https connexion chiffrée SSL type de ressources svp ? Résolu/Fermé

Question

Bonjour, 


sous Linux Ubuntu 12.04 LTS, lorsqu'une connexion est chiffrée avec SSL en HTTPS sur Ebay ou site de banque ou autre Paypal.

Le chiffrement de cette connexion est en partie calculée et définie par le système d'exploitation svp ?

Si oui, prend-elle ses données de chiffrement dans le réservoir d'entropie de /dev/random ou de /dev/urandom svp ?


Si vous avez mal aux cheveux à cet instant précis, sachez que moi aussi.... :-)

Merci !




Configuration: Linux / Firefox 23.0

mamiemando · Answer

https://fr.wikipedia.org/wiki/Transport_Layer_Security

La session chiffrée est utilisée généralement lors de l'envoi du numéro de carte bancaire, mais elle peut l'être dans d'autres cas. Le chiffrement est réalisé par à la fois un chiffrement asymétrique (qui va permettre une authentification), comme par exemple l'algorithme RSA, et à la fois par un chiffrement symétrique (qui est plus léger à réaliser qu'un chiffrement asymétrique) et qui va assurer la transmission des informations (comme par exemple le AES). On y adjoint une fonction de hachage, comme le SHA-1, pour s'assurer que les données sont transmises sans être corrompues.

https://fr.wikipedia.org/wiki/Cryptographie_sym%C3%A9trique
https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique

... donc oui une partie (le chiffrement asymétrique) dépend de la clé côté client, donc de la manière dont elle a été générée, donc probablement du système d'exploitation (qui l'a généré). 

Ensuite pour trancher entre /dev/random et /dev/urandom aucune idée, il faudrait voir à quoi correspondent ces devices car le programme est sans doute écrit en C et repose sûrement sur des fonctions comme rand(). J'avoue ne pas vraiment comprendre l'intérêt de la question (sauf pour des finalités malhonnêtes, qui n'ont pas vraiment leur place ici).

Tu peux déjà essayer de regarder ici
http://www.openssl.org/docs/crypto/rand.html

... et sans doute faire un strace sur la commande suivante, mais ce n'est pas certain que l'un de ces deux devices apparaisse :
https://www.openssl.org/docs/manmaster/man1/rand.html

Bonne chance

AntoineFrigel · Answer

Bonjour,

si j'étais malhonnête, je ne le dirai évidemment pas. Une personne malhonnête, ne le dirai évidemment pas non plus. Et puis je continuerai à te parler comme je vais le faire tout de suite. Bon...

Merci pour les infos et les liens. Je poursuivrai demain. Quand à ma question je viens de la résoudre tout seul. 

J'ai fait un :

sudo -i

Et ensuite un :

lsof /dev/random

Et après un :

lsof /dev/urandom



J'ai fait ces deux commandes après avoir lancé une connexion SSL cryptée, et donc active, avec mon navigateur internet Firefox. 

Firefox, est donc dans /dev/urandom

Dans /dev/random je n'ai rien. Aucun processus actif, ni en lecture, ni en écriture.


Firefox est en lecture sur /dev/urandom


Là où je m'interroge, c'est que Firefox y est toujours, pour moi pas de soucis, mais jamais en écriture, toujours en lecture. Alors que Chrome y est aussi, mais avec plusieurs processus, dont un qui y est et en lecture et en écriture. Je me demande bien ce que Chrome veut y écrire ? Je vais voir lui restreindre les droits, pour ne le laisser qu'en lecture, comme Firefox, qui fonctionne très bien comme ça.


Encore merci pour les liens, j'y reviens dès que disponible. Signé, ben pour le coup, le malhonnête....

mamiemando · Answer

Ha non ne me fais pas dire ce que je n'ai pas dit, je n'ai pas dit que tu étais malhonnête, j'ai juste dit que je ne voyais pas l'intérêt de la question pour des fins autres que malhonnêtes !! Ce qui est très différent :-) Toutes mes excuses si je t'ai vexé.

