Question ouverte : comment authentifier un hôte

Message par **Kronick** » ven. 12 févr. 2010 11:03

Bonjour à tous,
on m'a posé la question suivante :
une appli iphone qui va envoyer du contenu sensible via HTTPS (numéro de série etc...)
en plus du SSL, on veut authentifier de manière forte l'application. j'ai répondu qu'on pourrait signer l'application (n° de série, code unique) qui serait utilisé pour s'assurer côté serveur que le flux provient bien de l'appli iphone, mais je n'ai pas trop d'idées.
Et vous ?

Message par **Zedoune** » ven. 12 févr. 2010 13:49

Distribution de clés privées pour authentifier chaque client
Utilisation de nonces pairs et impairs en fonction du client et du serveur pour éviter les attaques par réflexion

Message par **kalistyan** » sam. 13 févr. 2010 14:34

A partir de l'@MAC

Message par **Zedoune** » sam. 13 févr. 2010 15:14

A partir de l'@MAC

Message par **Kronick** » sam. 13 févr. 2010 16:27

ok
donc Z, clé publique pour l'application et clé privée côté serveur ?
(par contre c'est une appli grand public)

Message par **kalistyan** » sam. 13 févr. 2010 17:49

Message par **Kronick** » lun. 15 févr. 2010 12:27

au fait "utilisation de nonces pairs et impaires" ????

Message par **Zedoune** » lun. 15 févr. 2010 13:32

c'est un nombre généré aléatoirement par le serveur qui est envoyé au client

Le client reçoit le nonce, le hash avec son mot de passe et l'envoi au serveur.

Le serveur va aussi faire un hash avec son mot de passe, et comparer avec celui du client. S'ils ont le même mot de passe, alors le hash est le même et donc le client est authentifié.

Au lieu de mot de passe, on peut très bien utiliser des clés symétriques ou privées

Message par **Kronick** » lun. 15 févr. 2010 14:17

oki super merci pour l'idée, ça peut être pas mal oui

Message par **tugs** » lun. 15 févr. 2010 14:56

:/

bah pour authentifier un client de manière forte, on utilise {attention surprise} des modules d'authentification forte

- Certificat Client (ca marche avec les navigateurs par exemple)
- OTP (One Time Password)
- Certificat matériel (sur une clé usb ou dans un fichier, sur iphone c'est plus dur) comme pour EMV/CAP

Cela dit, l'iphone est aussi client VPN, si ca c'est pas de l'auth forte

Message par **Ryu_wm** » lun. 15 févr. 2010 20:05

Very Pourri Navigator ?

... navré

Message par **Kronick** » lun. 15 févr. 2010 22:38

héhé

Message par **Zedoune** » lun. 15 févr. 2010 22:40

tu devrais acheter (ou regarder sur le site officiel si l'article est gratuit) HAKIN9, c'est un magazine traitant de sécurité, c'est très bien fait je trouve. Le numéro actuel traite de la sécurité des smartphone

Message par **Kronick** » lun. 15 févr. 2010 23:34

ah super

je vais voir si ça s'achète dans un buraliste du coin

Message par **Zedoune** » lun. 15 févr. 2010 23:54

je l'ai bien trouvé dans une grande surface Géant Casino alors ça doit se trouver dans un bureau de tabac

Je sais pas si ça va t'aider pour ton problème d'authentification, mais ça va t'aider à éviter des failles

Message par **jsonline** » ven. 9 avr. 2010 09:50

Very Pourri Navigator ?

... navré

et aussi Vraiment Petit Navigateur... (oui navré moi aussi qu'autant de gens se cassent les yeux sur ces trucs)