Il utilise une paire de clés (des nombres entiers) composée d'une clé publique pour chiffrer et d'une clé privée pour déchiffrer des données confidentielles. Ce qui assure à ses différentes parties utilisatrices la sécurité de leurs données.
RSA
est utilisé le plus souvent pour la sécurisation des transactions dans le
commerce électronique. Son utilisation intervient pour le cryptage, les
certificats et les signatures. Il
est également utilisé pour communiquer une clé de chiffrement symétrique.
But
Un
tel système a pour but de sécuriser les échanges et plus particulièrement la
transmission des numéros de carte de crédit utilisés pour le paiement des
commerçants et d'assurer leurs vérifications de sorte que les trois (3) principes
suivants soient garantis :
- La confidentialité : rendre impossible à quiconque de lire le contenu du message (commandes, factures, etc.);
- L'authentification : assurer l'identité du serveur du vendeur et voire celui de l'acheteur;
- L'intégrité : assurer que le message initial n'a pas été altéré ou modifié par autrui afin d'éviter les détournements d'adresse, modifications de la commande, etc.
- « Casser » le Chiffrement RSA nécessite la factorisation du nombre n (son module);
- La factorisation est un « problème difficile » (mathématiquement : une question de temps de calcul), car il n'existe pas d'algorithme suffisamment rapide par rapport au temps de calcul.
De façon plus précise, les
mathématiciens affirment qu'il n'existe pas d'algorithme ayant une complexité
polynomiale en temps qui donne les facteurs premiers d'un nombre quelconque.
S'il
devient possible que l'une des deux conjectures soit fausse, alors RSA n'est
plus sûr.
Quelle est la menace ?
En
effet, il est désormais possible de trouver une clé privée RSA sans pour autant
factoriser son module (le nombre n). Du coup, tous les algorithmes de
chiffrement fondés sur ce principe sont, actuellement, remis en cause ainsi que
toutes les données chiffrées auparavant à l'aide de ces algorithmes.
Cause
Cause
Certains
certificats des clés privées sont stockés sur des serveurs dont l’ensemble du
contenu peut être indexé par le moteur
de recherche Google. Ce qui fait que les certificats (de type serveur),
ainsi que les secrets qu’ils contiennent peuvent être retrouvés facilement à
l’aide de Google avec des critères de recherche appropriés.
Démonstration
Il
suffit d’ouvrir le moteur de recherche Google, puis taper le Dork suivant dans la barre de recherche :
ext:pem
intext:"BEGIN RSA PRIVATE KEY".
Comment se protéger ?
Pour pallier à ce problème, il est fortement recommandé de ne jamais rendre public sur internet tout dossier contenant des certificats numériques au niveau des serveurs, même si ces derniers doivent être accessibles sur le Web. Une solution simple consiste à préciser l’ensemble des répertoires et fichiers qui ne doivent pas être visités par les Crawlers des moteurs de recherche en éditant votre fichier robot.txt.
CAKM
Aucun commentaire:
Enregistrer un commentaire
Pour vos avis, suggestions ou demandes de services, merci de laisser un commentaire.