Pour que des données sécurisées puissent être échangées, un contrat entre les deux ordinateurs doit préalablement être établi. Ce contrat, appelé association de sécurité (SA, Security Association), définit un accord entre les deux ordinateurs sur le mode d’échange et de protection des informations.
La clé constitue le numéro ou code secret nécessaire à la lecture, la modification ou la vérification de données sécurisées. Les clés sont utilisées conjointement avec des algorithmes (processus mathématiques) pour sécuriser les données. La sécurité IP, ou IPsec, comporte deux phases, ou modes, qui utilisent des clés. Le mode principal, qui se produit en premier, génère une clé principale partagée et utilisable par les deux parties pour échanger, en toute sécurité, des informations sur la gestion des clés. Le mode rapide fait appel à la clé principale pour sécuriser la mise en place d’une ou de plusieurs clés de session utilisées pour l’intégrité ou le chiffrement des données.
Windows gère automatiquement la génération des clés et met en œuvre les propriétés de gestion de clé suivantes pour optimiser la protection :
 | Important |
Le composant logiciel enfichable Stratégies de sécurité IP peut servir à créer des stratégies de sécurité IP applicables à des ordinateurs fonctionnant sous Windows Vista ou des versions ultérieures de Windows ; toutefois ce composant n’utilise pas les nouveaux algorithmes de sécurité, ni les nouvelles fonctionnalités disponibles dans les ordinateurs exécutant ces dernières versions. Pour créer des stratégies de sécurité IP pour ces ordinateurs, utilisez le composant logiciel enfichable Pare-feu Windows avec sécurité avancée ; celui-ci ne crée pas de stratégies pouvant s’appliquer aux versions antérieures de Windows. |
Changement de clé dynamique
La sécurité IP utilise une méthode appelée changement de clé dynamique pour contrôler la fréquence de génération d’une nouvelle clé en cours de communication. La communication est envoyée sous la forme de blocs de données, chaque bloc étant sécurisé à l’aide d’une clé distincte. Dès lors, il est impossible, même pour un intrus qui serait parvenu à intercepter une partie de la communication et les clés de session correspondantes, d’avoir accès au reste de la communication. Cette négociation de la sécurité à la demande et un service de gestion des clés automatique sont assurés par Internet Key Exchange (IKE), comme le définit la RFC 2 409.
IPsec vous permet de contrôler la fréquence de génération d’une nouvelle clé. Si aucune valeur n’est configurée, les clés sont recréées automatiquement selon des intervalles par défaut.
Longueurs de clé
Chaque fois que la longueur d’une clé augmente d’un bit, le nombre de clés possibles est doublé, et le degré de difficulté de la violation d’une clé augmente ainsi de façon exponentielle. IPsec comprend plusieurs algorithmes qui autorisent les clés longues ou courtes.
Génération du support de gestion des clés : Algorithme Diffie-Hellman
Pour sécuriser la communication, deux ordinateurs doivent pouvoir se procurer une clé partagée commune (mode rapide ou clé de session), sans être obligé de se la transmettre sur un réseau et donc risquer de compromettre le secret.
L’algorithme Diffie-Hellman (DH) est l’un des algorithmes les plus anciens et les plus sécurisés utilisés pour l’échange de clés. Les deux parties échangent publiquement des informations de gestion de clés que Windows protège encore par une signature émanant d’une fonction de hachage. Les parties n’échangent jamais la véritable clé mais, après avoir échangé le support de gestion des clés, chacune est capable de générer la même clé partagée.
Le support de gestion des clés Diffie-Hellman échangé par les deux parties peut être fondé sur un support de gestion des clés codé sur 768, 1 024 ou 2 048 bits, appelé groupe Diffie-Hellman. La puissance du groupe Diffie-Hellman est proportionnelle à la puissance de la clé calculée à partir de l’échange Diffie-Hellman. Des groupes Diffie-Hellman forts combinés à des clés longues augmentent le degré de difficulté du calcul requis pour tenter de déterminer la clé.
 | Remarques |
Dans la boîte de dialogue Algorithmes de sécurité IKE, 768 bits correspond au paramètre Faible (1) et 1 024 bits au paramètre Moyen (2). |
IPsec utilise l’algorithme Diffie-Hellman pour fournir le support de gestion des clés pour toutes les autres clés de chiffrement. La méthode Diffie-Hellman n’assure pas l’authentification. L’implémentation IPsec de Microsoft Windows authentifie les identités après l’échange de clés Diffie-Hellman, ce qui assure une certaine protection contre les attaques de l’intercepteur (« man-in-the-middle »).
