Ubuntu-fr

baold

SSL, limite de clef, certificat

Salut

J'aimerai sécuriser les parties administration de nos sites web en utilisant le SSL sur notre serveur en location. Ainsi que postfix, courier et vsftpd.
Sur divers tutoriaux, la clef RSA générée est de 1024 bits. Or, on n'aurait pas le droit d'utiliser de clef supérieure à 128 bits.

Voici une page qui parle du sujet mais rien n'est clair : http://www.ssi.gouv.fr/fr/reglementatio … rypto.html

De plus, est-ce obligatoire d'acheter un certificat si c'est pour un usage interne à l'entreprise (administration, mails et mise à jour des sites via FTP) ?

Uggy

Re : SSL, limite de clef, certificat

1- Tu confonds chiffrement symétrique (une clé généralement de 128bits) qui sert a chiffrer les données le temps de la session et chiffrement asymétrique (clé publique généralement de 1024 bits) qui sert a s'échanger la clé de sessions au début de la négociation.

2- Pour un usage interne tu n'as aucun problème pour générer tes propres certificats (commande openssl)... tu auras potentiellement des "warnings" car l'autorité ne sera pas par défaut dans le magasin de certificats.

baold

Re : SSL, limite de clef, certificat

Si j'ai bien compris, la clef de 1024 bits sert à chiffrer la clef symétrique de 128 bits pour communiquer entre le client et le serveur en https.

Sauf que nulle part on configure la taille de la clef symétrique.

Sur la page http://www.ssi.gouv.fr/fr/reglementatio … rypto.html, 2ème tableau, c'est indiqué que pour une "Clé asymétrique de longueur supérieure à 512 bits (RSA,...", il faut faire une "DÉCLARATION À LA DCSSI". Est-ce nécessaire ou je confond les choses ?

Uggy

Re : SSL, limite de clef, certificat

Si j'ai bien compris, la clef de 1024 bits sert à chiffrer la clef symétrique de 128 bits pour communiquer entre le client et le serveur en https.

C'est ma phrase dit autrement.. Je préfère ma phrase...mais oui.

Sur la page http://www.ssi.gouv.fr/fr/reglementatio … rypto.html, 2ème tableau, c'est indiqué que pour une "Clé asymétrique de longueur supérieure à 512 bits (RSA,...", il faut faire une "DÉCLARATION À LA DCSSI". Est-ce nécessaire ou je confond les choses ?

Le second tableau c'est:
"la réglementation française [..] en matière de contrôle à l'exportation des moyens de cryptologie."
Tu comptes exporter un algo ??

Sur http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto c'est indiqué que:
"En vertu de l'article 30-I de la loi 2004-575 du 21 juin 2004, l'utilisation des moyens de cryptologie est libre."
"La fourniture, l'importation et l'exportation de la cryptologie sont réglementées en France."

Donc je suis pas juriste etc..mais ce que je comprends c'est en gros que si t'inventes un protocole de chiffrement, tu dois le déclarer... si tu utilises un déja déclaré.. bah....

Uggy

Re : SSL, limite de clef, certificat

Sauf que nulle part on configure la taille de la clef symétrique.

A ma connaissance c'est définis dans le protocole SSL:

The TLS Protocol
http://www.ietf.org/rfc/rfc2246.txt
This secret should be quite long; currently defined key exchange methods exchange secrets which range from 48 to 128 bytes in length.

(Il y a peut etre des RFC + recentes)

baold

Re : SSL, limite de clef, certificat

Tu comptes exporter un algo ??

Je ne comprenais pas le sens de "fourniture" et "exportation". Bien sur que non, je ne veux pas créer d'algorithme J'utilise juste openssl.

Merci pour toutes ces explication, c'est maintenant clair pour moi.

En ce qui concerne la configuration en 128 bits, j'ai trouvé ceci :
http://www.tbs-certificats.com/fom-serve/cache/201.html
documentation : http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite

Un petit lien avec différentes estimations de la longueur de clef minimales pour les années à venir :
http://www.keylength.com/fr/compare/

Dernière modification par baold (Le 14/08/2007, à 21:08)