La non-répudiation consiste à prouver qui a téléchargé et téléchargé un fichier, et si le fichier reçu est identique ou non à celui envoyé. Vérifier qu'un fichier a été envoyé et reçu sans être modifié par une attaque d'intermédiaire est essentiel pour de nombreux processus métier différents, tels que les soins de santé, la finance ou la logistique.
Qu'est-ce que la non-répudiation dans les transferts de fichiers basés sur?
Il existe quelques éléments constitutifs qui aident à définir un processus de transfert de fichiers sécurisé de bout en bout. De manière générale, ces éléments de base sont:
- Vérification des expéditeurs et des destinataires
- Chiffrement des fichiers de données
- Transport sécurisé
- Vérification et validation des reçus de fichiers
Vérification des expéditeurs et des destinataires
Cette pièce d'authentification est principalement construite autour de l'idée de certificats et de signatures. Avant de télécharger un fichier à envoyer, le certificat est examiné pour vérifier que le point de terminaison est bien l'emplacement correct. À l'inverse, lorsque le destinataire télécharge le fichier, la signature numérique de l'expéditeur est vérifiée pour vérifier qu'il est bien ce qu'il prétend être. Ce processus fonctionne comme ceci:
- L'expéditeur crypte le fichier à l'aide de sa clé privée et de sa signature numérique signée par une autorité de certification de confiance (CA) et jointe au fichier.
- Le destinataire déchiffre la signature numérique du fichier à l'aide de la clé publique détenue par l'autorité de certification.
Avec ce processus éprouvé par le temps, l'expéditeur et le fichier peuvent être validés comme corrects. Pour authentifier l'expéditeur et le destinataire, un système peut implémenter un système de connexion qui incorpore idéalement les meilleures pratiques d'authentification multifacteur.
Chiffrement des fichiers de données
Les fichiers sont généralement cryptés à l'aide de l'un des différents protocoles. Ces protocoles doivent être des protocoles de cryptage validés FIPS tels que 3DES ou AES. Il s'agit uniquement de protocoles de cryptage de données et bien que 3DES soit inclus, il s'agit d'un protocole plus ancien. La norme de référence actuelle consiste à utiliser AES-256. Malheureusement, certaines solutions de transfert de fichiers telles que les systèmes AS2 et AS3 sont limitées à 3DES.
Transport sécurisé
Le transport sécurisé des données se fait généralement via un lien crypté TLS et non SSL. Ce lien sera validé par des certificats de niveau serveur et utilisera TLS 1.2 ou le nouveau protocole TLS 1.3.
Vérification et validation des reçus de fichiers
Le simple fait qu'un fichier soit chiffré et que nous ayons des signatures numériques pour l'expéditeur et le destinataire ne signifie pas nécessairement que le fichier n'a pas été falsifié pendant le transport. Pour vérifier que le fichier est correct, la meilleure pratique consiste à utiliser un mécanisme appelé HMAC (Keyed-Hashing for Message Authentication). Il existe plusieurs algorithmes HMAC, tels que HMAC-MD5, HMAC-SHA1 ou HMAC-SHA256. Cet algorithme de hachage utilise à la fois un hachage du fichier et une clé secrète partagée. Cela permet aux parties à l'échange la possibilité d'établir l'authenticité du message.
Systèmes communs pour les transferts de fichiers gérés
En prenant tous les éléments de base ensemble, quelles sont les solutions disponibles et les protocoles communs pour des transferts de fichiers sécurisés et gérés? Il existe quelques protocoles et systèmes qui facilitent ce processus. Les trois protocoles et technologies les plus couramment utilisés sont:
- Famille AS1-4
- OFTP2
- HTTPS (TLS 1.2+), AES-256, HMAC-SHA256, SFTP et authentification multifacteur
Famille AS1-4
L'un des protocoles EDI les plus connus est la famille de protocoles AS1-4. AS2 est l'une des versions les plus couramment déployées de ce protocole, mais AS3 a ajouté la sécurité en s'appuyant sur le protocole FTP / SSL qui ajoute l'authentification dans le mélange. AS4 a encore amélioré l'interopérabilité avec les infrastructures réseau modernes en s'appuyant sur SOAP et les services Web.
OFTP2
Le protocole original de transfert de fichiers Odette a été développé au milieu des années 80 pour faciliter les échanges de données EDI. En 2007, la version mise à jour, OFTP2, a été introduite avec des fonctionnalités de sécurité et de compression améliorées par rapport à son prédécesseur.
HTTPS (TLS 1.2+), AES-256, HMAC-SHA256, SFTP, authentification multifacteur
Bien que la combinaison de technologies ci-dessus soit un peu difficile à dire, de nombreuses solutions modernes de transfert de fichiers géré reposent sur l'ensemble de technologies ci-dessus. Les systèmes qui utilisent TLS pour le transport sécurisé, AES-256 pour le cryptage des données, HMAC-SHA246 pour l'intégrité des données, SFTP comme point de terminaison sécurisé et l'authentification multifacteur pour vérifier les expéditeurs et les destinataires, garantissent que les données transférées sont exactes en fonction de la non-répudiation normes.
Conclusion
Dans le monde d’aujourd’hui, il est plus important que jamais de valider qu’un fichier reçu est inviolable et provenant d’un expéditeur de confiance. L'utilisation de techniques de non-répudiation dans les transferts de fichiers permet de sécuriser les transferts de données qui sont au cœur de nombreux processus métier. L'utilisation de techniques et de produits sécurisés connus permet de garantir la tranquillité d'esprit nécessaire lors du transfert de données sensibles.