these doctorat une architecture de securité
these doctorat une architecture de securité
these doctorat une architecture de securité
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Chapitre 7<br />
Tests et performances<br />
7.1 Tests unitaires<br />
tel-00239252, version 1 - 5 Feb 2008<br />
Cette première section nous permet <strong>de</strong> présenter les temps d’initialisation nécessaires aux<br />
divers protocoles sur lesquels reposent notre solution <strong>de</strong> sécurité. Ces tests sont effectués sur <strong>de</strong>s<br />
pentium IV à 3.2Ghz, 1Go RAM, sous linux fedora core 1 doté d’un kernel 2.4.22. Nous utilisons<br />
la JVM <strong>de</strong> Sun version 1.5.0 ainsi que la bibliothèque <strong>de</strong> sécurité Bouncycastle 1.20. Les machines<br />
sont interconnectées par un réseau ethernet 100Mbits.<br />
La première série <strong>de</strong> tests (tableau 7.1) nous permet <strong>de</strong> mettre en évi<strong>de</strong>nce la durée <strong>de</strong> génération<br />
d’un certificat pour <strong>une</strong> entité sécurisée en fonction <strong>de</strong> la taille <strong>de</strong> la clé RSA associée au<br />
certificat (algorithme à clé publique, chiffrement asymétrique).<br />
Le choix <strong>de</strong>s diverses tailles <strong>de</strong> la clé RSA s’est effectué par rapport à l’article présenté dans<br />
la section 2.4. Nous rappelons, selon l’article, il est possible <strong>de</strong> calculer la taille <strong>de</strong> clé RSA en<br />
fonction <strong>de</strong> l’année courante lors <strong>de</strong> sa génération. Le respect <strong>de</strong> cette équivalence permet <strong>de</strong><br />
protéger la confi<strong>de</strong>ntialité <strong>de</strong>s données sur <strong>une</strong> pério<strong>de</strong> <strong>de</strong> 20 ans.<br />
Nous avons mesuré la durée <strong>de</strong> génération d’<strong>une</strong> paire <strong>de</strong> clés RSA grâce à la bibliothèque<br />
Bouncycastle ainsi que la génération d’<strong>une</strong> paire <strong>de</strong> clés RSA par OpenSSL. OpenSSL est <strong>une</strong><br />
bibliothèque implantant le protocole TLS et SSL. Dans <strong>de</strong> telles conditions, il apparaît qu’<strong>une</strong><br />
Année Taille <strong>de</strong> la clé RSA d’<strong>une</strong> entité Temps (Java) Temps (OpenSSL 0.9.7a)<br />
2000 512 118 ms 35 ms<br />
2002 1 024 460 ms 120 ms<br />
2005 1 149 906 ms 226 ms<br />
2010 1 369 1 900 ms 285 ms<br />
2023 2 054 6 000 ms 980 ms<br />
2050 4 047 26 000 ms 9 000 ms<br />
TAB. 7.1 – Temps <strong>de</strong> création d’<strong>une</strong> entité selon la taille <strong>de</strong> la clé RSA<br />
application voulant garantir un niveau <strong>de</strong> sécurité maximal se doit <strong>de</strong> générer <strong>de</strong>s entités sécurisées<br />
en accord avec la limite théorique pour 2005 soit <strong>une</strong> taille <strong>de</strong> clé <strong>de</strong> 1149 bits. Il faudra 900<br />
ms pour générer la paire <strong>de</strong> clés RSA ainsi que le certificat <strong>de</strong> l’entité. Ce temps <strong>de</strong> génération<br />
est à rapprocher du temps <strong>de</strong> création d’un objet actif sans sécurité qui est <strong>de</strong> l’ordre <strong>de</strong> 80 ms.<br />
La <strong>de</strong>uxième série <strong>de</strong> tests (tableau 7.2) s’intéresse au temps mis pour générer <strong>une</strong> clé <strong>de</strong><br />
session AES (chiffrement symétrique, utilisé dans les échanges <strong>de</strong> messages) en fonction <strong>de</strong> la<br />
taille <strong>de</strong> cette <strong>de</strong>rnière et toujours en fonction <strong>de</strong> la limite théorique. Nous rappelons qu’<strong>une</strong><br />
clé <strong>de</strong> session est générée entre <strong>de</strong>ux entités lors <strong>de</strong> leur première interaction si la politique <strong>de</strong><br />
sécurité le requiert.<br />
Finalement, nous nous sommes intéressés au coût du mécanisme <strong>de</strong> sécurité lors d’un appel<br />
125