ZW3B :-: API Client * Contents * Docs by LAB3W.ORJ

Translate this page

Name : BETA-TESTERS

Project name : ZW3B-API-BETA-TESTERS

Authorized. - 200 - Client API Name and Origin Wildcard OK

¿Comment? 'Ou' ¿Que faire?, OS GNU/Linux, Sécurité, Cryptographie IPsec Suites de chiffrement IKE ou ESP/AH

Internet Protocol Security - Internet Key Exchange - Encapsulating Security Payload - Authentication Header #PostQuantumCryptography

Author : O.Romain.Jaillet-ramey

NdM : Ébauche d'article.

IPsec (Internet Protocol Security)

IPsec (Internet Protocol Security), défini par l'IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l'utilisation des services de sécurité cryptographiques est un ensemble de protocoles utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.
IPsec opère à la couche réseau (couche 3 du modèle OSI ) contrairement aux standards antérieurs qui opéraient à la couche application (couche 7 du modèle OSI ), ce qui le rend indépendant des applications.
Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le destinataire final (confidentialité) et la modification des données par des intermédiaires ne pourra être possible (Intégrité).

Cryptographie asymétrique

La cryptographie asymétrique, ou cryptographie à clé publique est un domaine relativement récent de la cryptographie. Elle permet d'assurer la confidentialité d'une communication, ou d'authentifier les participants, sans que cela repose sur une donnée secrète partagée entre ceux-ci, contrairement à la cryptographie symétrique qui nécessite ce secret partagé préalable.

La cryptographie asymétrique peut être illustrée avec l'exemple du chiffrement à clé publique et privée, dont le but, comme tout chiffrement, est de garantir la confidentialité d'une donnée lors d'une transmission de celle-ci. Le terme asymétrique s'explique par le fait qu'il utilise deux clés différentes, l'une, la clé publique, pour chiffrer, l'autre, la clé privée, pour déchiffrer.
L'utilisateur qui souhaite recevoir des messages engendre un tel couple de clés. Il ne transmet à personne la clé privée alors que la clé publique est transmissible sans restriction.

Quiconque souhaite lui envoyer un message confidentiel utilise la clé publique pour chiffrer celui-ci. Le message chiffré obtenu ne peut être déchiffré que connaissant la clé privée. Il peut donc être communiqué publiquement : la confidentialité du message original est garantie. Le destinataire, qui n'a communiqué à personne sa clé privée, est le seul à pouvoir, à l'aide de celle-ci, déchiffrer le message transmis pour reconstituer le message original.

Un problème crucial pour l'émetteur est de s'assurer que la clé publique qu'il utilise est bien celle du destinataire souhaité.

Ce système a deux utilisations majeures :


....

Sources sur WikipediA : IPSec : Internet Protocol Security , IKE : Internet Key Exchange , ESP : Encapsulating Security Payload , AE : Authenticated Encryption (GCM , CCM ) | Authenticated Encryption with Associated Data (AEAD), AH, Authentication Header .



Post-Quantum Key Exchange Methods

L'institut national des normes et de la technologie américain a publié des projets de normes de cryptographie post-quantique et demande l'avis de l'industrie. Ces normes sont en effet conçues comme un cadre global destiné à aider les entreprises à se protéger contre les cyberattaques quantiques à venir.

Le mécanisme d'encapsulation à clé publique sélectionné est CRYSTALS-KYBER, ainsi que trois schémas de signature numérique : CRYSTAL-Dilithium, FALCON et SPHINCS+. [Lire la suite ]

La prochaine version strongSwan 6.0 prend en charge les algorithmes sélectionnés du NIST PQC (cryptographie post-quantique) et les candidats KEM (Submissions Key Exchange Method) du Round 4 Submissions .

Les commentaires sur Federal Information Processing Standards Publication FIPS 203 , FIPS 204 ou FIPS 205 doivent être reçus au plus tard le 22 novembre 2023, a déclaré le NIST.

Commercial National Security Algorithm Suite (Algorithmes de sécurité nationale commerciale)

Les suites cryptographiques Suite B pour IPsec (RFC 6379 ) ont été remplacées par la suite CNSA (Commercial National Security Algorithm Suite), qui déprécie fondamentalement la suite 128 bits définie par Suite B. Ses recommandations concernant les paramètres d'algorithme sont les suivantes :

Encryption :

Key Exchange :

Pseudo-Random Function/Integrity Protection :

Digital Signatures :

Suite B obsolète de la NSA

strongSwan ne fournit pas de mots-clés directs pour configurer les suites cryptographiques obsolètes de la Suite B définies dans la RFC 6379 dont le statut a été défini sur historique en 2018. Mais les algorithmes de la Suite B peuvent être configurés explicitement à l'aide des chaînes de proposition suivantes (si prises en charge par les plugins et l'implémentation IPsec) :

ESP Integrity Protection and Confidentiality

Suite-B-GCM-128 :

Suite-B-GCM-256 :

ESP Integrity Protection Only

Suite-B-GMAC-128 :

Suite-B-GMAC-256 :





#crypto