Protection des clés
Les fonctionnalités suivantes améliorent les nombres premiers de base (support de gestion de clés) et la puissance des clés de session et principale.
Durée de vie des clés
Les durées de vie des clés déterminent le moment, plutôt que le mode, de génération d’une nouvelle clé. Aussi appelée régénération de clés ou régénération dynamique des clés, la durée de vie de la clé permet de forcer la création d’une nouvelle clé à un intervalle spécifié. Par exemple, pour mener à bien une communication qui dure 10 000 secondes avec une durée de vie des clés définie de 1 000 secondes, 10 clés sont générées. Ceci garantit que, même si un intrus parvient à déchiffrer une partie de la communication, le reste demeure protégé. Vous pouvez spécifier la durée de vie des clés de session et des clés principales. Chaque fois que la durée de vie d’une clé arrive à terme, l’association de sécurité correspondante est également renégociée. En outre, la clé est actualisée ou régénérée. Le volume de données traité par chaque clé ne doit pas dépasser 100 mégaoctets (Mo).
Limite d’actualisation de la clé de session
Une limite d’actualisation de la clé de session du mode rapide est utilisée, car la régénération répétée d’une clé de session du mode rapide peut compromettre le secret partagé Diffie-Hellman.
Par exemple, Alice utilise l’ordinateur A pour envoyer un premier message à Robert sur l’ordinateur B, puis un second quelques minutes plus tard. Étant donné qu’une association de sécurité a récemment été établie, le même support de gestion des clés de session peut être réutilisé. Pour limiter le nombre de réutilisations, définissez une valeur faible comme limite d’actualisation de la clé de session.
Si vous avez activé l’option PFS (perfect forward secrecy) de la clé principale, la limite d’actualisation de la clé de session du mode rapide n’est pas utilisée. La définition d’une limite d’actualisation de la clé de session à la valeur 1 revient à activer le PFS de la clé principale. Si vous définissez à la fois la durée de vie de la clé principale du mode principal et la limite d’actualisation de la clé de session du mode rapide, une nouvelle clé est générée dès que l’une de ces deux limites est atteinte. Par défaut, la stratégie IPsec ne prescrit aucune limite d’actualisation de la clé de session.
Groupes Diffie-Hellman
Les groupes Diffie-Hellman permettent de déterminer la longueur des nombres premiers de base (support de gestion des clés) utilisés durant l’échange Diffie-Hellman. La puissance de toute clé issue d’un tel échange dépend, en partie, de la puissance du groupe Diffie-Hellman sur lequel sont basés les nombres premiers.
Chaque groupe Diffie-Hellman définit la longueur du support de gestion de clés à utiliser. Le groupe 1 protège 768 bits de puissance de gestion de clés, le groupe 2 protège 1 024 bits et le groupe 3 protège 2 048 bits. Si vous choisissez un groupe supérieur, la clé résultante déterminée à partir d’un échange Diffie-Hellman est plus longue et, donc, plus difficile à deviner par les intrus.
IKE négocie le groupe à utiliser, en fonction des paramètres que vous avez configurés dans la boîte de dialogue Algorithmes de sécurité IKE, en s’assurant qu’il n’existe aucun échec de négociation résultant d’un groupe Diffie-Hellman incompatible entre les deux homologues.
Si le mode PFS (Perfect Forward Secrecy) de la clé de session est activé, une nouvelle clé Diffie-Hellman est négociée lors de la première négociation d’association de sécurité du mode rapide. Cette nouvelle clé Diffie-Hellman supprime la dépendance de la clé de session par rapport à l’échange Diffie-Hellman effectué pour la clé principale.
Si la session de clé principale PFS (Perfect Forward Secrecy) est utilisée par l’initiateur, elle ne doit pas obligatoirement l’être par le répondeur. Si, par contre, elle est utilisée par le répondeur, mais pas par l’initiateur, la négociation échoue.
