API de Cryptographie

•Rappel

les fournisseurs de service de cryptographie pouvant être :

Java Cryptography, le standard du monde java
IBM i Cryptographic Services (un jeu d'APi, proposé par IBM i)
Network Authentication Service (Kerberos utilisé dans le cadre d'un SSO EIM)
IBM i TLS et JSSE, utilisés par la couche transport (HTTPS, par exemple)

Les clés peuvent être stockées dans des magasins de clé (keystore), il en existe 4

Digital certificate manager, certificate store (pour DCM)
CCA keystore (utilisé par les Co-processeurs 4767/4764)
JCE keystore, utilisé par Java
Cryptographic Services keystore pour les API de cryptographie

c'est uniquement de ce dernier point dont nous parlerons ensuite

• Dans le cas des API, vous allez crypter avec des clés.

s'offrent à vous les solutions suivantes :

utiliser une clé en clair (un texte, comme dans cet exemple donné par IBM)
ou la clé est 'hashkeyhashkeyaahashkeyhashkeyaa' convertit en ASCII , peu fiable
une clé venant d'un keystore (magasin de clés)
une clé cryptée par une clé en clair (passphrase)
une clé cryptée par une "master key"
une clé cryptée par une clé venant d'un keystore
une clé cryptée par une clé venant un certificat
une clé dérivée d'un paramètre PKCS5 (chiffrement par mot de passe)

vous avez donc des MASTER KEY (1 à 8) plus une pour crypter les sauvegardes et une pour crypter les ASP

Elles peuvent être définies

par API (Qc3SetMasterKeyI)
par Commande (SETMSTKEY)
notez aussi les commandes RMVCKMKSFE et CLRMSTKEY

par interface graphique (Navigator for i)

Le système d'exploitation IBM i est en mesure de stocker huit clés principales, auxquelles les utilisateurs n'auront pas accès et qu'ils ne pourront pas modifier directement (y compris le responsable de la sécurité). Ces clés principales sont des clés AES 256 bits ; elles peuvent être utilisées avec les API des services de chiffrement pour protéger d'autres clés. En outre, le système d'exploitation stocke et gère deux clés principales dont l'objectif est particulier : l'une est destinée au chiffrement du pool de mémoire secondaire (ASP), l'autre au chiffrement des clés principales sur le support de sauvegarde système (SAVSYS).

et des magasins de clés "système", enregistrés dans des fichiers, toujours gérables par Navigator for i

après ouverture
Création d'une clé

donnez un label
fonctions interdites (non coché, tout est donc possible)
Algorithme de cryptage
- HMAC_MD5
- HMAC_SHA1
- HMAC_SHA256
- HMAC_SHA384
- HMAC_SHA_512
- DES
- triple DES
- RC2
- RC4
- RSA
- ECC (elliptic curve)
Confirmez en cliquant sur "Terminer"
Toutes les APi qui suivent, utilisent les notions que nous venons de voir et celles vues dans ce cours
Gestion des clés (alternative à Navigator for i)
- Clear Master Key (Qc3ClearMasterKey)
- Create Keystore (Qc3CreateKeyStore)
- Delete Key Record (Qc3DeleteKeyRecord)
- Export Key (Qc3ExportKey)
- Extract Public Key ( Qc3ExtractPublicKey)
- Generate ECC Key Pair ( Qc3GenECCKeyPair)
- Generate Elliptic Curve Diffie-Hellman Key Pair (Qc3GenECDKeyPair)
- Generate Key Record (Qc3GenKeyRecord)
- Import Key (Qc3ImportKey)
- Load Master Key Part ( Qc3LoadMasterKeyPart)
- Retrieve Key Record Attributes (Qc3RetrieveKeyRecordAtr)
- Retrieve Keystore File Attributes ( Qc3RetrieveKeyStoreFileAtr)
- Retrieve Keystore Records (Qc3RetrieveKeyStoreRecords)
- Set Master Key (Qc3SetMasterKey)
- Test Master Key ( Qc3TestMasterKey)
- Translate Key ( Qc3TranslateKey)
- Translate Keystore ( Qc3TranslateKeyStore)
- Write Key Record ( Qc3WriteKeyRecord)
Génération de clés
- Calculate Diffie-Hellman Secret Key (Qc3CalculateDHSecretKey)
- Generate Diffie-Hellman Key Pair (Qc3GenDHKeyPair).
- Generate Diffie-Hellman Parameters (Qc3GenDHParms).
- Generate ECC Key Pair ( Qc3GenECCKeyPair)
- Generate Elliptic Curve Diffie-Hellman Key Pair (Qc3GenECDKeyPair)
- Generate PKA Key Pair (Qc3GenPKAKeyPair)
- Generate Symmetric Key (Qc3GenSymmetricKey)
Cryptage/décryptage
- Decrypt Data (Qc3DecryptData)
- Decrypt With MAC (Qc3DecryptWithMAC)
- Encrypt Data (Qc3EncryptData)
- Encrypt With MAC (Qc3EncryptWithMAC)
- Translate Data Qc3TranslateData) transformation de la donnée en passant d'une clé à une autre
Authentification
- Calculate Hash (QC3CALHA, Qc3CalculateHash)
- Calculate HMAC (QC3CALHM, Qc3CalculateHMAC)
- Calculate MAC (QC3CALMA, Qc3CalculateMAC)
- Decrypt With MAC (QC3DECWM, Qc3DecryptWithMAC)
- Encrypt With MAC (QC3ENCWM, Qc3EncryptWithMAC)
- Calculate Signature (QC3CALSG, Qc3CalculateSignature)
  produit une signature avec un hashage basé sur un PKA (public key algorithm).
- Verify Signature (QC3VFYSG, Qc3VerifySignature)
Génération de nombres aléatoires
- Add Seed for Pseudorandom Number Generator (Qc3AddPRNGSeed)
- Generate Pseudorandom Numbers (Qc3GenPRNs)
Génération de contextes : les contextes sont des paramètres mémorisés et peuvent utilisés ensuite, lors d'appels successifs à des API
- Create Algorithm Context ( Qc3CreateAlgorithmContext)
- Create Key Context (Qc3CreateKeyContext)
- Destroy Algorithm Context (Qc3DestroyAlgorithmContext) d
- Destroy Key Context (Qc3DestroyKeyContext)
  
  (la doc vous donne aussi le nom du PGM si vous êtes non ILE)

Exemple de mise en oeuvre

Déclaration des API
Cryptage AES avec une clef "en clair"
- Déclaration, mise en place des valeurs
- Exécution
- Résultat
Cryptage (TDES) avec une clé stockée dans un keystore
- Déclaration, mise en place des valeurs
- Exécution
- Résultat

CONSTANTES Constantes utilisées par les exemples
ENC_KEY cryptage avec une clé en clair
ENC_STORE cryptage avec une clé d'un magasin
CHKRSA Vérification d'une signature basée sur un certificat (PEM)

Sinon, Voyez cet exemple de la documentation, de génération de clés symétriques