Aspects fonctionnels et

techniques
Cl Publique / Cl Prive
Un trousseau de cl est compos dune cl publique et
dune cl prive.
Elles ont, dans le cas des cls RSA, une relation
mathmatique base sur les nombres premiers.
Elles sont gnres sur une base alatoire et sont rputes
uniques.
Cl publique : Cl publique :
Cl prive :
Elle doit tre maintenue secrte
par son propritaire.
Elle doit tre connue de tous.
Hash ou condens
Le Hash dun fichier correspond un condens numrique
de celui-ci en un message trs court (quelques octets).
Un hash a trois proprits majeures :
- Trs faible probabilit que deux documents aient le
mme hash.
- Dun trs petit changement dans le document - Dun trs petit changement dans le document
dcoule un grand changement dans le hash.
- Impossibilit de retrouver le document initial depuis
le hash.
5A 2F 3B 4E 5A 81 2A
hash
Signature lectronique
1 ) Fred cre le hash de son document
2 ) Fred crypte le hash avec sa cl prive puis ajoute le rsultat
au document : le document est alors sign.
3 ) Fred envoi le document et son hash tous ses destinataires
Fred
5A 2F 3B
hash
Clef prive Fred
ZZZZ
ZZZZ
Signature lectronique
2 ) Carole cre le hash du document reu.
1 ) Carole se procure la cl publique de Fred et dcrypte le hash
avec cette cl.
3 ) Carole vrifie si les deux hash sont bien identiques.
ZZZZ
5A 2F 3B
hash
5A 2F 3B
Cl publique Fred
Carole
= ?
Signature lectronique
Tout repose sur la fiabilit, validit de la cl publique utilise par le
destinataire
Inconvnients
Solution
Cette solution est celle de la messagerie
lectronique scurise S/MIME
Utilisation des certificats & des autorits de certification
( infrastructures PKI )
Solution
PKI et certificats
Certificat X509
Cl publique
Attributs spcifiques
Le certificat ne comporte aucune
donne confidentielle.
Subject name : Ingetic
Ludovick LAGREVOL,
llagrevol@ingetic.com
Public key :
Serial # : 29483756
Expiration
Attributs spcifiques
Signature par l AC
Classe 1 : garantie de ladresse mail
Classe 2 : garantie de lidentit avec envoi des lments
Classe 3 : garantie de lidentit sur prsence physique
Other data :
10236283025273
Expiration : 31 / 12 / 01
Signed : CAs signature
PKI et certificats
Obtention dun certificat
2 ) La R.A. vrifie lidentit & transmet lautorit de
certification (C.A.)
1 ) Fred demande une paire de cl et le certificat correspondant
une autorit denregistrement (R.A.) et lui fournit une preuve
didentit
3 ) La C.A. cre le certificat et le signe, gnre la paire de cls,
les mets disposition de Fred (le plus souvent sur un site web
Fred
C.A. R.A.
les mets disposition de Fred (le plus souvent sur un site web
scuris)
4 ) La C.A. publie le certificat dans son annuaire public.
Annuaire
PKI et certificats
Stockage
Fred doit ensuite stocker le certificat ainsi que sa paire de cl.
Il doit veiller protger sa cl prive soit :
- en la stockant sur son disque dur (sous Windows).
- en la stockant sur un support physique.
La cl prive ne quittant jamais son support physique.
PKI et certificats
Vrifier une signature
- De nombreux logiciels de messagerie joignent le certificat de
lmetteur tous les courriers signs ou crypts envoys.
Pour vrifier la validit dune signature lectronique, et
de la cl publique utilise, il faut se procurer et valider
le certificat de lmetteur.
Se procurer le certificat, plusieurs possibilits
lmetteur tous les courriers signs ou crypts envoys.
- Les certificats peuvent tre stockes dans les carnets dadresse,
les annuaires dentreprise
- Les autorits de certification mettent disposition les certificats
quelles ont cres dans un annuaire compatible LDAP accessible
facilement par les logiciels de messagerie.
PKI et certificats
Vrifier une signature
2 ) Vrifier que le certificat est sign par une AC qui on a donn
sa confiance, et vrifier cette signature
Vrifier une signature, plusieurs tapes :
1 ) Vrifier que le document na pas t altr
sa confiance, et vrifier cette signature
3 ) Vrifier la date de validit du certificat, ainsi que les usages
pour lesquels le certificat a t dlivr
4 ) Vrifier en accdant aux listes de rvocation de lAC (CRL)
que le certificat na pas t rvoqu par son propritaire (vol,
perte de la cl prive)
PKI et certificats
Rvoquer au plus tt votre certificat auprs de votre CA
En cas de vol / perte de votre cl prive :
Consquences :
Vous devrez redemander votre RA un certificat et son
trousseau de cls associ.
Diffrentes utilisations Diffrentes utilisations
Les signatures multiples
Co-signatures
2B 3A 4B
signature
2B 3A..
5A 2F..
5A 2F 3B
signature
Les signatures multiples
Signatures hirarchiques
2B 3A 4B
signature
1E BA 12
signature
2B 3A.. 2B 3A..
1E B4 12
Les signatures multiples
Horodatage
2B 3A 4B
signature 1E BA 12
17 H 15 UTC
01 / 07 / 01
horodatage
2B 3A..
1E B4 12
17H15 UTC
01 / 07 / 01
2B 3A..
01 / 07 / 01
Plusieurs usages
Tous formats : Word, Excel, Acrobat, .
Signature de fichiers
Signature de formulaires sur Internet / Intranet
- Tl-dclaration de TVA, IS,
- Bon de commande, acceptation de conditions
gnrales, demande de congs, fiche dintervention,
Diffrents usages
Sur un site internet / Intranet
Sur un rseau local, un poste de travail
Pour un accs rseau distance
Authentification / Contrle daccs
Signature des emails
Accuss de rception
Confidentialit des messages
Messagerie scurise
En pratique :
la messagerie scurise. la messagerie scurise.
Les risques de la
messagerie traditionelle. messagerie traditionelle.
Les risques
Perte dintgrit
Socit A Socit B
Signer un e-mail sous
MS Outlook Express. MS Outlook Express.
Changer le contenu
dun e-mail. dun e-mail.