Cadre de sécurité : chiffrement | Atténuation

• Utiliser uniquement les chiffrements de blocs symétriques approuvés et les longueurs de clé
• Utiliser les modes de chiffrement de bloc approuvés et les vecteurs d’initialisation pour les chiffrements symétriques
• Utiliser des algorithmes asymétriques approuvés, des longueurs de clé et du remplissage
• Utiliser des générateurs de nombres aléatoires approuvés
• N’utilisez pas de chiffrements de flux symétriques
• Utiliser des algorithmes de hachage MAC/HMAC/keyed approuvés
• Utiliser uniquement les fonctions de hachage de chiffrement approuvées

• Utiliser des algorithmes de chiffrement forts pour chiffrer les données dans la base de données
• Les packages SSIS doivent être chiffrés et signés numériquement
• Ajouter une signature numérique à des éléments sécurisables de base de données critiques
• Utiliser EKM SQL Server pour protéger les clés de chiffrement
• Utiliser la fonctionnalité AlwaysEncrypted si les clés de chiffrement ne doivent pas être révélées au moteur de base de données

• Stocker des clés de chiffrement en toute sécurité sur un appareil IoT

• Générer une clé symétrique aléatoire de longueur suffisante pour l’authentification auprès d’IoT Hub

• Vérifiez qu’une stratégie de gestion des appareils est en place qui nécessite un code confidentiel d’utilisation et autorise l’effacement à distance

• Vérifiez qu’une stratégie de gestion des appareils est en place qui nécessite un verrou pin/mot de passe/verrouillage automatique et chiffre toutes les données (par exemple, BitLocker)

• Vérifiez que les clés de signature sont renouvelées lors de l’utilisation d’Identity Server
• Assurez-vous que l'ID client et le secret client cryptographiquement forts soient utilisés dans Identity Server

Les produits doivent utiliser uniquement les chiffrements de blocs symétriques et les longueurs de clé associées qui ont été explicitement approuvées par l’Advisor Crypto dans votre organisation. Les algorithmes symétriques approuvés chez Microsoft incluent les chiffrements de bloc suivants :

• Pour le nouveau code AES-128, AES-192 et AES-256 sont acceptables
• Pour la compatibilité descendante avec le code existant, trois clés 3DES sont acceptables
• Pour les produits utilisant des chiffrements de blocs symétriques :
  • Advanced Encryption Standard (AES) est requis pour le nouveau code
  • La norme 3DES (Triple Data Encryption Standard) à trois clés est autorisée dans le code existant pour la compatibilité descendante
  • Tous les autres chiffrements de bloc, y compris RC2, DES, 2 Key 3DES, DESX et Skipjack, peuvent uniquement être utilisés pour déchiffrer les anciennes données et doivent être remplacés s’ils sont utilisés pour le chiffrement
• Pour les algorithmes de chiffrement de bloc symétrique, une longueur de clé minimale de 128 bits est requise. Le seul algorithme de chiffrement de bloc recommandé pour le nouveau code est AES (AES-128, AES-192 et AES-256 sont tous acceptables)
• Trois clés 3DES sont actuellement acceptables si déjà utilisés dans le code existant ; la transition vers AES est recommandée. DES, DESX, RC2 et Skipjack ne sont plus considérés comme sécurisés. Ces algorithmes peuvent uniquement être utilisés pour déchiffrer les données existantes pour la compatibilité descendante, et les données doivent être rechiffrées à l’aide d’un chiffrement de bloc recommandé

Notez que tous les chiffrements de blocs symétriques doivent être utilisés avec un mode de chiffrement approuvé, ce qui nécessite l’utilisation d’un vecteur d’initialisation approprié (IV). Un IV approprié, est généralement un nombre aléatoire et jamais une valeur constante

L’utilisation d’algorithmes de chiffrement hérités ou non approuvés et de longueurs de clé plus petites pour la lecture des données existantes (par opposition à l’écriture de nouvelles données) peut être autorisée après la révision du Comité de chiffrement de votre organisation. Toutefois, vous devez déposer une exception contre cette exigence. En outre, dans les déploiements d'entreprise, les produits devraient envisager d'avertir les administrateurs lorsque le chiffrement faible est utilisé pour lire les données. Ces avertissements doivent être explicatifs et actionnables. Dans certains cas, il peut être approprié que la stratégie de groupe contrôle l’utilisation du chiffrement faible