Le groupe Diffie-Hellman est le même pour les négociations d’associations de sécurité du mode rapide et du mode principal. Lorsque l’option PFS de la clé de session est activée, et même si le groupe Diffie-Hellman est défini dans le cadre de la négociation d’association de sécurité du mode principal, elle demeure active sur toutes les régénérations de clés durant l’établissement de la clé de session du mode rapide.
PFS (Perfect Forward Secrecy)
Contrairement aux durées de vie des clés, PFS détermine le mode, plutôt que le moment, de génération d’une nouvelle clé. Plus précisément, PFS garantit qu’au cas où une clé spécifique serait compromise, seules les données que cette dernière protège seraient accessibles, et pas nécessairement l’ensemble de la communication. Pour cela, PFS empêche qu’une clé utilisée pour protéger une transmission, dans un mode comme dans l’autre, puisse être employée pour générer d’autres clés. De plus, si la clé utilisée a été construite à partir d’un support de gestion des clés spécifique, ce dernier ne pourra pas servir à générer d’autres clés.
L’option PFS de la clé principale du mode principal nécessite une nouvelle authentification. Elle génère une sollicitation intensive des ressources. Lorsque vous l’activez, IKE doit authentifier une nouvelle fois les identités, ce qui accroît le temps système utilisé sur les contrôleurs de domaine si le protocole Kerberos V5 est employé pour l’authentification. Une nouvelle négociation du mode principal est exigée pour chaque négociation du mode rapide qui survient.
L’option PFS de la clé de session du mode rapide ne requiert pas forcément de nouvelle authentification et sollicite moins de ressources. Elle implique un échange Diffie-Hellman pour la génération d’un nouveau support de gestion des clés. Elle nécessite seulement quatre messages, mais pas d’authentification.
PFS ne doit pas être activé sur les deux homologues, car il ne fait pas partie de la négociation de l’association de sécurité. Si le mode PFS est requis par le répondeur et que l’association de sécurité du mode rapide de l’expéditeur expire, le répondeur rejette tout simplement le message de l’expéditeur et exige une nouvelle négociation. L’expéditeur provoque l’expiration de l’association de sécurité du mode principal avant de renégocier. L’option PFS peut être définie individuellement pour la clé principale (mode principal) et la clé de session (mode rapide).
Échange de clés
Pour que des données sécurisées puissent être échangées, un contrat entre les deux ordinateurs doit préalablement être établi. Ce contrat (l’association de sécurité), définit un accord entre les deux ordinateurs sur le mode d’échange et de protection des informations.
Pour créer ce contrat entre les deux ordinateurs, l’IETF (Internet Engineering task Force) a instauré la méthode IKE de résolution des associations de sécurité et des échanges de clés, qui :
- centralise la gestion des associations de sécurité, en réduisant le temps de connexion ;
- génère et gère les clés secrètes partagées utilisées pour sécuriser les informations.
Ce processus sécurise non seulement la communication entre ordinateurs, mais également l’accès des ordinateurs distants au réseau d’une entreprise. De plus, il entre en jeu chaque fois que la négociation de l’ordinateur de destination final est effectuée par une passerelle de sécurité.
Association de sécurité définie
Une association de sécurité est la combinaison d’une clé négociée, d’un protocole de sécurité et d’un index des paramètres de sécurité (SPI, security parameters index). Cette combinaison définit la sécurité mise en œuvre pour protéger la communication de l’expéditeur au destinataire. L’index SPI est une valeur d’identification unique contenue dans l’association de sécurité et qui permet de distinguer les différentes associations de sécurité existant sur l’ordinateur récepteur. Par exemple, plusieurs associations peuvent exister si un ordinateur communique simultanément, de manière sécurisée, avec plusieurs ordinateurs. C’est le cas généralement lorsque l’ordinateur est un serveur de fichiers ou un serveur d’accès distant qui dessert plusieurs clients. L’ordinateur récepteur utilise alors le SPI pour déterminer l’association de sécurité à utiliser pour traiter les paquets entrants.
