Aller au contenu

Parler le langage des clés, des messages et des attaquants

Donner un vocabulaire stable pour lire tout le reste du site et éviter les confusions récurrentes entre clé, nonce, sel, tag, certificat et secret.

Chapitre 2 Débutant · Intermédiaire 18 pages

Objectif du chapitre

Donner un vocabulaire stable pour lire tout le reste du site et éviter les confusions récurrentes entre clé, nonce, sel, tag, certificat et secret.

Notions à couvrir

Message clair, message chiffré, clé, nonce, IV, sel, pepper et tag
Acteurs pédagogiques et adversaires passifs ou actifs
Attaques à texte connu, choisi, chiffré choisi et rejeu
Modèle de menace, hypothèses et objectif de sécurité
Canaux, stockage, protocole et API

Sous-sections

Objets manipulés par une primitive [Débutant]

Message, clé, paramètre public, sortie et erreur
Ce qui doit être secret et ce qui peut être public
Pourquoi un nonce n’est pas une clé

Figures d’attaquants [Débutant]

Observateur réseau
Intermédiaire actif
Serveur curieux
Client compromis
Administrateur trop privilégié

Modèles d’attaque [Intermédiaire]

Texte chiffré seul
Texte clair connu
Texte clair choisi
Texte chiffré choisi
Rejeu et confusion de contexte

Du vocabulaire au cahier des charges [Intermédiaire]

Écrire un objectif mesurable
Lister les hypothèses
Identifier ce qui reste hors périmètre
Nommer les données associées

Exemples et ateliers

Annoter un schéma d’API AEAD avec key, nonce, AAD, plaintext, ciphertext et tag
Écrire le modèle de menace d’un formulaire de connexion
Relire un protocole jouet et repérer les hypothèses implicites

Pièges classiques

Employer IV et nonce comme synonymes universels
Supposer qu’un sel doit rester secret
Prendre une clé publique pour un secret
Ignorer les erreurs renvoyées par une bibliothèque

À ne pas confondre

Nonce, IV et compteur
Sel et pepper
Clé privée et mot de passe
Authenticité d’un message et identité d’une session

Points à vérifier

Aucun point spécifique.