Vulnérabilités de cryptographie – Guide pour les débutants


La cryptographie ou la cryptologie est l’étude et la pratique de méthodologies pour une communication sécurisée à la vue d’étrangers appelés adversaires. La cryptographie est liée à la construction et à la rupture de conventions qui évitent aux étrangers ou aux gens en général de parcourir les messages privés; différentes perspectives en matière de sécurité des données, par exemple, la classification des informations, la respectabilité des informations, la validation et la non-répudiation sont essentielles à la cryptographie actuelle.

La cryptographie actuelle existe à la convergence des ordres de l’arithmétique, du génie logiciel, du bâtiment électrique, de la science des correspondances et de la science des matériaux. Les utilisations de la cryptographie incluent le commerce électronique, les cartes de paiement à puce, les normes monétaires informatisées, les mots de passe PC et les correspondances militaires.

Il existe un mythe courant parmi les internautes selon lequel la cryptographie est entièrement sécurisée. Découvrant cette réalité, nous affirmons que ce n’est pas le cas. Il existe un certain nombre de risques concernant l’une des techniques les plus utilisées pour sécuriser les communications.

Un certain nombre de vulnérabilités par lesquelles les systèmes cryptographiques sont affectés sont:-

  • Durée de vie clés
  • Longueur de clé publique
  • Longueur de clé symétrique
  • Stockage sécurisé des clés privées
  • Force des protocoles de sécurité
  • Aléatoire des clés générées
  • Force de la mise en œuvre des technologies de sécurité
  • Quantité de texte brut connue des personnages

Durée de vie clés

La longueur de clé n’est qu’un facteur unique dans la qualité des calculs de cryptographie à clé symétrique et à clé ouverte. Plus une clé mystère ou une clé privée est utilisée, plus elle est sans défense pour attaquer. Plus une clé est utilisée longtemps, plus la mesure des données est codée avec la clé. De plus, une clé plus étendue donne également aux attaquants plus de possibilités d’abuser des lacunes dans le calcul de la cryptographie ou son exécution.

Dans l’ensemble, plus les données qui seront sécurisées par une clé sont importantes, plus la durée de vie des clés doit être courte. La durée de vie plus courte ne limite pas seulement la mesure du texte chiffré accessible pour la cryptanalyse, elle limite également le préjudice causé si une clé est échangée après un assaut de clé efficace.

Longueur de clé publique

Étant donné une clé de longueur similaire, la cryptographie à clé ouverte, dans l’ensemble, est plus vulnérable aux attaques que la cryptographie à clé symétrique, en particulier dans le calcul des agressions. Dans une attaque envisagée, l’attaquant essaie la plus grande partie des mélanges de nombres qui peuvent être utilisés avec le calcul pour déchiffrer le texte chiffré. Considérer que les attaques sont comme des attaques de poursuite de clé, mais la quantité d’éléments concevables diffère avec chaque calcul et avec la longueur de la clé de population générale et une clé privée utilisée. En fin de compte, pour une longueur de clé donnée, un assaut figuratif sur une clé ouverte nécessite moins d’efforts pour être fructueux qu’un assaut de poursuite de clé sur une clé symétrique.

Malgré le fait qu’une clé symétrique de 128 pièces est, pour la plupart, considérée comme incassable aujourd’hui, une clé ouverte de 256 pièces n’offre aucune assurance d’un savant agresseur. À mesure que la portée des clés ouvertes et des clés privées est élargie, l’effort requis pour négocier les clés en calculant les incréments d’agressions de manière significative – mais pas autant que le taux exponentiel pour les clés symétriques. De cette manière, la longueur de base des clés ouvertes suggérées pour être utilisées aujourd’hui est de 512 bits. Néanmoins, pour garantir des données importantes et des échanges très secrets, il est recommandé d’utiliser des clés ouvertes de plus de 512 bits lorsque cela est possible..

Longueur de clé symétrique

Le chiffrement de clé symétrique est susceptible de subir des attaques par interrogation de clé (également appelées attaques de puissance animale. Dans ces agressions, l’agresseur essaie toutes les clés imaginables jusqu’au moment où la clé correcte est trouvée pour déchiffrer le message. La plupart des agressions sont fructueuses avant que toutes les clés imaginables ne soient tentées..

Vous pouvez limiter le danger d’attaques par interrogation de clé en choisissant des durées de vie de clé plus courtes et des longueurs de clé plus longues. Une durée de vie de clé plus courte implique que chaque clé brouille moins de données, ce qui diminue le préjudice potentiel dans le cas où l’une des clés est négociée.

Les clés symétriques d’une longueur d’au moins 64 bits, pour la plupart, offrent une solide assurance contre les attaques de puissance sauvages. Aujourd’hui, les clés symétriques de 128 bits ou plus sont considérées comme incassables par les attaques de puissance sauvages. Dans tous les cas, l’énergie des PC s’est multipliée à peu près de la même manière qu’une horloge. De même, les agresseurs développent fréquemment de nouvelles méthodes et de nouveaux calculs pour améliorer l’adéquation des voies de fait principales. De cette manière, les évaluations du temps requis pour des attaques par enquête clés fructueuses doivent être modifiées en descendant à mesure que la force de calcul et les ressources accessibles aux agresseurs augmentent..