Association de sécurité du mode principal
Pour assurer la réussite et la sécurisation de la communication, IKE procède en deux phases. Il assure la confidentialité et l’authentification durant chaque phase à l’aide d’algorithmes de chiffrement et d’authentification sur lesquels les deux ordinateurs se sont accordés lors de négociations de sécurité. Les tâches étant réparties en deux phases, la génération des clés peut être effectuée très rapidement.
Au cours de la première phase, les deux ordinateurs définissent un canal sécurisé et authentifié. C’est ce que l’on appelle l’association de sécurité du mode principal. IKE assure automatiquement la protection d’identité requise durant l’échange.
La procédure suivante décrit une négociation du mode principal.
- Négociation de la stratégie. Les quatre paramètres obligatoires suivants sont négociés dans le cadre de l’association de sécurité du mode principal :
- l’algorithme de chiffrement (DES ou 3DES) ;
- l’algorithme de hachage (MD5 ou SHA1) ;
- la méthode d’authentification (protocole d’authentification Kerberos V5, par certificat ou par clé pré-partagée) ;
- le groupe Diffie-Hellman (DH) à utiliser pour le support de gestion des clés de base (768 bits Faible (Groupe 1), 1 024 bits Moyen (Groupe 2) ou 2 048 bits Élevé (Groupe 3)).
- Si l’authentification est effectuée au moyen de certificats ou de clés pré-partagées, l’identité de l’ordinateur est protégée. Si, en revanche, c’est le protocole d’authentification Kerberos V5 qui est choisi pour l’authentification, l’identité de l’ordinateur demeure en clair jusqu’au moment où le chiffrement de l’intégralité de la charge utile d’identité se produit au cours de l’authentification.
- l’algorithme de chiffrement (DES ou 3DES) ;
- Échange Diffie-Hellman (de valeurs publiques). Les véritables clés ne sont échangées à aucun moment. Seules les informations requises par l’algorithme servant à déterminer la clé Diffie-Hellman nécessaire pour générer la clé secrète partagée le sont. Après cet échange, le service IKE de chaque ordinateur génère la clé principale utilisée pour protéger l’authentification.
- Authentification. Les ordinateurs essaient d’authentifier l’échange de clés Diffie-Hellman. Sans authentification de l’échange de clés Diffie-Hellman, la communication demeure sujette aux attaques de l’intercepteur. Si l’authentification échoue, la communication ne peut pas se poursuivre. La clé principale est utilisée conjointement avec les méthodes et les algorithmes de négociation pour authentifier les identités. La charge utile d’identité tout entière (y compris son type, son port et son protocole) est hachée et chiffrée à l’aide des clés générées par l’échange Diffie-Hellman au cours de la deuxième étape. Quelle que soit la méthode d’authentification employée, la charge utile d’identité est protégée contre toute modification ou interprétation.
L’expéditeur propose une association de sécurité potentielle au récepteur. L’ordinateur qui répond ne peut pas modifier la proposition. Sinon, l’initiateur refuse le message du répondeur. Le répondeur envoie une réponse qui soit stipule l’acceptation de cette proposition, soit suggère des alternatives.
Les messages envoyés au cours de cette phase suivent un cycle de relance automatique qui est répété à cinq reprises. Si une réponse est reçue avant la fin du cycle de relance, la négociation d’association de sécurité standard débute. Si elles sont autorisées par la stratégie IPsec, les communications non sécurisées commencent au terme d’un bref intervalle. Ce comportement porte le nom de « retour à la communication en texte clair ». Même si la communication revient au mode texte clair, des tentatives de négociation d’une communication sécurisée ont lieu toutes les cinq minutes.
Le nombre d’échanges qui peuvent avoir lieu est illimité. Le nombre d’associations de sécurité pouvant être établies n’est quant à lui limité que par les ressources système.
Association de sécurité du mode rapide
Au cours de cette phase, des associations de sécurité sont négociées pour le compte du pilote de sécurité IP.
La procédure suivante décrit une négociation du mode rapide.
- Négociation de la stratégie Les ordinateurs IPsec échangent les paramètres obligatoires suivants pour sécuriser le transfert de données :
- le protocole IPsec (AH ou ESP) ;
- l’algorithme de hachage pour l’intégrité et l’authentification (MD5 ou SHA1) ;
- l’algorithme de chiffrement, si celui-ci est demandé (3DES ou DES).
