Upgrade to Pro — share decks privately, control downloads, hide ads and more …

TLS 1.3 arrive!!! Et si on comprenait déjà ce q...

Avatar for Arnaud Arnaud
June 21, 2019

TLS 1.3 arrive!!! Et si on comprenait déjà ce que fait TLS 1.2 ?

Avatar for Arnaud

Arnaud

June 21, 2019
Tweet

More Decks by Arnaud

Other Decks in Technology

Transcript

  1. TLS 1.3 arrive!!! Et si on comprenait déjà ce que

    fait TLS 1.2 ? @LocquetArnaud #voxxed_lu #tls
  2. @LocquetArnaud #voxxed_lu #tls Ce qu’apporte TLS • Confidentialité • Authentification

    du serveur • Authentification du client • Intégrité du message
  3. @LocquetArnaud #voxxed_lu #tls Hachage Message Exemple de hash : nb

    de caractères modulo 10 -> Hash = 6 H E L L O V O X X E D L U X
  4. @LocquetArnaud #voxxed_lu #tls Code de César Message Clé = 1

    Clé = 3 H E L L O V O X X E D L U X K H O O R Y R A A H G O X A I F M M P W P Y Y F E M V Y
  5. @LocquetArnaud #voxxed_lu #tls Obtention certificat serveur • Détenir un nom

    de domaine • Générer une paire de clés et une CSR • Validation du CSR par l’AC et génération du certificat
  6. @LocquetArnaud #voxxed_lu #tls Ce qu’apporte TLS • Confidentialité : Chiffrement

    symétrique • Authentification du serveur : Certificat + signature • Authentification du client : Certificat + signature • Intégrité du message : Hachage
  7. @LocquetArnaud #voxxed_lu #tls ClientHello Envoi • versions de TLS supportées

    • cipher suites • nombre aléatoire • SNI • ...
  8. @LocquetArnaud #voxxed_lu #tls Cipher Suite Exemple : TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • Algorithme

    d’échange de clés • Algorithme d’authentification du serveur
  9. @LocquetArnaud #voxxed_lu #tls Cipher Suite Exemple : TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • Algorithme

    d’échange de clés • Algorithme d’authentification du serveur • Algorithme de chiffrement des communications ◦ clé AES 128 ◦ mode de chiffrement par bloc GCM
  10. @LocquetArnaud #voxxed_lu #tls Cipher Suite Exemple : TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • Algorithme

    d’échange de clés • Algorithme d’authentification du serveur • Algorithme de chiffrement des communications ◦ clé AES 128 ◦ mode de chiffrement par bloc GCM • Hachage
  11. @LocquetArnaud #voxxed_lu #tls Certificate • Certificat du serveur Vérifié par

    le client : • validité : dates, nom de domaine, ... • AC de confiance ?
  12. @LocquetArnaud #voxxed_lu #tls Key Exchange - RSA • ServerKeyExchange •

    PreMasterKey chiffrée par la clé publique du serveur présente dans son certificat • Forward Secrety
  13. @LocquetArnaud #voxxed_lu #tls Finished • Fin des envois du client

    / server • Messages chiffrés par la master key
  14. @LocquetArnaud #voxxed_lu #tls • Données applicatives ◦ encapsulées ◦ chiffrée

    • MAC : message authentication code permet de vérifier l’intégrité du message Application Data
  15. @LocquetArnaud #voxxed_lu #tls • Demande d’un certificat client ◦ types

    de certificat acceptés ◦ algos de signature acceptés ◦ AC acceptées Certificate Request
  16. @LocquetArnaud #voxxed_lu #tls Hash basé sur les messages précédents et

    signé par la clé privée du client Certificate Verify
  17. @LocquetArnaud #voxxed_lu #tls Sécurité : • Restriction des algos :

    ◦ TLS_AES_256_GCM_SHA384 ◦ TLS_CHACHA20_POLY1305_SHA256 ◦ TLS_AES_128_GCM_SHA256 ◦ TLS_AES_128_CCM_8_SHA256 ◦ TLS_AES_128_CCM_SHA256 • Chiffrement plus tôt dans le handshake TLS 1.3
  18. @LocquetArnaud #voxxed_lu #tls TLS 1.3 Performance : • Diminution du

    nombre d’échanges : 1 seul A/R • Possibilité de 0 A/R
  19. @LocquetArnaud #voxxed_lu #tls TLS 1.3 Performance : • Diminution du

    nombre d’échanges : 1 seul A/R • Possibilité de 0 A/R www.keycdn.com