Présentation technique des fonctions de sécurité

Local Navigation

Documentation produit   Documentation pour les administrateurs   BlackBerry Enterprise Server 5 Security   Présentation technique des fonctions de sécurité BlackBerry Enterprise Solution - 5.0.3

Clés de protection du contenu

Lorsque vous ou un utilisateur activez la protection du contenu pour un terminal BlackBerry®, ce terminal BlackBerry crée une clé de protection du contenu. La clé de protection du contenu est conçue pour crypter des données utilisateur sur le terminal BlackBerry lorsque ce dernier est verrouillé.

Lorsque le terminal BlackBerry est verrouillé, un processus de cryptage commence. Le terminal BlackBerry libère la mémoire qu'il associe à la clé de protection du contenu et à la clé privée ECC qu'il stocke dans la RAM. Le terminal BlackBerry utilise alors la clé publique ECC pour crypter les nouvelles données qu'il reçoit.

Lorsqu'un utilisateur déverrouille un terminal BlackBerry, ce terminal BlackBerry décrypte la clé de protection du contenu et la clé privée ECC dans la mémoire flash. Lorsque l'utilisateur souhaite afficher les données, le terminal BlackBerry utilise la clé de protection du contenu ou la clé privée ECC pour décrypter les données avant que le terminal BlackBerry ne les affiche. Un terminal BlackBerry déverrouillé utilise la clé de protection du contenu pour crypter de nouvelles données que l'utilisateur saisit ou ajoute au terminal BlackBerry, ou que le terminal BlackBerry reçoit.

Enchaînement des opérations : activation de la protection du contenu à l'aide de BlackBerry Enterprise Server

Vous pouvez activer la protection du contenu à l'aide de BlackBerry® Enterprise Server lorsque vous configurez la règle de stratégie informatique Force de la protection du contenu.

  1. BlackBerry Enterprise Server effectue les opérations suivantes :
    1. sélectionne b au hasard
    2. calcule B = bP
    3. stocke b dans la base de données BlackBerry Configuration Database
    4. envoie B dans la stratégie informatique au terminal BlackBerry.
  2. Le terminal BlackBerry effectue les opérations suivantes :
    1. vérifie que B est une clé publique valide
    2. sélectionne d au hasard
    3. calcule D = dP
    4. stocke D dans la mémoire flash
    5. calcule K = dB
    6. utilise K pour crypter le mot de passe actuel du terminal BlackBerry
    7. utilise le mot de passe du terminal BlackBerry crypté pour crypter la clé de protection du contenu
    8. supprime définitivement d et K

Lorsque le terminal BlackBerry supprime définitivement d, un utilisateur potentiellement malveillant ne peut pas utiliser les données qui restent sur le terminal BlackBerry pour récupérer K. Seul BlackBerry Enterprise Server connaît b et peut recalculer K = dB = dbP = bD s'il reçoit d.

Enchaînement des opérations : génération d'une clé de protection du contenu sur un terminal BlackBerry

Lorsque vous ou un utilisateur activez pour la première fois la protection du contenu sur le terminal BlackBerry®, le terminal BlackBerry effectue les opérations suivantes :
  1. utilise une fonction DSA PRNG pour générer de façon aléatoire une clé de protection du contenu
  2. génère une paire de clés ECC avec une longueur de bit déterminée par vous ou par l'utilisateur
  3. invite l'utilisateur à saisir le mot de passe du terminal BlackBerry
  4. dérive une clé éphémère utilisant le cryptage AES-256 à partir du mot de passe du terminal BlackBerry, en utilisant PKCS #5
  5. utilise la clé éphémère pour crypter la clé de protection du contenu et la clé privée ECC
  6. stocke la clé de protection du contenu cryptée, la clé privée ECC cryptée et la clé publique ECC dans la mémoire flash

La clé de protection du contenu est une clé semi-permanente qui utilise le cryptage AES-256. Si l'utilisateur change le mot de passe du terminal BlackBerry, le terminal BlackBerry utilise le nouveau mot de passe pour dériver une nouvelle clé éphémère. Le terminal BlackBerry utilise la nouvelle clé éphémère pour recrypter les versions de la clé de protection du contenu et de la clé privée ECC qui sont dans la mémoire flash.

Pour plus d'informations sur la fonction DSA PRNG, reportez-vous à Federal Information Processing Standard - FIPS PUB 186-2. Pour plus d'informations sur PKCS #5, visitez www.rsa.com pour consulter PKCS #5 : norme de cryptographie basée sur les mots de passe.

Enchaînement des opérations : dérivation d'une clé éphémère qui protège une clé de protection du contenu et une clé privée ECC

Un terminal BlackBerry® utilise une clé éphémère pour crypter une clé de protection du contenu et une clé privée ECC. Le terminal BlackBerry dérive la clé éphémère, qui est une clé de cryptage AES-256, du mot de passe du terminal BlackBerry en utilisant PKCS #5.

Pour dériver une clé éphémère, le terminal BlackBerry effectue les opérations suivantes :
  1. sélectionne un grain de sel de 64 bits (données aléatoires que le terminal BlackBerry mélange avec le mot de passe du terminal BlackBerry)

    Le grain de sel empêche deux mots de passe identiques de devenir la même clé.

  2. effectue la concaténation du grain de sel, du mot de passe, puis de nouveau du grain de sel dans un tableau d'octets (par exemple, Grain de sel|Mot de passe|Grain de sel)
  3. hache le tableau d'octets avec SHA-256
  4. stocke le hachage résultant dans un tableau d'octets appelé une clé
    (clé) = SHA256(Sel|Mot de passe|Sel)
  5. hache la clé 18 fois de plus et stocke à chaque fois le résultat dans la clé
    Par exemple, pour i=0 à 18, le terminal BlackBerry effectue les opérations suivantes :
    (clé) = SHA256(clé) i++ terminé

Le hachage final crée la clé éphémère.

Pour plus de renseignements, visitez le site suivant : www.rsa.com pour consulter PKCS #5 : norme de cryptographie basée sur les mots de passe.

Sujet suivant: Clés de cryptage principales
Sujet précédent: Enchaînement des opérations : génération d'une clé de message sur un terminal BlackBerry

Ces informations vous ont-elles été utiles ? Envoyez-nous vos commentaires.