Marwan KHELIF » Cryptographie

Authentification SSH par clé privée/clé publique

mkhelif — Mon, 24 Nov 2008 14:36:44 +0000

En voyant l’intérêt que les visiteurs de mon blog porte à l’installation d’un serveur de mail multi-domaines, j’ai décidé d’écrire un autre tutoriel sur la configuration d’un serveur SSH pour utiliser une connexion par clé publique/clé privée.

Fonctionnement

L’objectif d’une authentification par clés est de supprimer l’envoi de mots de passe par le réseau. Pour cela il faut deux clés : une clé privée (seul l’utilisateur doit pouvoir y avoir accès) et une clé publique (doit être déployée sur toutes les machines où l’on souhaite se connecter).

La clé publique peut crypter les données et seule la clé privée peut les décrypter. Dans l’autre sens la clé privée signe les messages, la clé publique permet alors de s’assurer que le message vient bien du bon utilisateur. C’est le cryptage asymétrique.

Pour SSH, c’est exactement la même chose. Le serveur envoi un challenge au client : message crypté à partir de la clé publique. La connexion ne sera acceptée uniquement si le client répond correctement à ce message (c’est à dire qu’il a réussi à décrypter le message).

Configuration du serveur SSH

Par défaut le serveur SSH n’accepte pas les connections par clés mais uniquement par mot de passe. On va donc activer cette méthode d’authentification :

Dans le fichier : /etc/ssh/sshd_config

RSAAuthentication    yes
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys

Pour des questions de sécurité vous pouvez désactiver la connexion avec le login root :

PermitRootLogin no

Il suffit de redémarrer le serveur SSH : /etc/init.d/ssh restart

Si vous souhaitez refuser l’authentification par mot de passe (pour éviter les attaques bruteforce et ainsi que les logs se remplissent pour rien) il faut positionner l’option suivante :

PasswordAuthentication no

Création des clés

Il y a deux manières pour créer les clés :

Sur un poste Linux :
1. Lancer la commande suivante : ssh-keygen -t rsa
2. Laisser les noms par défaut et entrer le mot de passe pour la clé privée.
Sur un poste Windows :
1. Utiliser PuttyGen pour générer les clés.

Ensuite il faut copier la clé publique id_rsa.pub sur le serveur auquel on souhaite se connecter et conserver la clé privée sur le poste client.

Dans le répertoire de l’utilisateur on crée un répertoire .ssh (répertoire par défaut où le serveur SSH va chercher les clés publiques) et on renomme le fichier en authorized_keys.

Ensuite il faut absolument que ce fichier ai les droits suivants : chmod 600 authorized_keys.

À partir de ce moment toutes les personnes ayant la clé privée et le mot de passe ayant servi à la générer peuvent se connecter au serveur.

Première connexion

Afin de se connecter avec Putty vous devez spécifier la clé privée : Connection / SSH / Auth.

Si vous avez créé votre paire de clés grâce à ssh-keygen, vous devez convertir votre clé privée au format Putty. Pour cela vous devez utiliser PuttyGen : menu Conversions / Import key, entrer alors le mot de passe de la clé, puis Save private key.

Lors de chaque connexion Putty vous demande le mot de passe de la clé, quel intérêt alors de se connecter en utilisant une paire de clé si on doit rentrer à chaque fois le mot de passe de la clé privée. C’est là qu’intervient Pageant, c’est un outils de la suite Putty qui permet de stocker pour une clé privée son mot de passe. L’utilisation de ce programme est extrêmement simple, je n’en parlerai donc pas ici. Pour Linux il suffit d’installer ssh-agent qui joue exactement le même rôle.

Pour suivre votre lecture

Chiffre de César

mkhelif — Thu, 17 Jan 2008 15:05:44 +0000

Le chiffre de César consiste simplement à décaler les lettres de l’alphabet de quelques crans vers la droite ou la gauche.Le chiffre de César (on parle aussi d’alphabet décalé) est un cas particulier d’alphabet désordonné.

Par exemple si nous décidons que le décalage est de 5 vers la droite, nous aurons pourrons chiffrer un message avec un nouvel alphabet :

Alphabet	a	b	c	d	e	f	g	h	i	j	k	l	m	n	o	p	q	r	s	t	u	v	w	x	y	z
Chiffré	f	g	h	i	j	k	l	m	n	o	p	q	r	s	t	u	v	w	x	y	z	a	b	c	d	e

On peut donc chiffrer un texte :

  Le mot  : chiffre de cesar
  Devient : hmnkkwj ij hjxfw

Le problème de cette méthode vient du fait que lorsque l’on chiffre un texte assez important, il est assez facile de revenir au texte clair sans avoir le chiffre de César.
En effet toutes les lettres de l’alphabet ont une fréquence d’apparition. On peut donc analyser le texte est retrouver les lettres d’origines.

Image Wikipedia de la répartition des lettres en français.

Pour suivre votre lecture

Chiffre de Vigénère

mkhelif — Thu, 17 Jan 2008 15:04:51 +0000

Le chiffre de Vigenère est une amélioration décisive du chiffre de César. Sa force réside dans l’utilisation non pas d’un, mais de 26 alphabets décalés pour chiffrer un message.

On peut résumer ces décalages avec un carré de Vigenère. Ce chiffre utilise une clef qui définit le décalage pour chaque lettre du message (A: décalage de 0, B: 1, C: 2, …, Z: 25).

Voici un exemple simple :

Texte en clair     : chiffre de vigenere
Clé de chiffrement : secret

On construit alors la table suivante :

Clair	c	h	i	f	f	r	e	d	e	v	i	g	e	n	e	r	e
Clé	s	e	c	r	e	t	s	e	c	r	e	t	s	e	c	r	e
Décalage	17	4	2	17	4	19	17	17	4	2	17	4	19	17	17	4	2
Chiffré	u	l	k	w	j	k	w	h	g	m	m	z	w	r	g	i	i

L’intérêt de cette méthode par rapport au chiffre de César est que chaque lettre peut être chiffré de façons différentes. Si on calcule les fréquences des lettres d’une fable de la Fontaine on obtient des résultats marquants :

Texte clair :

Texte chiffré :

Source des images : Ars Cryptographica

Pour suivre votre lecture

Chiffre de Beaufort

mkhelif — Wed, 16 Jan 2008 15:07:51 +0000

Le chiffre de Beaufort est une variante du chiffre de Vigenère. Il utilise le carré de Vigenère d’une autre manière. Au lieu d’additionner la clef au message clair, Beaufort soustrait le message clair de la clef.