Gérez vos certificats avec EJBCA

logo EJBCA

Des certificats ?  EJBCA ? C’est un logiciel open-source pour construire une AC (autorité de certification), l’entretenir et produire des certificats électroniques.
Oui mais, la crypto et les certificats… c’est compliqué d’après les moteurs de recherche et les blogs. Installer son service de PKI c’est l’enfer à ce qu’on raconte.
OK, défi accepté.

Archive téléchargée depuis https://sourceforge.net/projects/ejbca/files/ejbca6/ (Primekey publie sa version community sur sourceforge).
On s’intéresse dans ce billet à la version « 6.5 CE » de l’application.

Read More

SHA-1 c’est la fin, place à SHA-2

Algorithme SHA-1L’algorithme SHA-1 est poussé vers la sortie, comme l’a été MD5 en son temps. La sécurité informatique évolue, les défenses doivent s’adapter à des vecteurs d’attaque plus puissants.

Il en est ainsi pour Secure Hash Algorithm 1er du nom, trop faible désormais devant la puissance de calcul brute des contrefacteurs, bandits des internets ou agences gouvernementales. Cet algorithme de condensation (hashage) est obsolète, et est poussé vers la sortie par les éditeurs majeurs du marché des navigateurs Web.

Passons donc à SHA-2 (au moins la déclinaison SHA-256) au plus vite, la sécurité du web s’en portera mieux. (image de wikipedia).

Read More

eIDAS vu de l’ANSSI

signatureelectronique1er juillet 2016, le règlement eIDAS devient applicable, après son adoption le 23 juillet 2014 par le Parlement européen et de Conseil de l’UE et son entrée en vigueur le 17 septembre 2014.
« eIDAS » c’est précisément le règlement n°910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

L’ANSSI a publié un article à ce propos, je m’y suis intéressé et ai pointé quelques éléments dans ce billet.

Read More

Proxy PAC sous Linux, c’est possible

Ubuntu LogoDans les grosses organisations, l’accès à Internet se fait souvent via un serveur mandataire (parfois proxy pac).
Pour une machine sous Linux, configurer un service qui a besoin d’accéder à Internet est assez facile, il suffit de renseigner la variable d’environnement
http_proxy=http://monproxy:3128
(si 3128 est le numéro de port du proxy à attaquer), et zou!

Particulièrement utile, ne serait-ce que pour permettre le système d’entretenir ses mises-à-jour (système apt sur Debian par exemple).
ET SI…. la « politique » de proxy pour l’accès internet est distribuée par un fichier « proxy.pac »??

Read More

Echange de clés Diffie-Hellman en vidéo

Une petite vidéo pour montrer et expliquer simplement un des mystères du chiffrement à clé publique: l’échange de clés « Diffie-Hellman ».

Le commentaire est en anglais, mais la vidéo est très didactique.
L’exemple par les couleurs de peinture est brillant, on comprend tout de suite.

Voilà qui rend la science du chiffrement vachement plus accessible, non?

Des certificats numériques pour tous

[Article en cours de rédaction]icon_inprogress

Parmi d’autres pistes, La confiance numérique sur Internet s’obtient par la preuve d’identification du service en ligne, mais aussi de la preuve d’identification de la personne ou du système informatique qui sollicite le service en ligne.

Équivalents sur Internet aux pièces d’identité « papier » bien connues du commun des citoyens, ces « passeports numériques » ou « identités numériques » doivent faire l’objet d’une confiance suffisante par les acteurs impliqués. Dans la vie réelle, les pièces d’identité sont fournies par l’État, en qui on a raisonnablement confiance. D’où la nécessité de la notion de tiers de confiance, autrement appelé « Autorité de certification », apte à délivrer et contrôler des identités numériques: certificats numériques (ou « certificats électroniques »).

Read More