Skip to the content.

Questionnaire 4TC-CSC

Les questions sont organisées en 3 niveaux :

Les réponses, quand disponibles, sont accessibles en cliquant sur le texte de la question.

Niveau 1

Intro

La cryptographie est-elle un moyen infaillible et suffisant pour communiquer de manière sécurisée ? Non
Jules César utilisait-il un chiffrement basé sur l'exponentiation modulaire ? Non
Enigma était utilisée pour communiquer entre les Alliés ? Non
Les usages civils de la cryptographie ont-ils toujours et partout été très libres ? Pas partout, pas toujours

Bases de la crypto

Combien y'a-t-il de clés possibles en chiffrement par décalage (utilisé par le chiffre de César) ? 26
Enigma était-il un système de cryptographie symétrique ou asymétrique ? Symétrique
Crypter signifie Rien, le terme n'existe pas
En crypto symétrique, combien y a-t-il de clés pour 2 interlocuteurs ? Pour 4 interlocuteurs communiquant tous par paire ? Une unique clé connue des 2 interlocuteurs - 8 clés
En crypto asymétrique, combien y a-t-il de clés pour 2 interlocuteurs ? Une paire de clés par interlocuteur (4 clés pour 2 interlocuteurs)
Pour faire une signature non répudiable, faut-il de la crypto symétrique ou asymétrique ? asymétrique
Une fonction de hachage est-elle à sens unique, bijective, inversible ou produit des sorties de taille variable ? à sens unique
Quelle type de crypto (symétrique ou asymétrique) est aujourd'hui la plus rapide ? symétrique
Selon l'ANSSI, quelle est la taille de clé à utiliser pour du RSA sûr jusqu'en 2025 ? 2048 bits
Dans la stratégie de la NSA pour casser les chiffrements (Bullrun), quels sont les axes de travail ? Wikipedia :
  1. des mesures pour s'assurer le contrôle sur l'établissement de normes américaines et internationales de chiffrement (NIST, normes ISO),
  2. la collaboration avec des entreprises technologiques pour intégrer — dès la conception — des portes dérobées dans leurs solutions de chiffrement (logiciels ou puces électroniques),
  3. la collaboration avec des fournisseurs de services Internet pour récupérer des certificats de chiffrement,
  4. l'investissement dans des ordinateurs à hautes performances,
  5. voire des cyberattaques ou l'espionnage des sociétés pour leur voler leurs clés numériques.
Quel algo a gagné la compétition AES ? Rijndael

PKI

Qu'est-ce qu'une PKI ?
  1. Un système permettant d'associer une clé publique à une identité
  2. Un synonyme d'autorité de certification
  3. Un synonyme de toile de confiance
  4. Un serveur dédié à la récupération de clés privées
Un système permettant d'associer une clé publique à une identité
Quelle garantie nous offre a priori une PKI ?
  1. Que la communication pourra être confidentielle et intègre
  2. Que ma machine ne sera pas compromise lors de la communication
  3. Que le serveur auquel je vais me connecter est bien celui qu'il prétend être
  4. Que le serveur auquel je vais me connecter n'est pas compromis
1 et 3
En l'absence de PKI, comment établir une communication sécurisée sans connaissance préalablement partagée avec mon interlocuteur ? Je ne peux pas
En général, comment sont validées les demandes de certificats par les CA ?
  1. Par email
  2. Par courrier postal
  3. En personne
  4. Par un formulaire administratif géré par chaque état
Par email
Le marché des CA est opéré par des entreprises privées, des administrations publiques, des ONG et associations ou les auteurs de navigateurs web ? Des entreprises privées
Dans la toile de confiance :
  1. Il y a un point central
  2. Chaque participant a un rôle équivalent
  3. Chacun choisit explicitement à qui il fait confiance
  4. Le fonctionnement est simple et automatique
2 et 3
Du point de vue de l'utilisateur final côté client web, quelle PKI entre CA et PGP demande le moins d'expertise/de travail ? CA
Avec DANE, quel sont les points de confiance les plus importants ?
  1. La racine DNS ?
  2. Les registrars ?
  3. Les autorités de certification ?
  4. Les utilisateurs du système ?
La racine DNS et les registrars

Niveau 2

Q1 - Vous héritez de la maintenance d’une vieille application web dans laquelle les mots de passe des utilisateurs sont stockés sous forme de hash MD5. Vous décidez d’améliorer ce point.

