Les deux principaux types d'algorithmes utilisés dans le cryptage sont les algorithmes symétriques et les algorithmes asymétriques. Ces types d'algorithmes offrent des avantages sensiblement différents et ont des utilisations différentes dans le cadre d'une implémentation cryptographique. Ce module examine chacun de ces types d'algorithmes et décrit leurs utilisations et leurs avantages

Contrairement au chiffrement symétrique, le chiffrement asymétrique est relativement récent, puisqu'il n'a été inventé, publié et donc rendu public qu'à la fin des années 1970.les algorithmes asymétriques ont commencé à être connus lorsque les docteurs Whitfield Diffie et Martin Hellman ont publié en 1976 un document intitulé "New Directions in Cryptography" (nouvelles orientations en cryptographie) L'article Diffie-Hellman décrivait le concept d'utilisation de deux clés différentes (une paire de clés) pour effectuer les opérations cryptographiques - l'essence même de la cryptographie asymétrique. Les paires de clés utilisées dans la cryptographie asymétrique sont mathématiquement liées et doivent toujours être utilisées par paire. Une clé ne fonctionnera pas si l'autre clé n'est pas utilisée. La paire de clés se compose d'une clé privée, que le propriétaire de la paire de clés DOIT garder privée, et d'une clé publique, qui est calculée à partir de la clé privée et peut être partagée avec toute personne avec laquelle le propriétaire souhaite la partager.la cryptographie asymétrique utilise ce que l'on appelle une fonction de trappe, ce qui signifie que s'il est facile de calculer une valeur dans un sens, il est extrêmement difficile, voire mathématiquement impossible, d'inverser le processus.les mathématiques utilisées pour créer la paire de clés permettent de calculer facilement la valeur de la clé publique si une personne connaît la valeur de la clé privée, mais l'inverse (c'est-à-dire la valeur de la clé privée) est impossible, déterminer la valeur de la clé privée en fonction de la valeur de la clé publique) est quelque chose que nous appelons infaisable d'un point de vue informatique - il faudrait plus de temps de traitement, sur plus d'unités centrales et de processeurs graphiques (GPU) fonctionnant en parallèle, pour être sûr de faire cette "supposition chanceuse" en remontant la trappe, pour ainsi dire, et en craquant la clé privée en se basant uniquement sur la clé publique.même le principe de Kerckhoffs (abordé dans le module 5) ne facilite pas ces attaques cryptographiques ! Les attaques modernes ont été menées à l'aide de systèmes de réseaux de zombies dans lesquels les CPU et les GPU font partie d'une attaque massivement parallèle contre ces systèmes cryptographiques.les fonctions de trappe constituaient l'une des "nouvelles orientations" de l'article de Diffie-Hellman ; l'autre consistait à utiliser ces fonctions pour calculer une clé de session symétrique à la demande, sans que l'expéditeur et le destinataire n'aient à échanger au préalable une valeur secrète telle qu'une clé de chiffrement symétrique. Soudain, le problème de la distribution et de la gestion des clés est devenu beaucoup plus simple.examinons de plus près ces idées et voyons comment elles ont donné naissance à la cryptographie à clé publique en tant qu'infrastructure (que nous appelons PKI en abrégé), à l'utilisation généralisée des signatures numériques et à toute une série d'autres idées essentielles à l'utilisation sûre et fiable du commerce électronique sous toutes ses formes

Une ICP est un ensemble de systèmes, de logiciels et de protocoles de communication nécessaires à l'utilisation, à la gestion et au contrôle de la cryptographie à clé publique.en tant qu'infrastructure, elle fournit des services fondamentaux aux utilisateurs enpubliant les clés publiques et les certificats liés à une identité Certifiant qu'une clé publique est liée à une personne ou à une identité Vérifiant qu'une clé publique est valide et correcte Notez que l'ICP travaille au niveau d'une identité, et non au niveau d'une entité.en tant que personne privée, l'être humain Kazuko est une entité ; chaque service web ou institution avec lequel il traite le connaîtra sous une identité différente, très probablement avec différents sous-ensembles de la collection totale d'attributs d'identification associés à Kazuko.chaque dispositif d'extrémité, comme les ordinateurs portables, les smartphones ou les montres intelligentes, encapsulera une partie de ces informations d'identité avec ses propres informations d'identité, qui deviendront l'identité connue de l'ICP et de ses services.kazuko, comme les autres milliards d'utilisateurs de l'internet (humains, appareils, organisations ou robots) possède donc des identités multiples ; l'ICP doit les servir toutes.gardez cette idée fondamentale à l'esprit lorsque nous utiliserons l'ICP pour garantir la sécurité, la fiabilité et la sûreté