Algorithmes .NET autorisés pour l’agilité du chiffrement managé (par ordre de préférence)

• AesCng (conforme FIPS)
• AuthenticatedAesCng (conforme FIPS)
• AESCryptoServiceProvider (conforme FIPS)
• AESManaged (non conforme FIPS)

Notez qu'aucun de ces algorithmes ne peut être spécifié via les méthodes SymmetricAlgorithm.Create ou CryptoConfig.CreateFromName sans apporter de modifications au fichier machine.config. Notez également que AES dans les versions de .NET antérieures à .NET 3.5 est nommée RijndaelManagedet AesCngAuthenticatedAesCng est >disponible via CodePlex et nécessite le CNG dans le système d’exploitation sous-jacent

L’utilisation d’algorithmes de chiffrement interdits présente un risque important pour la sécurité des produits et doit être évitée. Les produits doivent utiliser uniquement ces algorithmes de chiffrement et les longueurs de clé associées et le remplissage qui ont été explicitement approuvés par le conseil de chiffrement de votre organisation.

• RSA peut être utilisé pour le chiffrement, l’échange de clés et la signature. Le chiffrement RSA doit utiliser uniquement les modes de remplissage OAEP ou RSA-KEM. Le code existant peut utiliser le mode de remplissage PKCS #1 v1.5 uniquement par souci de compatibilité. L’utilisation du remplissage nul est explicitement interdite. Clés >= 2048 bits sont requises pour le nouveau code. Le code existant peut prendre en charge les clés < 2048 bits uniquement à des fins de compatibilité rétroactive après une révision par la Commission de cryptographie de votre organisation. Les clés < 1024 bits peuvent uniquement être utilisées pour déchiffrer/vérifier les anciennes données et doivent être remplacées si elles sont utilisées pour les opérations de chiffrement ou de signature
• ECDSA peut être utilisé uniquement pour la signature. ECDSA avec des clés >= 256 bits est requis pour le nouveau code. Les signatures ECDSA doivent utiliser l’une des trois courbes approuvées par NIST (P-256, P-384 ou P521). Les courbes qui ont été soigneusement analysées peuvent être utilisées uniquement après une révision avec le conseil de chiffrement de votre organisation.
• ECDH - peut être utilisé uniquement pour l’échange de clés. ECDH avec des clés >= 256 bits est requis pour le nouveau code. L’échange de clés basé sur ECDH doit utiliser l’une des trois courbes approuvées par NIST (P-256, P-384 ou P521). Les courbes qui ont été soigneusement analysées peuvent être utilisées uniquement après une révision avec le conseil de chiffrement de votre organisation.
• DSA- peut être acceptable après examen et approbation du comité responsable du chiffrement de votre organisation. Contactez votre conseiller de sécurité pour planifier l’examen du conseil de chiffrement de votre organisation. Si votre utilisation de DSA est approuvée, notez que vous devez interdire l’utilisation de clés inférieures à 2048 bits de longueur. CNG prend en charge les longueurs de clé 2048 bits et supérieures à partir de Windows 8.
• Diffie-Hellman - peut être utilisé uniquement pour la gestion des clés de session. >Longueur de clé = 2048 bits est requise pour le nouveau code. Le code existant peut prendre en charge des longueurs de clé < 2048 bits uniquement à des fins de compatibilité descendante après un examen par le comité responsable du chiffrement de votre organisation. Les clés < 1024 bits peuvent ne pas être utilisées.

Les produits doivent utiliser des générateurs de nombres aléatoires approuvés. Les fonctions pseudorandom telles que la fonction runtime C rand, la classe .NET Framework System.Random ou les fonctions système telles que GetTickCount doivent donc ne jamais être utilisées dans ce code. L’utilisation de l’algorithme de générateur de nombres aléatoires à courbe elliptique double (DUAL_EC_DRBG) est interdite