Q2 - Proposez un protocole basé sur de la cryptographie asymétrique permettant l'authentification d'un client par un serveur. Vous devez décrire le matériel cryptographique initialement en possession du client et du serveur ainsi que les messages échangés lors de l'authentification. Un attaquant peut observer ou modifier le canal, ce qui peut faire échouer l'authentification. Si l'authentification réussit, le serveur est certain de communiquer avec le bon client et un canal de communication sûr (chiffré) a été mis en place. Le serveur doit authentifier le client : le client a une paire de clés publique/privée, soit le client a un certificat signé par une CA reconnue par le serveur, soit le serveur connaît la clé publique du client. Le serveur doit challenger le client pour vérifier qu'il possède la clé privée associée. Une clé de session peut-être envoyée par le serveur ou un Diffie-Hellman authentifié.
Q3 - Proposez un algorithme d'authentification mutuelle basé sur de la cryptographie asymétrique permettant à un serveur d'authentifier un client et au client d'authentifier le serveur. Vous devez décrire le matériel cryptographique initialement en possession du client et du serveur ainsi que les messages échangés lors de l'authentification mutuelle. L'authentification est mutuelle, le client a une paire de clés asymétriques et le serveur également. Soit il y a une CA, chaque participant reconnaît la CA et a un certificat signé par cette CA, soit chaque participant connaît au départ la clé publique de l'autre. Chacun doit challenger que l'autre possède bien la clé privée associée.

Niveau 3

Q1 - D’après Wikipedia, le chiffrement de bout en bout (en anglais, End-to-end encryption ou E2EE) est un système de communication où seules les personnes qui communiquent peuvent lire les messages échangés. En principe, il empêche l’écoute électronique, y compris par les fournisseurs de télécommunications, par les fournisseurs d’accès Internet et même par le fournisseur du service de communication. Avec le chiffrement de bout en bout, personne n’est en mesure d’accéder aux clés cryptographiques nécessaires pour déchiffrer la conversation. Les systèmes de chiffrement de bout en bout sont conçus pour résister à toute tentative de surveillance ou de falsification, car aucun tiers ne peut déchiffrer les données communiquées ou stockées. En particulier, les entreprises qui offrent un service de chiffrement de bout en bout sont incapables de remettre une version déchiffrée des messages de leurs clients aux autorités.

Proposez la conception cryptographique d’une telle messagerie chiffrée (inscription des utilisateurs, échange de messages, sauvegarde d’un historique de communication). Le serveur ne doit pas pouvoir espionner ou falsifier les communications, même sous la contrainte. Analysez ensuite votre solution, en particulier son ergonomie, sa facilité d’utilisation, ce qui reste éventuellement espionnable, les risques restants et la gestion du changement de périphérique d’un utilisateur (remplacement du smartphone, typiquement). L’utilisabilité de la solution proposée et la qualité de son analyse critique sont importantes.

Q2 - Une carte à puce (carte bancaire, SIM, etc.) est un mini-ordinateur intégrant des clés cryptographiques et offrant des fonctions permettant d’utiliser ces clés. Un code PIN permet de débloquer l’usage de ces fonctions. Une fois débloquées, ces fonctions permettent de chiffrer, déchiffrer, signer, vérifier. Les clés cryptographiques restent toujours dans la puce, elles ne sont jamais exportées, c’est la puce uniquement qui les exploite et ne renvoie que le résultat des opérations demandées.

Les YesCards étaient de fausses cartes qui permettaient ce type d’attaque. La vulnérabilité associée a bien sûr depuis été corrigée.