Je n'avais pas pensé à lsof, ceci dit ça ou strace ça doit revenir vaguement au même. Pour la question sur l'écriture dans /dev/urandom, il faudrait voir à quoi correspond cette opération. Je m'explique : en fonction du device, une opération de lecture ou d'écriture à un impact (par exemple pour une carte son, écrire revient à jouer du son, etc...). Peut-être qu'initialiser la graine aléatoire revient à déclencher une opération d'écriture dans ton cas, je ne sais pas. Pour répondre à cela, je lirais attentivement :

man urandom

Ma théorie est confirmée par cet extrait du man :

           if [ -f $random_seed ]; then
               cat $random_seed >/dev/urandom
           else
               touch $random_seed
           fi

De plus si on regarde l'interface ioctl, on voit que ces opérations pourraient être elles aussi être assimilées à une opération d'écriture :

       RNDADDTOENTCNT
              Augmenter ou diminuer le décompte d'entropie du réservoir d'entrée de la valeur pointée par l'argument.

       RNDADDENTROPY
              Ajouter de l'entropie supplémentaires au réservoir d'entrée, en augmentant le décompte d'entropie. C'est différent d'écrire dans  /dev/ran?
              dom ou /dev/urandom, qui n'ajoute que des données mais sans augmenter le décompte d'entropie.

Avec strace tu devrais voir exactement l'appel système déclenché par chromium et sans doute avoir une meilleure compréhension de ce que fait chromium.

Bonne chance

AntoineFrigel · Answer

Disons que pour un premier contact, si je t'avais fait ce genre de sous-entendus, je ne pense pas que cela t'aurait fait plaisir bien sûr. Passons, et merci pour les excuses, je te présente les miennes aussi, le ton de mon précédent message n'étant pas non plus des plus cordiaux.

En fait je ne connais pas strace, je vais voir ce que ça fait. Je ne suis pas comme toi capable d'analyser les lignes de programmes que tu donnes, celles-ci :


           if [ -f $random_seed ]; then
               cat $random_seed >/dev/urandom
           else
               touch $random_seed
           fi




Merci pour tes explications. J'ai vu que Firefox avait aussi eu à un moment une action d'écriture dans /dev/urandom.


Bon, on va dire que c'est normal du coup. Je reviendrai à strace plus tard, aujourd'hui repos, toutes la semaine dernière a été très éprouvante pour moi.

Bonne aprem et encore merci pour le message.

mamiemando · Answer

strace est suivi d'une commande dont tu veux analyser les appels systèmes. Par exemple :

strace chromium

Tu peux tout à fait en profiter pour faire des greps :

strace chromium | grep urandom

Pour les lignes que je t'ai reporté, c'est du shell et ça veut dire "si le fichier dont le nom est stocké dans la variable $random_seed existe, alors écrire son contenu dans /dev/urandom ; sinon créer un fichier vide dont le chemin est celui indiqué dans $random_seed). On voit donc qu'une opération d'écriture est effectuée sur le device /dev/urandom.

Bonne chance

AntoineFrigel · Answer

Merci beaucoup, je vais aller voir ce qu'est : grep. J'utilise Ubuntu depuis longtemps, mais enfin sans connaître tout ceci, merci pour le shell.

AntoineFrigel · Answer

Bjr,

j'ai fait un :

strace chromium-browser | grep urandom

Il m'a affiché beaucoup de lignes dans le terminal et s'est arrêté (mais sans message d'erreur). Je ne sais pas quoi faire avec ces lignes, je ne sais pas comment les analyser, il y a-t-il un endroit qui le fait automatiquement svp ?

mamiemando · Answer

Oui excuse moi il manquait une redirection, la commande à taper est :

(mando@silk) (~) $ strace chromium 2>&1 | grep urandom
open("/dev/urandom", O_RDONLY|O_NOCTTY|O_CLOEXEC) = 23
open("/dev/urandom", O_RDONLY)          = 27
open("/dev/urandom", O_RDONLY)          = 58

Ici on voit qu'il n'y a que des opérations en lecture. Pour comprendre ce que fait open et les flags qui vont avec :

man 2 open

(q pour quitter)