• CNG- BCryptGenRandom (utilisation de l’indicateur BCRYPT_USE_SYSTEM_PREFERRED_RNG recommandé, sauf si l’appelant peut s’exécuter sur n’importe quel IRQL supérieur à 0 [c.-à-d. PASSIVE_LEVEL]).
• CAPI - cryptGenRandom
• Win32/64- RtlGenRandom (nouvelles implémentations doivent utiliser BCryptGenRandom ou CryptGenRandom) * rand_s * SystemPrng (pour le mode noyau)
• . NET - RNGCryptoServiceProvider ou RNGCng
• Applications du Windows Store - Windows.Security.Cryptography.CryptographicBuffer.GenerateRandom ou . GenerateRandomNumber
• Apple OS X (10.7+)/iOS(2.0+)- int SecRandomCopyBytes (SecRandomRef aléatoire, size_t compte, uint8_t *octets )
• Apple OS X (<10.7)- Utiliser /dev/random pour récupérer des nombres aléatoires
• Java(y compris le code Java Google Android)- classe java.security.SecureRandom. Notez que pour Android 4.3 (Jelly Bean), les développeurs doivent suivre la solution de contournement recommandée par Android et mettre à jour leurs applications pour initialiser explicitement le PRNG avec l’entropie à partir de /dev/urandom ou /dev/random

Les produits doivent utiliser uniquement des algorithmes d’authentification de message approuvés (MAC) ou de code d’authentification de message basé sur le hachage (HMAC).

Un code d’authentification de message (MAC) est une information jointe à un message qui permet à son destinataire de vérifier à la fois l’authenticité de l’expéditeur et l’intégrité du message à l’aide d’une clé secrète. L’utilisation d’un MAC basé sur un hachage (HMAC) ou un MAC basé sur le chiffrement de bloc est autorisée tant que tous les algorithmes de hachage ou de chiffrement symétrique sous-jacents sont également approuvés pour une utilisation ; actuellement, cela inclut les fonctions HMAC-SHA2 (HMAC-SHA256, HMAC-SHA384 et HMAC-SHA512) et les contrôleurs de chiffrement de bloc CMAC/OMAC1 et OMAC2 (basés sur AES).

L’utilisation de HMAC-SHA1 peut être autorisée pour la compatibilité de la plateforme, mais vous devrez déposer une exception à cette procédure et subir l’examen de chiffrement de votre organisation. La troncation des HMACs à moins de 128 bits n’est pas autorisée. L’utilisation de méthodes client pour hacher une clé et les données n’est pas approuvée et doit subir l’examen du conseil de chiffrement de votre organisation avant d’utiliser.

Les produits doivent utiliser la famille SHA-2 d’algorithmes de hachage (SHA256, SHA384 et SHA512). Si un hachage plus court est nécessaire, par exemple une longueur de sortie 128 bits afin d’adapter une structure de données conçue avec le hachage MD5 plus court à l’esprit, les équipes de produits peuvent tronquer l’un des hachages SHA2 (généralement SHA256). Notez que SHA384 est une version tronquée de SHA512. La troncation des hachages de chiffrement à des fins de sécurité à moins de 128 bits n’est pas autorisée. Le nouveau code ne doit pas utiliser les algorithmes de hachage MD2, MD4, MD5, SHA-0, SHA-1 ou RIPEMD. Les conflits de hachage sont possibles en termes de calculs pour ces algorithmes, qui les brisent efficacement.

Algorithmes de hachage .NET autorisés pour l’agilité du chiffrement managé (par ordre de préférence) :

• SHA512Cng (conforme FIPS)
• SHA384Cng (conforme FIPS)
• SHA256Cng (conforme FIPS)
• SHA512Managed (non conforme à FIPS) (utilisez SHA512 comme nom d’algorithme dans les appels à HashAlgorithm.Create ou CryptoConfig.CreateFromName)
• SHA384Managed (non conforme FIPS) (utilisez SHA384 comme nom d’algorithme dans les appels à HashAlgorithm.Create ou CryptoConfig.CreateFromName)
• SHA256Managed (non conforme FIPS) (utilisez SHA256 comme nom d’algorithme dans les appels à HashAlgorithm.Create ou CryptoConfig.CreateFromName)
• SHA512CryptoServiceProvider (conforme FIPS)
• SHA256CryptoServiceProvider (conforme FIPS)
• SHA384CryptoServiceProvider (conforme FIPS)

Assurez-vous que des ID clients et des clés secrètes clients cryptographiques fortes sont utilisées dans le serveur d'identité. Les instructions suivantes doivent être utilisées lors de la génération d’un ID client et d’un secret :

• Générer un GUID aléatoire en tant qu’ID client
• Générer une clé 256 bits aléatoire par chiffrement en tant que secret