Tout est possible

Chiffrement

générer une longue passphrase

Billet publié dans Chiffrement le 26 septembre 2018 par Jean-Christian

export LC_CTYPE=C; cat /dev/random | tr -dc 'a-zA-Z0-9&#{([|_@)]=}+$*?,.;/:§!><\-' | fold -w 1024 | head -n 1 /dev/random : on peut le remplacer par /dev/urandom si la machine a trop peu d'entropie (i.e. si la commande ci-dessus prend trop de temps) 1024 : c'est la taille, le nombre de caractères de [...]

quelques sécurisations de sites Web

Billet publié dans Chiffrement le 30 août 2018 par Jean-Christian

Un site Web peut être sécurisé de plusieurs manières différentes, cumulables. Regardons-en quelques unes, à quoi elles servent et comment les mettre en place. HTTPS / SSL / TLS À présent, le nom de la norme est "TLS". Mais à l'oral, on dit encore "SSL" (qui est l'ancien nom de [...]

validité d’un certificat TLS

Billet publié dans Chiffrement le 29 août 2018 par Jean-Christian

Il y a plusieurs critères à respecter pour qu'un certificat TLS soit reconnu valide. Si un seul de ces critères n'est pas suivi, alors le certificat est invalide et n'apporte aucune sécurité ! Sa présence pourrait même faire croire à une fausse sécurité ! Nom du certificat = URL du [...]

authentification et hash de mots de passe

Billet publié dans Chiffrement le 11 août 2018 par Jean-Christian

Rappel : les fonctions de hash Comme vous le savez, il est hors de question de stocker un mot de passe en clair dans une base de données d’authentification, ni même sous une forme chiffrée quelconque. Ce mot de passe doit être stocké sous forme de hash (sorte de cryptage [...]

configuration OpenSSL pour un nouveau certificat

Billet publié dans Chiffrement Linux le 24 mai 2018 par Jean-Christian

Fichier de configuration [ req ] default_md = sha256 distinguished_name = req_dn req_extensions = req_ext x509_extensions = v3_ca prompt = no [ req_ext ] subjectAltName [...]

Billet publié dans Chiffrement le 22 mai 2018 par Jean-Christian | Ouvrir »

Pour tester proprement une connexion TLS, il faut taper la commande suivante :
openssl s_client -crlf -servername $WEBSITE-NAME -connect $HOSTNAME:$PORT

La commande -crlf sert pour certaines versions récentes d’Apache, il s’agit d’éviter l’erreur suivante :
AH00566: request failed: malformed request line

La commande -servername $WEBSITE-NAME sert pour utiliser le protocole SNI.

comment vérifier qu’une clef privée est bien associée à un certificat donné

Billet publié dans Chiffrement le 20 mars 2018 par Jean-Christian

Il suffit de taper 2 commandes, et de vérifier que les 2 résultats sont identiques : openssl x509 -noout -modulus -in certificate.crt | openssl md5 openssl rsa -noout -modulus -in privateKey.key | openssl md5

convertir des certificats

Billet publié dans Chiffrement le 20 mars 2018 par Jean-Christian

À partir d'un format PEMvisualiser le contenu d'un PEM Un PEM est un fichier texte contenant 1 ou plusieurs certificats concaténés. Pour les repérer, chaque certificat commence par une ligne de la forme -----BEGIN CERTIFICATE----- et se termine par la ligne -----END CERTIFICATE-----. Prenez votre éditeur de texte préféré (éditeur [...]

chiffrement de fichiers avec openssl 2

Billet publié dans Chiffrement le 14 décembre 2017 par Jean-Christian

Chiffrer un fichier avec openSSL Peu de personnes le savent. OpenSSL ne permet pas seulement de manipuler des clefs asymétriques (certificats TLS), mais également de gérer des clefs symétriques. On peut donc utiliser ce logiciel à des fins de chiffrement réversible, pour des échanges de fichiers ou un chiffrement de [...]