RSS

Initiation à la cryptographie

08 Déc

Qu’est-ce que c’est ?

La cryptographie est une science permettant de convertir des informations « en clair » en informations codées, c’est à dire non compréhensibles, puis, à partir de ces informations codées, de restituer les informations originales.

La cryptographie symétrique et la cryptographie asymétrique

La cryptographie symétrique

On parle de cryptographie symétrique lorsque plusieurs personnes utilisent une même clé pour crypter et décrypter des messages.
Le principal inconvénient de ce système est le partage de cette clé unique entre les différentes personnes : Comment envoyer à tout le monde et de façon sécurisée cette clé unique qui permet de crypter et décrypter ?

La cryptographie asymétrique

Dans ce type de cryptographie, chaque utilisateur comporte deux clés :

  • Une clé privée qui doit être gardée secrète.
  • Une clé publique qui est disponible pour tous les autres utilisateurs.

Ces deux clés sont mathématiquement liées.
Dans la pratique, la clé publique sert à crypter les messages, et la clé privée sert à les décrypter. Une fois le message crypté, seul le destinataire est en mesure de le décrypter.
L’utilitaire PGP (Prety Good Privacy) fonctionne de cette manière.

L’intégrité des informations

Une bonne cryptographie doit pouvoir offrir une garantie de l’intégrité des informations. En effet, il ne doit pas être possible de pouvoir modifier des informations cryptées de façon totalement transparente. Un processus de vérification de l’intégrité du message (crypté et en clair) doit être mis en place. Ce processus est réalisé par une fonction de hachage. Le résultat d’un hachage (hash en anglais) est une sorte de condensé du message original.

L’authentification des correspondants

Un aspect à ne pas négliger lorsque l’on désire faire des transactions sécurisées est l’authentification des correspondants : La personne à qui j’envoie un message crypté est-elle bien celle à laquelle je pense ? La personne qui m’envoie un message crypté est-elle bien celle à qui je pense ?
Le principe de l’authentification met en oeuvre un prouveur (celui qui prétend être, qui s’est identifié) et un vérifieur (le fournisseur du service) : le vérifieur soumet un challenge au prouveur que ce dernier doit réaliser. Cela suppose qu’au préalable prouveur et vérifieur se sont entendus sur le partage d’un secret.

La signature digitale

C’est un code électronique unique qui permet de signer un message codé. Cette signature permet d’identifier l’origine du message : elle a la même fonction qu’une signature « à la main ». C’est la clé privée qui permet de signer, et la clé publique qui permet de vérifier cette signature.

Le certificat digital

C’est un document électronique qui fait correspondre une clé avec une entité (personne, entreprise, ordinateur…). Cette correspondance est validée par une autorité de certification (Certificate Authority : CA). Ces certificats sont utilisés pour identifier une entité. Ce certificat est normalisé (norme X.509v3). Concrètement, les données utilisateur (identité du propriétaire de la clé, la clé publique et l’usage de la clé) sont elles même signées par l’autorité de certification, en y incluant certaines données propres (période de validité du certificat, l’algorithme de cryptage utilisé, numéro de série, etc…).

L’autorité d’enregistrement

C’est un organisme qui génère les demandes de certification d’un utilisateur. L’enregistrement de cet utilisateur n’est validé qu’après vérification des informations concernant cet utilisateur. La demande est ensuite envoyée à l’autorité de certification.

L’autorité de certification

C’est un organisme qui génère les certificats des différents utilisateurs. C’est un passage obligé pour la mise en place d’un système sécurisé (e-commerce…).

PKI

PKI signifie « Public Key Infrastructure », c’est à dire « Infrastructure de Gestion de Clés » (IGC). C’est un ensemble d’outils (logiciels et matériels) qui gèrent les clés cryptographiques et les certificats. L’IGC permet les transactions sécurisées et les échanges d’informations entre deux parties en garantissant le secret, l’intégrité et l’authentification.

On y retrouve :

  • La gestion des clés (création, distribution, stockage…).
  • Association de la clé publique et de l’entité (certificat).
  • Recouvrement de clé.

SPKI

SPKI signifie « Simple Public Key Infrastructure », c’est à dire « Infrastructure à Clés Publiques Simplifiée » (ICPS). Cette infrastructure permet une utilisation plus directe de l’autorisation. En effet, sous IGC, une autorisation se déroule de la manière suivante :

  • De la clé, on obtient une identification via un certificat au format X.509.
  • De cette identité, on obtient, ou non, l’autorisation.

Sous ICPS, l’autorisation est donnée, ou non, à partir de la clé elle même.

L’aspect légal

En France, depuis les décrets du 19 mars 1999, il est possible d’utiliser :

  • Une clé de 40 bits, en totale liberté quelque soit l’usage.
  • Une clé de 128 bits en totale liberté pour un usage privé, et soumise à déclaration dans les autres cas.
Publicités
 
Poster un commentaire

Publié par le décembre 8, 2012 dans Sécurite réseaux

 

Étiquettes : , , , ,

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :