Name : BETA-TESTERS
Project name : ZW3B-API-BETA-TESTERS
Authorized. - 200 - Client API Name and Origin Wildcard OK
Internet Protocol Security - Internet Key Exchange - Encapsulating Security Payload - Authentication Header #PostQuantumCryptography
NdM : Ébauche d'article.
IPsec (Internet Protocol Security), défini par l'IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l'utilisation des services de sécurité cryptographiques est un ensemble de protocoles utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.
IPsec opère à la couche réseau (couche 3 du modèle OSI ) contrairement aux standards antérieurs qui opéraient à la couche application (couche 7 du modèle OSI ), ce qui le rend indépendant des applications.
Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le destinataire final (confidentialité) et la modification des données par des intermédiaires ne pourra être possible (Intégrité).
La cryptographie asymétrique, ou cryptographie à clé publique est un domaine relativement récent de la cryptographie. Elle permet d'assurer la confidentialité d'une communication, ou d'authentifier les participants, sans que cela repose sur une donnée secrète partagée entre ceux-ci, contrairement à la cryptographie symétrique qui nécessite ce secret partagé préalable.
La cryptographie asymétrique peut être illustrée avec l'exemple du chiffrement à clé publique et privée, dont le but, comme tout chiffrement, est de garantir la confidentialité d'une donnée lors d'une transmission de celle-ci. Le terme asymétrique s'explique par le fait qu'il utilise deux clés différentes, l'une, la clé publique, pour chiffrer, l'autre, la clé privée, pour déchiffrer.
L'utilisateur qui souhaite recevoir des messages engendre un tel couple de clés. Il ne transmet à personne la clé privée alors que la clé publique est transmissible sans restriction.
Quiconque souhaite lui envoyer un message confidentiel utilise la clé publique pour chiffrer celui-ci. Le message chiffré obtenu ne peut être déchiffré que connaissant la clé privée. Il peut donc être communiqué publiquement : la confidentialité du message original est garantie. Le destinataire, qui n'a communiqué à personne sa clé privée, est le seul à pouvoir, à l'aide de celle-ci, déchiffrer le message transmis pour reconstituer le message original.
Un problème crucial pour l'émetteur est de s'assurer que la clé publique qu'il utilise est bien celle du destinataire souhaité.
Ce système a deux utilisations majeures :
....
Sources sur WikipediA : IPSec : Internet Protocol Security , IKE : Internet Key Exchange , ESP : Encapsulating Security Payload , AE : Authenticated Encryption (GCM , CCM ) | Authenticated Encryption with Associated Data (AEAD), AH, Authentication Header .
L'institut national des normes et de la technologie américain a publié des projets de normes de cryptographie post-quantique et demande l'avis de l'industrie. Ces normes sont en effet conçues comme un cadre global destiné à aider les entreprises à se protéger contre les cyberattaques quantiques à venir.
Le mécanisme d'encapsulation à clé publique sélectionné est CRYSTALS-KYBER, ainsi que trois schémas de signature numérique : CRYSTAL-Dilithium, FALCON et SPHINCS+. [Lire la suite ]
La prochaine version strongSwan 6.0 prend en charge les algorithmes sélectionnés du NIST PQC (cryptographie post-quantique) et les candidats KEM (Submissions Key Exchange Method) du Round 4 Submissions .
Les commentaires sur Federal Information Processing Standards Publication FIPS 203 , FIPS 204 ou FIPS 205 doivent être reçus au plus tard le 22 novembre 2023, a déclaré le NIST.
Les suites cryptographiques Suite B pour IPsec (RFC 6379 ) ont été remplacées par la suite CNSA (Commercial National Security Algorithm Suite), qui déprécie fondamentalement la suite 128 bits définie par Suite B. Ses recommandations concernant les paramètres d'algorithme sont les suivantes :
Encryption :
aes256gcm16
or aes256
)Key Exchange :
ecp384
)modp3072
or higher)Pseudo-Random Function/Integrity Protection :
prfsha384
or sha384
if not using AES in GCM mode)Digital Signatures :
strongSwan ne fournit pas de mots-clés directs pour configurer les suites cryptographiques obsolètes de la Suite B définies dans la RFC 6379 dont le statut a été défini sur historique en 2018. Mais les algorithmes de la Suite B peuvent être configurés explicitement à l'aide des chaînes de proposition suivantes (si prises en charge par les plugins et l'implémentation IPsec) :
Suite-B-GCM-128 :
aes128gcm16-prfsha256-ecp256
aes128gcm16-ecp256
Suite-B-GCM-256 :
aes256gcm16-prfsha384-ecp384
aes256gcm16-ecp384
Suite-B-GMAC-128 :
aes128-sha256-ecp256
aes128gmac-ecp256
Suite-B-GMAC-256 :
aes256-sha384-ecp384
aes256gmac-ecp384
#crypto #cryptography #encryption #postquantum