- le protocole IPsec (AH ou ESP) ;
- Actualisation ou échange du support de gestion des clés de session IKE actualise le support de gestion des clés, et de nouvelles clés partagées sont générées pour assurer l’intégrité, l’authentification et le chiffrement (s’il est négocié) des paquets. Si un changement de clé est requis, un second échange Diffie-Hellman (tel qu’il est décrit pour la négociation du mode principal) ou une actualisation de la clé Diffie-Hellman d’origine a lieu.
- Transfert des associations de sécurité et des clés vers le pilote IPsec, ainsi que de l’index SPI. La négociation du mode rapide des paramètres de sécurité et des supports de gestion des clés (destinés à sécuriser les données) est protégée par l’association de sécurité du mode principal. De la même façon que la première phase assure la protection des identités, la seconde phase, autrement dit le mode rapide, protège les données en actualisant avant leur envoi les supports de gestion des clés. IKE peut accepter une charge utile d’échange de clés en vue d’un échange de clés Diffie-Hellman supplémentaire, au cas où un changement de clé serait nécessaire (en cas d’activation du mode PFS de la clé principale). Sinon, IKE actualise les supports de gestion des clés de l’échange de clés Diffie-Hellman réalisé en mode principal.
Le mode rapide produit une paire d’associations de sécurité, chacune dotée de son propre index SPI et de sa propre clé. L’une de ces associations est utilisée pour la communication entrante, l’autre pour la communication sortante.
L’algorithme de relance d’un message fonctionne de façon similaire au processus décrit pour la négociation du mode principal. Si toutefois, pour un quelconque motif, ce processus se heurte à un dépassement de délai au cours de la deuxième négociation (ou d’une négociation ultérieure) avec la même association de sécurité du mode principal, une nouvelle tentative de négociation de l’association de sécurité du mode principal a lieu. Si un message relatif à cette phase est reçu sans qu’une association de sécurité du mode principal ait été établie, il est rejeté.
L’emploi d’une seule association du mode principal pour plusieurs négociations d’associations de sécurité du mode rapide accélère le processus. Tant que l’association de sécurité du mode principal n’a pas expiré, aucune nouvelle négociation ou authentification n’est nécessaire. Le nombre de négociations d’associations de sécurité du mode rapide pouvant être réalisées dépend des paramètres de la stratégie IPsec.
Remarques Des régénérations de clés excessives à partir de la même association de sécurité du mode principal risquent d’exposer la clé secrète partagée à une attaque au moyen de texte en clair connu. Ce type d’attaque vise à déterminer au moyen d’un renifleur la clé de chiffrement à partir de données non chiffrées basées sur du texte en clair connu.
Durées de vie des associations de sécurité
L’association de sécurité du mode principal est mise en cache de façon à permettre plusieurs négociations d’associations de sécurité du mode rapide (à moins que l’option PFS de la clé principale ne soit activée). Lorsque la durée de vie d’une clé principale ou de session est atteinte, l’association de sécurité est renégociée. En outre, la clé est actualisée ou régénérée.
Au terme de la période d’expiration par défaut de l’association de sécurité du mode principal, ou lorsque la durée de vie de la clé principale ou de la clé de session est atteinte, un message de suppression est envoyé au répondeur. Le message de suppression IKE indique au répondeur qu’il doit forcer l’expiration de l’association de sécurité du mode principal. Cette opération empêche la création d’associations de sécurité du mode rapide supplémentaires à partir de l’association de sécurité du mode principal arrivée à expiration. IKE ne force pas l’expiration de l’association de sécurité du mode rapide, car seul le pilote IPsec comporte le nombre de secondes écoulées ou le nombre d’octets transmis pour que la durée de vie de la clé soit atteinte.
Faites preuve de prudence lorsque vous définissez des durées de vie très différentes pour la clé principale et la clé de session. Si, par exemple, vous établissez une durée de vie égale à huit heures pour la clé principale du mode principal et à deux heures pour la clé de session du mode rapide, une association de sécurité du mode rapide risque de demeurer en place pendant presque deux heures après l’expiration de l’association de sécurité du mode principal. C’est ce qui peut se produire lorsque l’association de sécurité du mode rapide est générée peu de temps avant l’expiration de l’association de sécurité du mode principal.