FORTIFY POUR NETSCAPE
Ce manuel a été conçu
à partir du fichier readme.html inclus dans l’archive et reste la
propriété du très sympathique Farrell Mc Kay.
This FAQ is the property of Farrell Mc Kay.
Licence de l'utilisateur final
Copyright (C) 1997-1999 Farrell McKay All rights reserved.
This file is part of the Fortify distribution, a toolkit for upgrading the cryptographic strength of the Netscape web browsers
To the extent permitted by applicable law, this software is provided "as-is", without warranty of any kind, including without limitation, the warrantees of merchantability, freedom from defect, non-infringment, and fitness for purpose. In no event shall the author be liable for any direct, indirect or consequential damages however arising and however caused
Subject to the above conditions
being observed (1-5), this toolkit may be used at no cost to the recipient.
Farrell Mc Kay Wayfarer Systems Pty Ltd - contact@fortify.net
Table des matières |
Capacités et Versions.
Liens.
Pourquoi utilisez Fortify ?
La réponse à cette question peut se donner par cette illustration.
Les butineurs classiques (gauche de l'écran) peuvent seulement communiquer de manière encryptée avec certains serveurs web. Les navigateurs fortifiés (droite de l'écran) peuvent communiquer en toute sécurité avec n'importe quel serveur sécurisé à travers InterNet.
Des détails plus explicites sur cette comparaison peuvent être trouvés sur le réseau à l'URL http://www.fortify.net/compare.html
Que me fournit Fortify ?
Pour les versions 2.x et 3.x de Netscape Navigator, le patch Fortify fournit une enveloppe cryptographique 128 bits lorsque vous êtes connecté à un serveur web proposant le protocole d'encryptage SSL. Sans le patch, les butineurs Netscape classiques limitent l'encryptage à 40 bits - ce qui est substantiellement très peu et cassable avec une certaine aisance. http://www.distributed.net
Pour les versions 4.x de Netscape Navigator, Fortify fournit également les facilités d'encryptage à 128 bits mais génère également une clé interne RSA 1024 bits ainsi que la possibilité d'envoyer et recevoir des messages électroniques Emails en utilisant un encryptage solide à 128 bits. (protocole S/MIME)
Plus de détails sont fournis plus loin dans ce document.
Quels sont les avantages de Fortify par rapport aux autres produits ?
La comparaison de Fortify par rapport aux autres solutions de cryptage comme les relais SSL, serveurs proxy SSL, applets JAVA,… fait ressortir les éléments suivants :
Les dernières versions exportées de Netscape Communicator (version 4 seulement) comprennent deux algorithmes SSL : RC4 128 bits et Triple DES 168 bits.
Ces algorithmes sont seulement valables lorsque vous êtes connecté sur des serveurs web proposant le protocole SSL. Si vous êtes connecté à un serveur web ne permettant pas l'encryptage à ce taux, l'algorithme le plus puissant sera DES 56 bits. Verisign Inc. Fournit ces certifications aux travers de son certificat Global Server ID. Hors des Etats-Unis, ces certifications sont seulement délivrées à certaines organisations spécifiques.
Parallèlement, Fortify vous donne des communications puissamment encryptées vers les serveurs proposant SSL n'importe où dans le monde. Fortify est valable pour les butineurs Navigator 3.x et 4.x ainsi que pour Communicator version 4.x
Microsoft Internet Explorer fait-il la même chose que Netscape Fortify ?
Microsoft Internet Explorer gère également la cryptographie 128 bits mais c'est très conditionnel. C'est seulement valable lorsque vous êtes connecté à un serveur web préalablement approuvé répondant à la classification "Server Gated Cryptography". Respectueusement, tout comme les produits Netscape. N'essayez pas d'imaginer autre chose que ce que cela suggère…
Fortify pour les butineurs de
Microsoft n'existe pas.
Quelles versions de Netscape supportent ce patch ?
La dernière version du patch Fortify pour Netscape supporte toutes les versions non béta précisées ci-dessous (versions anglaises)
Navigator Gold verns 3.01, 3.02, 3.03, 3.04
Navigator Lite (stand-alone) verns 4.02 to 4.08, 4.05-JDK1.1, 4.5, 4.51, 4.6
Communicator verns 4.01 to 4.08,
4.05-JDK1.1, 4.5, 4.51 (+), 4.6
SGI Irix 5.x and 6.x (Systèmes Mips)
Sun Solaris 2.4 and 2.5.1 (Systèmes Sparc)
Sun Solaris 2.4 (Systèmes Intel x86)
Sun SunOS 4.1.3_U1 (Systèmes Sparc)
BSD, FreeBSD, BSDI (Systèmes Intel x86) (*)
Linux-Elf and Linux-glibc2 (Systèmes Intel x86)
MKLinux and LinuxPPC (Systèmes PowerPC)
Microsoft Windows 95/98 and Microsoft Windows NT (Intel x86)
IBM OS/2 (Intel x86) (+)
Apple Mac OS (PowerPC systems)
(+) OS/2 version v2.02 et 4.04 (niveau 5 ou 6).
Votre machine ne figure pas dans cette liste ? Faites-le-nous savoir en remplissant le formulaire (détails plus bas dans ce document)
Les versions Bétas et de prévisualisations sont-elle supportées ?
Certaines versions bétas de Netscape Navigator & Communicator sont supportées. Mais, en général, il n'y a pas de réelle garantie que cette édition est supportée. Ces versions étant limitées dans le temps, nous ne nous en occupons pas. Néanmoins, vous pouvez vous inscrire à la mailing list où ces sujets sont traités.
Les versions internationales non-anglosaxonnes de Netscape supportent-elles ce patch ?
Les versions internationales et les butineurs anglais utilisent tous les mêmes programmes exécutables. On peut donc s'attendre à ce que Fortify reconnaisse et mette à jour ces butineurs. D'ailleurs, beaucoup d'utilisateurs ont rapporté que c'est bel et bien le cas.
Peut-on traduire Fortify dans une autre langue ?
Le patch Fortify a été conçu pour faciliter sa traduction en d'autres langues. Vous trouverez de plus amples informations à l'URL suivante : www.fortify.net/localization.html
Si vous ou votre organisation est potentiellement intéressée en la conception et la distribution d'une version locale de Fortify, contactez-nous.
Fortify plantera t'il le 1er janvier 2000 ?
Non ! Naturellement, cette position
ne vaut que pour les produits Fortify et ne couvre pas l'ensemble des produits
distribués par Netscape Communication. En savoir plus à l'URL
: http://home.netscape.com
Fortify fonctionne t'il avec un serveur utilisant Verisign Global Server ID?
Oui. En effet, un navigateur
fortifié utilisera toujours un encryptage 128 bits lorsqu'il est
connecté à un serveur web le permettant. Au niveau de l'encryptage,
votre butineur ne fera pas de distinctions entre les différentes
certifications des serveurs.
Installation
Où obtenir la toute dernière version de Fortify ?
La page officielle de Fortify est sur le réseau InterNet à l'URL : www.fortify.net Référez-vous à ce site web pour vos téléchargements et pour obtenir les dernières informations au sujet de Fortify.
Je suis impatient. Comment je démarre ?
Avant d'installer Fortify, vous devez impérativement savoir le chemin vers le programme exécutable de Netscape sur votre disque dur si celui-ci n'est pas celui choisi par défaut lors de son installation.
Si vous utilisez MS Windows 95/98 ou NT 4.0, faites comme ceci :
Fortify est fourni en archive auto extractive nommée fn220w32.exe. Téléchargez à partir du serveur ce fichier et exécutez le fichier. L'installation s'amorcera en lançant le programme Fortify.
Le programme vous demandera via son interface des informations additionnelles ou des confirmations dans la plus grande partie des cas.
Une fois Fortify installé sur votre machine, vous pouvez éventuellement le désinstaller si vous le souhaitez. Cela n'affectera pas la nouvelle nature de votre navigateur. Allez dans le panneau de configuration de Microsoft Windows pour opérer la désinstallation est conseillé
Si vous utilisez IBM OS2, procédez de cette manière :
Décompactez l'archive sur votre disque, assurez-vous que Netscape ne fonctionne pas durant l'installation, décompressez votre Netscape.exe, démarrer Fortify.
cd fn140os2
Repack.exe /EXEPACK:0 C:\Netscape\Netscape.exe
Fortify.exe C:\Netscape\Netscape.exe
Eventuellement, re compressez votre fichier Netscape.exe et éventuellement éliminez le fichier backup que Repack.exe a généré.
Repack.exe /EXEPACK:2 C:\Netscape\Netscape.exe
del C:\Netscape\Netscape.bak
Finalement, vérifiez et ajustez les propriétés de Netscape en vous référant à :
C:\Netscape\Netscape.exe ou C:\Netscape\Netscape.bak
Une fois Fortify installé,
vous pouvez éliminer le répertoire fn140os2 si vous le désirez.
Notes pour les utilisateurs d'IBM OS/2 :
Le chemin : C:\Netscape\Netscape.exe
est à titre d'exemple seulement. Vous devriez substituer celui-ci
pour le chemin réel vers le fichier Netscape.exe de votre machine.
Si vous utilisez UNIX, opérez comme ceci :
Assurez-vous que Netscape ne fonctionne pas. Dans l'exemple qui va suivre, vous devriez substituer le chemin donné à titre d'exemple par celui réellement effectif dans votre machine.
gzip -dc Fortify-1.3.2-unix-TYPE.tar.gz | tar -xf -
cd Fortify-1.3.2-unix- Saisissez
./Fortify.sh [nom de votre fichier Netscape ...]
Le script vous posera des questions additionnelles et vous demandera de confirmer.
Faire de la sorte causera une précompilation de votre copie de Fortify. Vous pouvez néanmoins recompiler le programme à votre guise si la compilation proposée ne vous convient pas.
Que dois-je faire encore ?
Vous devriez mettre à vide le cache de votre disque dur et la mémoire de Netscape. Ce n'est absolument obligatoire mais cela éviterait des confusions si vous avez l'habitude d'utiliser l'écran "information document". Cet écran se rapporte à la clé secrète SSL qui a été utilisée lorsque le document a été visualisé à une époque où le patch Fortify n'avait pas encore été installé.
Vous devriez également préciser l'algorithme SSL sur lequel se porte vos préférences. Si vous utilisez normalement l'algorithme qui n'est pas placé par défaut, vous pourriez éventuellement vouloir en changer plus tard. Après avoir démarré Fortify, vous aurez à choisir parmi plusieurs algorithmes. Le contrôle SSL est situé dans les préférences de Netscape au menu option. (version 3) ou dans la fenêtre info sécurité sur Communicator (v4)
Que fait Fortify exactement ?
Netscape a proposé l'usage d'un encryptage SSL depuis la version 2 de son navigateur. De manière inhérente, ce programme ne pose pas de limite de taille de clé. Néanmoins, le butineur ne génère et n'utilise que des clés 40 bits
Fortify simplement revoit à la hausse cette limitation permettant de générer et utiliser des clés à 128 bits quand c'est possible. Ce patch modifie Netscape dans ses entrailles. Autrement dit, Fortify "s'imprime" directement dans votre butineur. Donc, aucuns serveurs SSL proxy ou relais sont nécessaires. Aucunes librairies ou autre programme n'est installés. Aucuns fichier d'aide n'est nécessaires ainsi que certificats.
Vous commencez avec une copie de Vanilla pour Netscape que vous démarrer à côté de Netscape pour obtenir finalement un butineur supportant l'encryptage solide comme les navigateurs domestiques américains. Et ce, de manière totalement transparente dans l'utilisation du programme. La prochaine fois que vous vous connecterez à un serveur permettant le protocole SSL 128, votre connexion sera totalement sécurisée du début à la fin et ce, sans devoir reconfigurer quoi que ce soit. Au niveau du navigateur Netscape 4.x, Fortify améliore aussi la sécurité à deux niveaux : le maximum de taille pour la clé RSA et l'utilisation du protocole S/MIME pour l'encryptage des Emails. Jadis, votre butineur proposait une clé RSA à 512 bits pour passer à 1024 dans la version fortifiée couramment utilisée pour la certification des clients et serveurs.
