Share via

Chiffrement et gestion des certificats

Chiffrement

Le chiffrement utilise du code pour convertir des données afin que seul un destinataire spécifique puisse les lire à l’aide d’une clé. Le chiffrement applique la confidentialité pour empêcher quiconque sauf le destinataire prévu de lire les données, l’intégrité pour garantir que les données ne sont pas falsifiées et l’authentification qui vérifie l’identité pour garantir la sécurité de la communication. La pile de chiffrement dans Windows s’étend de la puce au cloud, ce qui permet à Windows, aux applications et aux services de protéger les secrets système et utilisateur.

Le chiffrement dans Windows est certifié FIPS (Federal Information Processing Standards) 140. La certification FIPS 140 garantit que les algorithmes approuvés par le gouvernement américain sont utilisés (RSA pour la signature, ECDH avec courbes NIST pour l’accord de clé, AES pour le chiffrement symétrique et SHA2 pour le hachage), teste l’intégrité du module pour prouver qu’aucune falsification n’a eu lieu et prouve le caractère aléatoire des sources d’entropie.

Les modules de chiffrement Windows fournissent des primitives de bas niveau telles que :

  • Générateurs de nombres aléatoires (RNG)
  • Chiffrement symétrique et asymétrique (prise en charge d’AES 128/256 et RSA 512 à 16384, par incréments 64 bits et ECDSA sur les courbes primaires standard NIST P-256, P-384, P-521)
  • Hachage (prise en charge de SHA-256, SHA-384 et SHA-512)
  • Signature et vérification (prise en charge du remplissage pour OAEP, PSS, PKCS1)
  • Accord de clé et dérivation de clé (prise en charge de ECDH sur les courbes de base standard NIST P-256, P-384, P-521 et HKDF)

Ces modules sont exposés en mode natif sur Windows via l’API de chiffrement (CAPI) et l’API CNG (Cryptography Next Generation), qui est alimentée par la bibliothèque de chiffrement open source de Microsoft SymCrypt. Les développeurs d’applications peuvent utiliser ces API pour effectuer des opérations de chiffrement de bas niveau (BCrypt), des opérations de stockage de clés (NCrypt), protéger des données statiques (DPAPI) et partager des secrets de manière sécurisée (DPAPI-NG).

Gestion des certificats

Windows propose plusieurs API pour utiliser et gérer les certificats. Les certificats sont essentiels pour l’infrastructure à clé publique (PKI), car ils fournissent les moyens de protéger et d’authentifier les informations. Les certificats sont des documents électroniques utilisés pour revendiquer la propriété d’une clé publique. Les clés publiques sont utilisées pour prouver l’identité du serveur et du client, valider l’intégrité du code et utilisées dans les e-mails sécurisés. Windows offre aux utilisateurs la possibilité d’inscrire et de renouveler automatiquement des certificats dans Active Directory avec stratégie de groupe afin de réduire le risque de pannes potentielles dues à l’expiration ou à une configuration incorrecte des certificats. Windows valide les certificats via un mécanisme de mise à jour automatique qui télécharge quotidiennement les listes d’approbation de certificats (CTL). Les certificats racines approuvés sont utilisés par les applications comme référence pour les hiérarchies PKI dignes de confiance et les certificats numériques. La liste des certificats approuvés et non approuvés est stockée dans la CTL et peut être mise à jour par les administrateurs. En cas de révocation de certificat, un certificat est ajouté en tant que certificat non approuvé dans la CTL, ce qui entraîne sa révocation globale sur les appareils des utilisateurs immédiatement.

Windows propose également l’épinglage de certificat d’entreprise pour aider à réduire les attaques de l’intercepteur en permettant aux utilisateurs de protéger leurs noms de domaine internes contre le chaînage à des certificats indésirables. La chaîne de certificats d’authentification serveur d’une application web est vérifiée pour s’assurer qu’elle correspond à un ensemble restreint de certificats. Toute application web déclenchant une incompatibilité de noms démarre la journalisation des événements et empêche l’accès utilisateur à partir de Microsoft Edge.