Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Exam 2011 ssi partie 2 r1 corrige pdf

INSA ?? R T Sujet d ? examen janvier Sécurité des systèmes informatiques ème partie Exercice points Le protocole HTTPS HTTP sur SSL TLS est couramment utilisé pour sécuriser les communications entre un serveur Web et un navigateur Pour cela une session HTTPS s'appuie sur un certi ?cat di ?usé par le serveur permettant d'e ?ectuer une session d'authenti ?cation initiale et ensuite un chi ?rement du canal de communication dans lequel transite l'échange HTTP Lors de l'authenti ?cation le protocole utilise une clef publique contenu dans un certi ?cat que le serveur détient et di ?use au client à l'établissement de la connexion Quelles sont les protections o ?ertes par cette utilisation d'un certi ?cat serveur Comment l'utilisateur du navigateur peutil être assuré que cette clef publique correspond bien à l'organisme auquel il souhaite accéder Pourquoi de nombreux services Web utilisant pourtant HTTPS demandentils en plus à l'utilisateur de fournir un nom de compte et un mot de passe pour compléter l'ouverture de session Il est possible d'utiliser un certi ?cat client stocké sur le navigateur pour l'échange HTTPS Quel est l'e ?et de l'utilisation d'un certi ?cat client sur la protection de l'ensemble du service Avec un certi ?cat client l'utilisateur doit quand même parfois fournir une passphrase ? de quel mot de passe s'agitil Pensezvous qu'il y ait une passphase ? utilisateur sur la partie privée du certi ?cat serveur Pourquoi Corrigé Le protocole SSL avec un certi ?cat serveur o ?re d'abord une authenti ?cation du partenaire accédé par une véri ?cation que ce serveur détient bien la clef privée correspondant à la clef publique di ?usée Ensuite la communication est chi ?rée on a donc des garanties sur la con ?dentialité des échanges ainsi que sur l'intégrité de la communication pendant toute sa durée Le certi ?cat n'inclut pas seulement la clef publique mais également une signature de cette clef publique par un autre certi ?cat Celuici pouvant également être un certi ?cat intermédiaire La racine de cette cha? ne de certi ?cation doit être un certi ?cat préinstallé sur le navigateur ou obtenu indépendamment en préalable à la communication L'utilisateur peut alors être sûr que le certi ?cat di ?usé par le serveur appartient bien à l'organisme indiqué s'il véri ?e la chaine de certi ?cation s'il a con ?ance dans le certi ?cat racine et s'il a con ?ance dans les organismes détenteurs des certi ?cats intermédiaires pour avoir fait les véri ?cations nécessaires avant de signer les certi ?cats dérivés Il s'agit alors de tiers de con ?ance ou d'autorités de certi ?cation C Le certi ?cat serveur n'o ?re qu'une authenti ?cation du serveur Si le service accédé gère une base de comptes utilisateurs ceuxci doivent donc également en plus s'authenti ?er Cette authenti ?cation du client peut éventuellement s'e ?ectuer via un nom d'utilisateur et un mot de passe Cette méthode est moins forte qu'une technique faisant appel à des algorithmes de cryptographie asymétriques mais elle est béné ?cie néanmoins