L'encryptage solide est fourni par la présence de 4 algorithmes de cryptage S/MIME. 3DES 168-bit, RC2 128-bit, RC2 64-bit and DES 56-bit. A l'aide de ceux-ci, la confidentialité de vos Emails est sensiblement accrue.
Chemin :
Avant de faire la mise à jour de votre butineur, Fortify fera une vérification préliminaire.
Il vérifiera :
Fortify a aussi un mode sans écriture. Vous pouvez l'initier avec la commande '-n' dans la version à lignes de commande. Dans le mode sans écriture, le processus décrit avant se passe mais rien n'est actuellement installé. Vous pouvez l'employer pour faire un démarrage "normal" du programme.
Fortify vous proposera de garder une copie de votre ancienne configuration dans le même répertoire. Les fichiers de sauvegarde ont l'extension .sav
Vous pouvez éliminer la mise à jour de votre butineur autant de fois que vous le désirez. Pour la réinstaller, démarrer le patch Fortify sous sa forme de distribution est suffisant. L'installation de Fortify est donc réversible
Que ne fait pas Fortify ?
Absolument rien.
Que signifie ce message "{my browser} is ... not recognisable" ?
Malheureusement, Fortify ne supporte pas toutes les versions du navigateur de Netscape.
Le message "not recognisable" peut apparaître pour plusieurs raisons.
Comment puis-je vérifier si ma copie de Netscape encrypte effectivement ?
Plusieurs possibilités.
La méthode la plus simple est de redémarrer Netscape et de cliquer sur l'onglet " A propos de… " à partir du menu d'aide.
Vous devriez lire quelque part cette chaîne de caractères (MS Windows 95):
Cette version supporte la sécurité U.S. avec Cryptographie de clef publique RSA, MD2, MD5, RC2-CBC, RC4, DES-CBC, DES-EDE3-CBC.
Sur UNIX, la version de Netscape se décrira d'elle-même en affichant le message : "This version supports International security ........."
Les versions fortifiées se décrivent d'elles même comme : "This version supports U.S. security..."
Sous Microsoft Windows 95/98/Nt et Unix, l'évidence des capacités cryptographique de votre navigateur est située dans les préférences SSL et S/MIME dans les boîtes de dialogue situées dans le gestionnaire de sécurité.
Les versions exportées de Navigator (v3) propose un encryptage de 40-bit RC2 et RC4 (exemple), les versions fortifiées offrent 128-bit RC4 (exemple).
Les versions exportées de Communicator (v4) offrent 40-bit RC4 pour les connexion au WorldWide Web, ou 128-bit RC4 ou 168-bit Triple-DES quand le serveur web le permet (exemple). Les versions fortifiées de Netscape permettent (par exemple) de jouir d'un encryptage 128-bit RC4 et 168-bit Triple-DES sans aucune restriction (exemple). Pour les envois et réceptions d'Email, Communicator (v4) offre 40-bit RC2 seulement (exemple), les versions fortifiées vous permettront de monter à 128 bits.
Vous pouvez également
vous connecter à des serveurs publics proposant SSL 128. Par exemple
: https://www.fortify.net ou https://www.c2.net
, et téléchargez une page…
L'option SmartUpdate de la version 4 de Netscape Navigator vous donnera également un détail complet de votre navigateur. |
Dans Netscape Navigator v3, une
petite clé s'affichera en bas de la fenêtre indiquant le niveau
d'encryptage supporté par le serveur visité.
Une clé cassée signifie qu'il n'y a pas d'encryptage, | |
Une clé avec une seule dent signifie un encryptage 40-bits, | |
Une clé avec deux dents signifie que vous visitez un serveur SSL 128. |
L'écran "Document Information" vous décrira le statut de ces différents encryptage.
Si vous restez septique, il ne vous reste qu'à trouver un serveur web vous décrivant le niveau d'encryptage SSL en fonction des pages qu'il vous proposera.
Par exemple.
https://www.fortify.net/sslcheck.html
https://ssl3.c2.net - http://www.netcraft.co.uk/ssl/
Ou alors, trouver un serveur SSL-Apache ayant le script cgi-bin "printenv" installé. Ouvrez une connexion SSL vers ce script https://some.server.name/cgi-bin/printenv. Les versions exportées de Netscape monteront en retour une page html incluant ses lignes :
HTTP_USER_AGENT = Mozilla/3.01 (X11; I; ...platform...)
HTTPS = on
HTTPS_CIPHER = EXP-RC4-MD5
HTTPS_KEYSIZE = 128
HTTPS_SECRETKEYSIZE = 40
Les versions fortifiées verront :
HTTP_USER_AGENT = Mozilla/3.01 (X11; U; ...platform...)
HTTPS = on
HTTPS_CIPHER = RC4-MD5
HTTPS_KEYSIZE = 128
HTTPS_SECRETKEYSIZE = 128
Si vous êtes encore septique, trouvez ou faites vous-même un serveur web SSL et vérifiez par vous-même. Les navigateurs Netscape fortifiés confirmeront tout.
Comment dois-je encrypter et/ou signer mes Emails ?
Pour envoyer et recevoir des Emails entre utilisateurs utilisant le programme Netscape Messenger, vous devez avoir en votre possession une copie de leurs certificats dans votre machine. Vous pouvez trouver ces certificats en cherchant dans les services en ligne ou en ayant reçu d'eux un message signé.
Pour signer vos propres messages,
vous devrez impérativement obtenir un certificat auprès d'une
organisation compétente. Par exemple : Thawte Inc. Et GlobalSign
offrant différents certificats en fonction de vos besoins et de
vos moyens financiers (gratuit aussi) Assurez-vous que la taille des certificats
est d'au moins 1024 bits.
Informations légales et cryptanalyse
A propos de RSA/RC4/40-bits/512-bits/clés symétriques ? Je suis perturbé !
Pour essayer d'être concis, il y a deux types de clés utilisées par Netscape. Une secrète qui encrypte et décrypte les données transmises. Cette clé secrète a une taille de 40 à 168 bits en fonction de la configuration du butineur.
La deuxième clé est du type RSA se présentant en deux parties : une publique et une privée. Cette clé RSA est utilisée lorsqu'une nouvelle connexion SSL est établie pour sécuriser l'échange de la clé secrète. La taille des clés publiques et privées est d'au moins 512 bits. C'est une grossière simplification du protocole SSL, Si vous voulez en savoir plus, référez-vous au WorldWide Web et à ses liens.
Quelle est la solidité d'une clé 40 bits ?
Très faible (nulle)
Il faut 64 ans à un ordinateur capable de produire 1 MIPS (MIPS = millions d'instructions à la seconde) pour trouver une clé 40 bits. Un ordinateur 64 MIPS ne prendrait qu'une seule année pour casser la même clé. Digital Equipment Corporation a annoncé en juillet 1996 une machine 64 bits capable de calculer 2000 MIPS. Donc, pour faire un simple calcul, 4 ordinateurs tel annoncé casseraient une clé 40 bits en (64 * 365) / (2000 * 4) = 2.92 jours. Inacceptable. De grosses organisations, gouvernements et agences secrètes peuvent donc casser une clé 40 bits en temps réel.
Les technologies déjà valables actuellement en vue d'attaquer brutalement un système cryptographique sont relativement rapides et peu coûteuses. Les machines d'usage courant peuvent être utilisées mais, plus efficacement, une meilleure approche sont des machines technologiquement spécialisées. Pour les attaquants prêts à faire les investissements initiaux en conséquences, capables de réaliser des améliorations directement dans cette technologie peuvent tirer encore de meilleurs bénéfices.
En conséquence, les crypto systèmes à clé de 40-bits n'offrent virtuellement aucune protections valables (cassable en temps réel) contre les attaques brutes, tout comme le DES (Data Encryption Standard) 56-bits. Un crypto système peut également s'écrouler par attaques non brutales, c'est pourquoi il est important de discuter sur la taille des clés et son minimum acceptable.
Heureusement, le prix à payer pour pourvoir jouir d'un encryptage puissant n'est pas significativement plus élevé que pour les encryptages faibles. C'est pourquoi, pour fournir une protection plus élevée contre les attaques, les institutions et entreprises commerciales ont potées pour des clés de cryptage symétrique de taille égales à 75 bits. Les toutes récentes innovations technologiques prouvent qu'une telle taille n'est pas valable et sure pour les 20 ans à venir. C'est pourquoi les systèmes actuels devraient au moins être à 90-bits.
