Month: décembre 2020

Signer des certificats en contournant l'autorité de certification

Dans les discussions sur la sécurité d'une autorité de certification, on entend régulièrement qu'un abus de l'autorité de certification pourrait être endigué par ses paramètres de sécurité.

Il n'est toutefois pas évident à première vue que l'intégrité d'une autorité de certification soit directement liée à son matériel de clé et qu'elle puisse donc être compromise par ce dernier.

Il faut se représenter le logiciel d'autorité de certification comme une sorte de gestion autour du matériel clé. Le logiciel offre par exemple une Interface en ligne pour la demande de certificat s'occupe de l'authentification des demandeurs, de l'exécution automatisée des opérations de signature (délivrance de certificats et de Listes de blocage) et leur enregistrement (Base de données des organismes de certification, Protocole d'audit, Journal des événements).

Or, les opérations de signature ne nécessitent rien d'autre que la clé privée de l'autorité de certification. L'exemple suivant montre comment un attaquant peut, s'il a accès à la clé privée de l'autorité de certification, générer et émettre des certificats sans que le logiciel de l'autorité de certification et ses mécanismes de sécurité ne le sachent.

Avec un tel certificat, ce serait même possible dans le pire des cas, de reprendre la structure globale d'Active Directory sans être détecté.

Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle »

Déplacer la base de données de l'autorité de certification dans un autre répertoire ou sur un autre lecteur

Dans le cadre de l'exploitation d'une autorité de certification, il peut s'avérer nécessaire de modifier ultérieurement le chemin d'accès à la base de données de l'autorité de certification. Par exemple, on peut vouloir déplacer la base de données vers une autre partition/un autre disque.

Continuer la lecture de « Verschieben der Zertifizierungsstellen-Datenbank in ein anderes Verzeichnis oder auf ein anderes Laufwerk »

Microsoft Outlook : voir quel algorithme a été utilisé pour un courriel chiffré ou signé S/MIME

Nous décrivons ci-dessous l'endroit où l'on peut voir quel algorithme symétrique a été utilisé pour le cryptage d'un courriel reçu et quel algorithme de hachage a été utilisé pour un courriel signé.

Continuer la lecture de « Microsoft Outlook: Einsehen, welcher Algorithmus für eine S/MIME verschlüsselte oder signierte E-Mail verwendet wurde »

Microsoft Outlook : Contrôler l'algorithme de cryptage utilisé pour S/MIME

Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.

Microsoft Outlook utilise (si elles sont disponibles et nécessaires) les informations contenues dans l'extension „S/MIME Capabilities“ d'un certificat. La manière dont cette utilisation est effectuée et les algorithmes choisis sont décrits ci-dessous.

Continuer la lecture de « Microsoft Outlook: Den verwendeten Verschlüsselungsalgorithmus für S/MIME steuern »

L'extension de certificat "S/MIME Capabilities

Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.

Entre autres, l'extension de Microsoft Outlook est évaluée et utilisée pour déterminer l'algorithme symétrique d'un e-mail crypté.

Continuer la lecture de « Die „S/MIME Capabilities“ Zertifikaterweiterung »

Étendre l'extension de certificat „S/MIME Capabilities“ aux algorithmes Cryptography Next Generation (CNG) dans les certificats émis.

Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.

Si l'on jette un coup d'œil aux algorithmes symétriques contenus dans un tel certificat, on constatera probablement que la liste contient plutôt des algorithmes obsolètes - le plus „fort“ de ces algorithmes est le Triple DES (3DES), désormais considéré comme dépassé.

Continuer la lecture de « Die „S/MIME Capabilities“ Zertifikaterweiterung in ausgestellten Zertifikaten um die Cryptography Next Generation (CNG) Algorithmen erweitern »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais