa.souissi4 :
(10/04/2013 - 20:56:25)
bonsoir,je cherche un tutos pour installer opennebula.org sous ubuntu 12.

Veve :
(18/03/2013 - 20:07:49)
oui, j'essaye de voir d'ou viens le problème.

sonde :
(18/03/2013 - 13:29:57)
re merci (j apprend un peu plus) je crois que j ai trouver pourquoi je peu pas poster si il y a ligne code impossible de poster lol

Veve :
(17/03/2013 - 21:34:49)
Salut, j'espère que ça t'a aidé.

sonde :
(17/03/2013 - 09:59:02)
pour ton aide

sonde :
(17/03/2013 - 09:57:36)
slt Veve impossible de laisser com

sonde :
(17/03/2013 - 09:56:55)
??

Demi-dieu :
(15/03/2013 - 18:41:13)
salut ^^

sonde :
(13/03/2013 - 14:49:35)
un petit coucou

Tanamoureuse :
(29/09/2011 - 06:11:08)
Je t'aime

Faire un don

Ma Publicité ici


Faire un don