La compromission de la plupart des systèmes cryptographiques n'est pas due à des faiblesses dans les algorithmes, mais le plus souvent à des problèmes de gestion des clés. Il s'agit souvent d'un problème humain lorsque des personnes partagent des clés, les distribuent de manière inappropriée, choisissent des clés faibles, ne détruisent pas les anciennes clés ou les stockent de manière non sécurisée.l'histoire est jonchée de défaites de nations et d'échecs d'entreprises à cause de ce problème.le mathématicien polonais Marian Rejewski a joué un rôle majeur dans le décryptage du code de la machine Enigma de l'Allemagne nazie pendant la Seconde Guerre mondiale. Travaillant au sein du bureau du chiffrage de l'état-major polonais avec les services de renseignements militaires français alliés, il a pu déterminer l'ordre des lettres sur les disques de chiffrage utilisés dans la machine Enigma en accédant à deux mois d'anciennes clés de chiffrage que les Allemands avaient mises au rebut.en tant que professionnels de la sécurité, nous devrions pouvoir consulter un manuel de gestion des clés cryptographiques et des certificats à l'usage des entreprises et des organisations privées ; ce manuel ne semble pas encore exister.la norme NIST SP 1800-16, publiée en juin 2020, constitue un bon début à cet égard, mais elle ne répond pas aux besoins des petites et moyennes entreprises, pas plus que le cadre de cybersécurité du NIST. Voyons ce que nous pouvons faire, en nous inspirant des leçons des modules 1 à 4 et de quelques autres leçons tirées de l'histoire

Les modules précédents ont expliqué les caractéristiques, les forces et les utilisations des algorithmes cryptographiques. En tant que professionnel de la sécurité, nous utiliserons ces algorithmes de différentes manières, notamment pour sécuriser le courrier électronique, les réseaux privés virtuels (VPN), le commerce électronique et la sécurité sans fil. La plupart des systèmes cryptographiques utilisent une combinaison d'algorithmes symétriques et asymétriques, de hachage et de signatures numériques.le chapitre 5 vous fournira des bases plus solides sur les modèles architecturaux de l'interréseautage, en passant par les couches du modèle OSI à 7 couches et TCP/IP en tant que piles de protocoles. Pour l'instant, il est bon de savoir que, depuis le niveau d'interconnexion physique jusqu'aux services utilisés par les applications, la cryptographie prend en charge tous les aspects de la sécurité.

Cette dernière partie de la section sur la cryptographie examinera quelques-unes des façons dont la protection des fichiers et des communications a été compromise par la science et l'art de la cryptanalyse. Il existe de nombreux moyens d'attaque (vecteurs d'attaque) qui peuvent être utilisés contre les systèmes de cryptographie : attaquer la clé, l'algorithme, le texte chiffré, la mise en œuvre ou les personnes, mais le maillon faible de la cryptographie est sans aucun doute les personnes. L'attaque la plus facile consiste à utiliser l'ingénierie sociale et à convaincre quelqu'un de divulguer un mot de passe ou d'autres informations sensibles.il est important de comprendre que la cryptanalyse et même les attaques cryptographiques sont des méthodes et non des motifs. Les attaquants peuvent être des testeurs de pénétration éthiques engagés par votre organisation ou faire partie d'une organisation chargée de l'application de la loi ou de la sécurité nationale menant des opérations de renseignement (et de contre-espionnage) légales.la cryptanalyse, c'est-à-dire l'observation des caractéristiques de conception ou de fonctionnement d'un système de cryptographie, peut être utilisée pour trouver des vulnérabilités ou identifier des domaines susceptibles d'être améliorés dans un système de cryptographie. Ces deux types d'analyse peuvent être effectués, et le sont, à des fins bénignes ou hostiles

Nous avons vu que les systèmes cryptographiques, lorsqu'ils sont correctement utilisés et sécurisés, peuvent répondre à tous les besoins de sécurité de CIANA+PS en matière de confidentialité, d'intégrité, de disponibilité, de non-répudiation, d'authenticité, de sécurité et de respect de la vie privée. La meilleure façon d'y parvenir est d'utiliser des systèmes hybrides qui font appel à des algorithmes cryptographiques symétriques et asymétriques afin d'assurer un fonctionnement solide et efficace tout en simplifiant les exigences en matière de distribution et de gestion des clés.bien entendu, le chiffrement n'est pas la réponse à tout. Comme tout contrôle de gestion et d'atténuation des risques, il doit être appliqué aux bons endroits dans l'architecture de l'information de l'organisation et utilisé correctement pour être efficace. Il doit également être géré pour continuer à assurer la protection requise.