Stockage sécurisé des clés privées

La sécurité des clés privées est importante pour les cryptosystèmes à clé ouverte. Toute personne qui peut acquérir une clé privée peut l’utiliser pour imiter le propriétaire légitime au milieu de tous les échanges et échanges sur les intranets ou sur Internet. De cette manière, les clés privées doivent appartenir uniquement aux clients approuvés et doivent être protégées contre toute utilisation non approuvée..

Pour la cryptographie à clé ouverte basée sur la programmation, les opérations de cryptographie se produisent dans la mémoire du framework de travail des PC. Les assaillants peuvent avoir la capacité de contraindre les inondations de berceau ou les vidages de mémoire pour obtenir des clés privées. Peu importe si une clé privée est sécurisée par chiffrement pendant qu’elle est en mémoire, l’acquisition de la clé garantie est la phase initiale d’un assaut potentiel pour trouver ce qu’est la clé. La cryptographie basée sur l’équipement est inaliénablement plus sûre que la cryptographie basée sur la programmation.

De plus, de nombreux cryptosystèmes stockent en outre des clés privées sur des plaques dures proches. Un agresseur ayant accès à un PC peut utiliser des utilitaires de cercle de bas niveau pour trouver des clés privées codées sur la plaque dure et effectuer une cryptanalyse pour démêler la clé. Dans l’ensemble, le danger d’agressions sur les clés privées est beaucoup plus faible lorsque les clés sont rangées lors de la modification de gadgets d’équipement sûrs, par exemple, les cartes vives.

Quand tout est dit et fait, vous pouvez donner une plus grande sécurité aux clés privées en faisant l’accompagnement:

  • Donnez une sécurité physique et organisez les PC et les gadgets où les clés privées sont produites et rangées. Par exemple, vous pouvez stocker des serveurs utilisés pour les autorités de certification ou des correspondances Web sécurisées dans des batteries de serveurs boulonnées et organiser les points forts de la sécurité du système et des PC pour limiter les dangers d’agressions.
  • Utilisez des gadgets de cryptographie basés sur l’équipement pour stocker les clés privées. Les clés privées sont stockées sur un autre équipement sûr plutôt que sur le disque dur du PC. Toute la cryptographie se produit dans l’équipement de cryptographie, de sorte que les clés privées ne sont jamais découvertes dans le cadre de travail ni réservées en mémoire.
  • Dans l’ensemble, vous accordez la sécurité la plus élevée aux clés privées où le compromis de la clé causerait le plus de dommages potentiels. Par exemple, vous pouvez donner la sécurité la plus remarquable aux clés CA de votre association et aux clés de distribution de programmation Internet (marquage de code). Vous pouvez également avoir besoin de cartes averties pour les clés privées qui contrôlent l’accès aux ressources Web importantes ou qui sécurisent les échanges de courriels importants.

Force des protocoles

Les avancées de sécurité basées sur la cryptographie sont exécutées en utilisant des conventions de sécurité. Par exemple, des cadres de messagerie sécurisés peuvent être actualisés en utilisant la convention S / MIME, et des échanges de système sécurisés peuvent être exécutés en utilisant la suite de conventions IPSec. De la même manière, les échanges Web sécurisés peuvent être actualisés en utilisant la convention TLS.

En effet, même la meilleure utilisation des normes conventionnelles contient les lacunes et les contraintes inhérentes aux mesures. En outre, les normes de la convention renforcent normalement le renforcement d’une cryptographie plus faible par le plan. Par exemple, la convention TLS permet aux échanges privés de passer par défaut à un cryptage fragile pour aider les limitations de tarifs imposées par le gouvernement qui ont été mises sur la cryptographie.

Dans l’ensemble, vous pouvez réduire le risque de lacunes ou de confinements dans les conventions de sécurité en procédant comme suit:

  • Utiliser des conventions qui ont été complètement brisées et essayées après un certain temps et qui ont sûrement connu des contraintes avec des risques de sécurité adéquats.
  • Appliquez les dernières versions des conventions, qui offrent une sécurité plus ancrée ou corrigez les lacunes reconnues dans les formes antérieures de la convention. Les conventions sont réexaminées à l’occasion pour améliorer la convention et inclure de nouveaux avantages et points saillants.
  • Utilisez les choix de sécurité les plus ancrés accessibles à la convention pour garantir des données rentables. Lorsque cela est possible, exigez une cryptographie solide et n’activez pas les cadres par défaut pour réduire les paramètres de cryptographie de qualité, sauf si l’estimation des données à assurer est faible.
  • Interdisez l’utilisation de variantes de conventions plus expérimentées et plus faibles lorsque vous devez garantir des données importantes. Par exemple, exiger SSL (Secure Sockets Layer) forme 3 ou TLS pour les échanges Web sécurisés, et empêcher l’adaptation SSL moins sécurisée 2 correspondances.

