TLS 1.3 arrive!!! Et si on comprenait déjà ce que fait TLS 1.2 ?

TLS 1.3 arrive!!! Et si on comprenait déjà ce que
fait TLS 1.2 ? @LocquetArnaud #voxxed_lu #tls

@LocquetArnaud #voxxed_lu #tls Arnaud Locquet @LocquetArnaud

@LocquetArnaud #voxxed_lu #tls Moi & TLS

@LocquetArnaud #voxxed_lu #tls Moi & TLS Handshake Failure

@LocquetArnaud #voxxed_lu #tls moi & TLS

@LocquetArnaud #voxxed_lu #tls TLS 1.2 - Handshake Protocol

@LocquetArnaud #voxxed_lu #tls

@LocquetArnaud #voxxed_lu #tls Historique SSL 1.0 1994 SSL 2.0 1995
SSL 3.0 1996

@LocquetArnaud #voxxed_lu #tls Historique TLS 1.0 1999 TLS 1.1 2006
TLS 1.2 2008 TLS 1.3 2018

@LocquetArnaud #voxxed_lu #tls Ce qu’apporte TLS • Confidentialité • Authentification
du serveur • Authentification du client • Intégrité du message

Hachage

@LocquetArnaud #voxxed_lu #tls Hachage Message Exemple de hash : nb
de caractères modulo 10 -> Hash = 6 H E L L O V O X X E D L U X

Chiffrement symétrique

@LocquetArnaud #voxxed_lu #tls Code de César Message Clé = 1
Clé = 3 H E L L O V O X X E D L U X K H O O R Y R A A H G O X A I F M M P W P Y Y F E M V Y

@LocquetArnaud #voxxed_lu #tls Chiffrement symétrique • Code césar • 3DES
• AES • ChaCha

Chiffrement asymétrique

@LocquetArnaud #voxxed_lu #tls Ouvert Fermé Fermé clé privée clé publique

@LocquetArnaud #voxxed_lu #tls Ouvert Fermé clé publique Chiffrement

@LocquetArnaud #voxxed_lu #tls Ouvert Fermé clé privée Déchiffrement

@LocquetArnaud #voxxed_lu #tls Ouvert Fermé clé privée Signature

@LocquetArnaud #voxxed_lu #tls Ouvert Fermé clé publique Vérification Signature

Certificats

Certificat • identifiant • identité • durée de validité •
émetteur • signature • clé publique

@LocquetArnaud #voxxed_lu #tls Certificat auto signé Arnaud Locquet 29/05/1985 ID
: 1010101010

@LocquetArnaud #voxxed_lu #tls Obtention certificat serveur • Détenir un nom
de domaine • Générer une paire de clés et une CSR • Validation du CSR par l’AC et génération du certificat

@LocquetArnaud #voxxed_lu #tls Localisation certificats / clés AC .crt Client
.crt fait confiance

@LocquetArnaud #voxxed_lu #tls Localisation certificats / clés AC .crt Serveur
.crt signe

Serveur .crt .crt vérifie signature

@LocquetArnaud #voxxed_lu #tls Localisation certificats / clés AC 1 .crt
Serveur .crt fait confiance

.crt signe

@LocquetArnaud #voxxed_lu #tls Localisation certificats / clés AC 1 .crt
Client .crt Serveur .crt vérifie signature

@LocquetArnaud #voxxed_lu #tls Configuration serveur Serveur .crt

@LocquetArnaud #voxxed_lu #tls Configuration serveur Serveur .crt .crt

@LocquetArnaud #voxxed_lu #tls Configuration client • TrustStore Client .crt .crt

@LocquetArnaud #voxxed_lu #tls Configuration client • Key Store Client .crt
.crt

@LocquetArnaud #voxxed_lu #tls Ce qu’apporte TLS • Confidentialité : Chiffrement
symétrique • Authentification du serveur : Certificat + signature • Authentification du client : Certificat + signature • Intégrité du message : Hachage

Handshake Protocol

@LocquetArnaud #voxxed_lu #tls TLS 1.2

@LocquetArnaud #voxxed_lu #tls ClientHello Envoi • versions de TLS supportées
• cipher suites • nombre aléatoire • SNI • ...

@LocquetArnaud #voxxed_lu #tls Cipher Suite Exemple : TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • Algorithme
d’échange de clés

d’échange de clés • Algorithme d’authentification du serveur

d’échange de clés • Algorithme d’authentification du serveur • Algorithme de chiffrement des communications ◦ clé AES 128 ◦ mode de chiffrement par bloc GCM

d’échange de clés • Algorithme d’authentification du serveur • Algorithme de chiffrement des communications ◦ clé AES 128 ◦ mode de chiffrement par bloc GCM • Hachage

@LocquetArnaud #voxxed_lu #tls ServerHello • Version TLS • Cipher suite
• Nombre aléatoire

@LocquetArnaud #voxxed_lu #tls Certificate • Certificat du serveur Vérifié par
le client : • validité : dates, nom de domaine, ... • AC de confiance ?

@LocquetArnaud #voxxed_lu #tls Key Exchange

@LocquetArnaud #voxxed_lu #tls Key Exchange - RSA • ServerKeyExchange •
PreMasterKey chiffrée par la clé publique du serveur présente dans son certificat • Forward Secrety

@LocquetArnaud #voxxed_lu #tls Key Exchange - (EC)DHE

@LocquetArnaud #voxxed_lu #tls ChangeCipherSpec • Passage en mode chiffré avec
la master key

@LocquetArnaud #voxxed_lu #tls Finished • Fin des envois du client
/ server • Messages chiffrés par la master key

@LocquetArnaud #voxxed_lu #tls • Données applicatives ◦ encapsulées ◦ chiffrée
• MAC : message authentication code permet de vérifier l’intégrité du message Application Data

@LocquetArnaud #voxxed_lu #tls Authentification Mutuelle Objectif : Authentifier le client

@LocquetArnaud #voxxed_lu #tls • Demande d’un certificat client ◦ types
de certificat acceptés ◦ algos de signature acceptés ◦ AC acceptées Certificate Request

@LocquetArnaud #voxxed_lu #tls Certificat du client Certificate

@LocquetArnaud #voxxed_lu #tls Hash basé sur les messages précédents et
signé par la clé privée du client Certificate Verify

TLS 1.3

@LocquetArnaud #voxxed_lu #tls TLS 1.3 150,000 top sites

@LocquetArnaud #voxxed_lu #tls TLS 1.3

@LocquetArnaud #voxxed_lu #tls Sécurité : • Restriction des algos :
◦ TLS_AES_256_GCM_SHA384 ◦ TLS_CHACHA20_POLY1305_SHA256 ◦ TLS_AES_128_GCM_SHA256 ◦ TLS_AES_128_CCM_8_SHA256 ◦ TLS_AES_128_CCM_SHA256 • Chiffrement plus tôt dans le handshake TLS 1.3

@LocquetArnaud #voxxed_lu #tls TLS 1.3 Performance : • Diminution du
nombre d’échanges : 1 seul A/R • Possibilité de 0 A/R

@LocquetArnaud #voxxed_lu #tls TLS 1.3 Performance : • Diminution du
nombre d’échanges : 1 seul A/R • Possibilité de 0 A/R www.keycdn.com

TLS 1.3 arrive!!! Et si on comprenait déjà ce q...

TLS 1.3 arrive!!! Et si on comprenait déjà ce que fait TLS 1.2 ?

More Decks by Arnaud

Other Decks in Technology

Featured

Transcript