A t'on déjà cassée une clé 40 bits ?
Oui, plusieurs fois. Une des premières attaques publiques a été faite en 1995. David Byers et Eric Young, utilisant approximativement 50 PCs, 15 workstations et un Mas Par MP-1. Le temps le plus court pour casser une clé 40 bits est de 31 heures 47 minutes.
Janvier 1997, deux autres challenges cryptographiques ont cassé une clé 40 bits en 3.5 heures(Mr.Ian Goldberg - Berkeley University California) en utilisant 250 PC et stations de travail. Autre challenge : une clé 48-bit en approximativement 13 jours grâce à une association de 5000 ordinateurs à travers InterNet. Une clé DES 56-bit DES a également été cassée en 39 jours. Electronic Frontier Foundation a cassé une clé DES 56-bit en juin et juillet 1998. Le résultat le plus signifiant fut celui accompli par le challenge RSA DES II challenge : 56 heures. Tout ceci démontre la fragilité de DES.
Pourquoi faire confiance à Fortify ? Qui sait ?
Laissez le minimum aux gouvernements, d'accord ? Vous n’êtes pas tel un ingénieur fou d’accord de construire des ponts s’écroulant jour après jour pour en reconstruire sans cesse en espérant que celui-ci tiendra mieux que le précédent. La vie privée est un droit et les règlements d'exportations US ne respectent pas ce droit.
L'encryptage solide existe. Il est réprouvé, pratique et bon marché !
Fortify pour Netscape a été conçu en Australie en utilisant les ressources australiennes et ce, sans assistance de Netscape Communication. Par conséquent - libre de droits d'exportation.
L'Australie ne régule pas " encore " l'exportation de moyens cryptographiques par voies électroniques.
Fortify pour Netscape n'est pas
un produit de l'entreprise Netscape Communication. Ce programme échappe
dont aux restrictions américaines.
Autres ressources
La mailing list
majordomo@fortify.net
Attention, cette mailing list est en lecture seule. Les messages qui y
seront envoyés ne seront pas redistribués. Une fois un message
d'inscription envoyé, attendez de recevoir les autres instructions.
Conclusions.
Fortify pour Netscape vous fournira
un encryptage transparent lors de vos connexions aux serveurs web proposant
le protocole SSL. Gratuit pour les particuliers, peu encombrant à
télécharger, ce programme peut faire merveille dans les foyers
! Depuis les décrets français libéralisant la cryptologie,
Fortify pour Netscape n'est plus illégal dans l'Hexagone. Fortifié
par ce programme, le commerce en ligne en utilisant un navigateur Netscape
devient bien plus sécurisé. Un conseil, avant d'envoyer votre
numéro de carte bleue sur un serveur Internet, vérifiez toujours
si la page est encryptée !
Liens
Comment joindre le traducteur ?
Raphaël Quoilin - Belgique
Clé PGP de type Diffie Hellman : 0xAC0E0AF3
Empreinte : ECD1F67A641932119B4B912B63A780E2AC0E0AF3
Email : raphael.quoilin@advalvas.be
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Je ne représente nullement
une association commerciale. Cette
traduction a pour but de vous
informer et s'inscrit dans un plan
global de traduction de toutes
notices, manuels et FAQ relatives à
l'usage de la cryptographie
publique en francophonie. Cette
documentation ne peut absolument
pas être revendue sans l'accord de
Farrell Mc Kay (Relire la licence).
-----BEGIN PGP SIGNATURE-----
Version: PGP Personal Privacy
6.0.2
Comment: raphael.quoilin@advalvas.be
iQA/AwUBNycBy2OngOKsDgrzEQJc8QCgvUTL48hZN4scXmyWPy/7wNKlcNkAoMeQ
KxGp0hiaV85dpujqsbfFT2Cz
=GAHU
-----END PGP SIGNATURE-----
Comment en savoir plus ?
"Le droit de tout individu à
la sûreté de ses biens, affaires et propriétés,
contre toute enquête ou saisie injustifiées, devra être
préservé... "
-- Quatrième Amendement à la Constitution des Etats-Unis d'Amérique.