Bonne chance

AntoineFrigel · Answer

Merci, ici je dois écrire "chromium-browser", sinon ça ne donne rien, voir ici :

pascal@pascal:~$ strace chromium 2>&1 | grep urandom
pascal@pascal:~$ strace chromium-browser  2>&1 | grep urandom
open("/dev/urandom", O_RDONLY)          = 14
open("/dev/urandom", O_RDONLY|O_NOCTTY|O_CLOEXEC) = 27
open("/dev/urandom", O_RDONLY)          = 34
pascal@pascal:~$ 




Et voilà ce que j'ai fait au total :



pascal@pascal:~$ strace chromium 2>&1 | grep urandom
pascal@pascal:~$ strace chromium-browser  2>&1 | grep urandom
open("/dev/urandom", O_RDONLY)          = 14
open("/dev/urandom", O_RDONLY|O_NOCTTY|O_CLOEXEC) = 27
open("/dev/urandom", O_RDONLY)          = 34
pascal@pascal:~$ sudo -i
[sudo] password for pascal: 
root@pascal:~# lsof /dev/urandom
lsof: WARNING: can't stat() fuse.gvfs-fuse-daemon file system /home/pascal/.gvfs
      Output information may be incomplete.
COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
cupsd     1438   root    7r   CHR    1,9      0t0 1034 /dev/urandom
NetworkMa 1466   root   17r   CHR    1,9      0t0 1034 /dev/urandom
colord    2180 colord   19r   CHR    1,9      0t0 1034 /dev/urandom
gnome-key 2292 pascal    3r   CHR    1,9      0t0 1034 /dev/urandom
indicator 2550 pascal   11r   CHR    1,9      0t0 1034 /dev/urandom
unity-sco 2668 pascal    9r   CHR    1,9      0t0 1034 /dev/urandom
firefox   2781 pascal   25w   CHR    1,9      0t0 1034 /dev/urandom
chromium- 3183 pascal   34u   CHR    1,9      0t0 1034 /dev/urandom
chromium- 3192 pascal   11r   CHR    1,9      0t0 1034 /dev/urandom
chromium- 3196 pascal   11r   CHR    1,9      0t0 1034 /dev/urandom
chromium- 3238 pascal   11r   CHR    1,9      0t0 1034 /dev/urandom
chromium- 3262 pascal   11r   CHR    1,9      0t0 1034 /dev/urandom
chromium- 3407 pascal   11r   CHR    1,9      0t0 1034 /dev/urandom
root@pascal:~# exit
déconnexion
pascal@pascal:~$ strace chromium-browser  2>&1 | grep urandom
open("/dev/urandom", O_RDONLY)          = 14
open("/dev/urandom", O_RDONLY|O_NOCTTY|O_CLOEXEC) = 27
open("/dev/urandom", O_RDONLY)          = 34
pascal@pascal:~$




En fait "lsof" dit qu'il y a bien un processus de chromium-browser qui peut écrire aussi première ligne concernant chromium-browser dans les résultats de "lsof", le "u" après le numéro 34 indique que ce processus est configuré en lecture et écriture). 


Mais comme au moment de faire la commande complète qui commence par "strace" il ne s'écrit rien venant de "chromium-browser" sur "/dev/urandom", alors "strace" (ou "open") n'indique rien c'est ça ?

mamiemando · Answer

Je pense plutôt que c'est le processus père (chromium-browser) qui ouvre les file descriptors liés à /dev/urandom et qui les transmets aux différents processus fils, qui eux manipulent ce file descriptor (et c'est ce que tu vois dans lsof).

En fait je n'ai toujours pas compris ce que tu cherches à faire/voir/comprendre en étudiant le comportement de ton navigateur avec /dev/urandom.

De plus il serait peut-être plus simple de récupérer directement le code source de chromium si tu veux savoir ce qu'il fait concrètement avec /dev/urandom.

Bonne chance

AntoineFrigel · Answer

Je dois partir dans quelques minutes, je te remercie pour l'aide, je passe la discussion en résolu, sympa toutes ces ficelles, à bientôt :-)

Https connexion chiffrée SSL type de ressources svp ?

11 réponses

Discussions similaires