Aléatoire des clés générées

Pour éviter que l’âge des clés ne soit surprenant, les clés doivent être produites arbitrairement. Dans tous les cas, les clés créées par programmation PC ne sont jamais produites de manière véritablement irrégulière. Dans le meilleur des cas, la programmation des générateurs de clés utilise des procédures pseudo-irrégulières pour garantir que, à toutes fins utiles, personne ne peut prévoir quelles clés seront produites. Néanmoins, si un agresseur peut anticiper les facteurs importants qui sont utilisés dans le cadre de l’âge clé, il ou elle peut également prévoir quelles clés seront créées.

Au moment où elle est exécutée légitimement, l’âge de clé basé sur la programmation donne une sécurité adéquate à une grande variété de besoins de sécurité du système et des données. Quoi qu’il en soit, il y a sûrement un léger danger lié à la programmation des clés créées, quelle que soit la façon dont le générateur de clés irrégulières est actualisé. De cette manière, pour donner la plus grande assurance de données exceptionnellement importantes, envisagez d’envoyer des dispositions de sécurité qui donnent des clés vraiment arbitraires et produites par l’équipement..

Force de la mise en œuvre des technologies de sécurité

La qualité de la sécurité de construction de cryptographie dépend de la qualité du calcul de cryptage et de l’innovation qui actualise la sécurité. Un calcul faible ou une innovation de sécurité exécutée de manière inefficace peut être utilisé à mauvais escient pour décoder tout texte chiffré qu’il produit. Par exemple, un calcul impuissant peut fournir un texte chiffré contenant des informations ou des exemples qui aident énormément la cryptanalyse. Une innovation de sécurité insuffisamment actualisée peut également donner des accès indirects par inadvertance que les agresseurs peuvent trouver une tentative. Par exemple, une innovation de sécurité exécutée de manière inefficace peut donner une approche aux assaillants pour acquérir des clés mystères à partir de mémoires.

La meilleure utilisation de la sécurité basée sur la cryptographie est généralement donnée par des éléments de sécurité qui ont été examinés et essayés après un certain temps et qui n’ont pas de défauts de sécurité ou de lacunes énormes connus. Dans tous les cas, aucune programmation de sécurité n’est immaculée, il est donc essentiel de régler rapidement les énormes failles de sécurité des éléments au fur et à mesure qu’ils sont détectés. De nombreux vendeurs, dont Microsoft Corporation, rendent les correctifs de sécurité pratiques accessibles pour leurs articles lorsqu’ils sont nécessaires.

Dans l’ensemble, vous pouvez réduire le risque de lacunes dans les éléments de sécurité basés sur la cryptographie en procédant comme suit:

  • Utilisez des éléments basés sur la cryptographie qui ont été entièrement examinés et essayés après un certain temps.
  • Donnez suffisamment d’efforts de sécurité du cadre et du système pour réduire le risque d’abus de lacunes dans vos cadres de sécurité basés sur la cryptographie. Par exemple, vous pouvez garantir des serveurs qui assurent la sécurité en organisant les serveurs pour une haute sécurité et en les plaçant derrière des pare-feu.
  • Actualisez les applications et les cadres de sécurité lorsque les correctifs et les correctifs de sécurité deviennent sensiblement accessibles pour résoudre les problèmes à mesure qu’ils sont détectés.

Quantité de texte brut connue des personnages

Il est parfois nécessaire de rechercher des clés ou de déterminer les agressions pour découvrir la substance des données codées. Différentes sortes de techniques de cryptanalyse peuvent être utilisées pour rompre les plans de chiffrement, y compris les attaques de texte en clair connues et les attaques de texte en clair sélectionnées. Les agresseurs peuvent collecter du texte chiffré pour leur permettre de décider de la clé de chiffrement. Plus les agresseurs connaissent les textes en clair, plus il est important qu’un agresseur puisse trouver la clé de chiffrement utilisée pour créer un texte chiffré..

En règle générale, vous pouvez réduire le danger d’agressions en texte brut en procédant comme suit:

  • Durée de vie clé du point de confinement. Cela diminue la mesure du texte chiffré accessible pour la cryptanalyse pour une clé spécifique. Plus la mesure du texte chiffré est petite, plus la mesure du matériel accessible à la cryptanalyse est petite, ce qui diminue le risque d’agressions de cryptanalyse.
  • Limitez le chiffrement des textes en clair connus. Par exemple, au cas où vous brouilleriez des données, par exemple des documents-cadres sur un cercle dur, le texte en clair connu est accessible pour la cryptanalyse. Vous pouvez réduire le danger d’agression en ne codant pas les documents connus et les zones du cercle dur.
  • Limitez la mesure du texte en clair codé avec une clé de session similaire. Par exemple, au milieu d’une correspondance privée IPSec, un agresseur peut avoir la capacité de soumettre un texte en clair sélectionné pour la cryptanalyse. Si la clé de session utilisée pour coder les données est modifiée aussi souvent que possible, la mesure du texte chiffré créé par une clé de session solitaire est restreinte et, de cette manière, diminue le risque d’attaques en texte brut.
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map