1 Concept cryptographique

1.1 Notion de cryptographie

1.2 Cryptographie symétrique
1.3 Cryptographie asymétrique
1.4 Les types de bi-clés
1.5 Alice et Bob expliquent la cryptographie asymétrique
2 PKI
2.1 Définition
2.2 Composante d’un PKI
2.3 Architecture générale d'une PKI
2.4 Politique de la PKI
2.5 Utilisation des infrastructures de gestion de clés
2.6 Comment PKI résout le problème principal
2.7 Les certificats PKI
2.8 PKI l’actuel meilleure solution

II

1 Concept cryptographique

1.1 Notion de cryptographie

La cryptographie peut être définie comme étant la science du chiffrement, le

chiffrement étant la transformation d'un texte à l'aide d'un code secret en un texte
inintelligible pour toute personne ne possédant pas le code. Elle utilise des fonctions
mathématiques pour chiffrer et déchiffrer des données et permet de ce fait de stocker
des informations sensibles et de les transmettre à travers des réseaux non sûrs tels
qu'Internet de telle sorte qu'elles ne puissent être lues par une tierce personne, mais
par leur destinataire.

La cryptographie distingue deux grandes familles de techniques à savoir la

cryptographie symétrique et la cryptographie asymétrique.

1.2 Cryptographie symétrique

La cryptographie symétrique repose sur le chiffrement des données à l'aide d'un
algorithme connu et d'une clé qui est un nombre aléatoire généré par l'émetteur,
laquelle clé constituant le secret partagé par les deux parties de l'échange. Les
opérations de chiffrement et de déchiffrement s'appuient sur la même clé. Cette clé
est appelée clé secrète de chiffrement.

Soit la figure récapitulant le principe de cryptographie symétrique :

Figure 1 : Principe de fonctionnement de la cryptographie symétrique

La cryptographie symétrique est la technique la plus répandue, la plus ancienne et la

plus simple à mettre en œuvre mais elle présente toutefois deux inconvénients
majeurs qui rendent la gestion difficile dans de grands réseaux :

 Les difficultés liées à la transmission du secret

Lorsque deux parties ne se connaissant pas décident d'échanger des données

chiffrées, elles doivent au préalable s'échanger une clé secrète via un canal sécurisé.
Ceci impose souvent dans la majorité des cas une rencontre physique des deux
parties.

 La multiplication du nombre de clés avec le nombre de correspondants

Pour assurer la confidentialité des échanges deux à deux parmi N correspondants, il

faut N (N-1)/2 clés. Ainsi, lorsque le nombre de correspondants augmente, le nombre
de clés devient difficile à gérer.

Plusieurs standards de chiffrement symétrique existent, les plus répandus étant

répertoriés dans le tableau ci-dessous :
Tableau 1 : Standards de chiffrement symétrique

1.3 Cryptographie asymétrique

Les inconvénients posés par la cryptographie symétrique ont conduit à la

cryptographie asymétrique. Elle repose sur un schéma asymétrique qui utilise une
paire de clés appelée bi-clé. L'opération de chiffrement est effectuée à l'aide d'un
algorithme connu et de l'une des clés de la bi-clé, le déchiffrement étant effectué à
l'aide du même algorithme et de l'autre clé de la bi-clé. Les deux clés constituant la
bi-clé sont générées simultanément et sont intrinsèquement liées par des
algorithmes mathématiques de telle sorte que tout message chiffré avec l'une des
clés ne peut être déchiffré que par l'autre clé.

L'une des clés de la bi-clé choisie arbitrairement est dite publique, peut être
distribuée à tout le monde et est publiée dans un annuaire tandis que l'autre clé dite
privée constitue le secret de l'utilisateur ayant généré la bi-clé. Ainsi, un nouvel
utilisateur aura uniquement besoin de son couple de clés et de publier sa clé
publique dans l'annuaire pour pouvoir communiquer avec l'ensemble des autres
entités. La sécurité des techniques cryptographiques asymétriques repose sur
l'impossibilité de retrouver la clé privée qui est secrète connaissant la clé publique.

Soit la figure récapitulant le principe de cryptographie asymétrique :

Figure 2 : Principe de fonctionnement de la cryptographie asymétrique

1.4 Les bi-clés

En cryptographie a symétrique, on distingue plusieurs types de bi-clés en fonction de

l'usage que l'on souhaite en faire. Nous avons ainsi :

 Les bi-clés de chiffrement

Elles sont utilisées pour assurer les services de confidentialité entre l'émetteur et le
destinataire d'un message en constituant une enveloppe électronique permettant
l'échange de clés symétriques de chiffrement et facilitant ainsi l'utilisation du
chiffrement symétrique.

 Les bi-clés de signature

Elles sont utilisées pour assurer les services d'intégrité et de non-répudiation et

permettent ainsi de créer des signatures électroniques.

 Les bi-clés d'authentification

Elles sont utilisées pour assurer les services d'authentification pour l'accès à des
données ou à des transactions.

La cryptographie asymétrique présente de multiples avantages. En effet, le nombre

de bi-clés par utilisateur est réduit ce qui simplifie la gestion des clés. Par ailleurs,
elle permet à des gens qui n'ont pas d'accord de sécurité préalable d'échanger des
messages de manière sûre. La nécessité pour l'expéditeur et le destinataire de
partager des clés secrètes via un canal sécurisé est éliminée. Toutes les
communications impliquent uniquement des clés publiques et aucune clé privée n'est
jamais transmise ou partagée.

Des exemples d'algorithmes à clé publique sont :

- El Gamal du nom de son inventeur Taher El Gamal

- RSA algorithme à clé publique le plus utilisé. Il repose sur la complexité de

factorisation des nombres entiers à plusieurs centaines de chiffres. La taille des clés
peut varier de 512 à 2048 bits en fonction du degré de sécurité que l'on veut
atteindre.

- Diffie-Hellman du nom de ses inventeurs

- DSA inventé par David Kravitz

1.5 Alice et Bob expliquent la cryptographie asymétrique

La cryptographie asymétrique est généralement expliquée avec l'aide d'Alice et

de Bob : pour garantir la confidentialité, Bob crypte un message avec la clé
publique d'Alice. Seule Alice, avec sa clé privée, peut déchiffrer le message. Et si
Bob déchiffre un message avec la clé publique d'Alice, il peut être sûr qu'Alice a
envoyé le message, puisque seule la clé privée d'Alice aurait pu être utilisée pour
chiffrer le message.
Le principal inconvénient des algorithmes asymétriques est qu'ils sont environ 1
000 fois plus lents que les algorithmes symétriques. Par conséquent, les entités
utilisent la cryptographie asymétrique pour s'authentifier, générer des clés
symétriques et échanger les clés symétriques chiffrées avec l'algorithme
asymétrique. Lorsque les entités ont reçu leurs clés symétriques, elles utilisent
une cryptographie symétrique pour protéger leur communication. Ainsi, une
cryptographie à la fois symétrique et asymétrique est nécessaire pour une
sécurité de communication efficace.

2.1 Définition

2.2 Composants d'une PKI

Une PKI s'articule principalement autour de quatre composants de base à savoir :

 Une autorité de certification (AC): son principal rôle est de générer et de

signer les certificats ceci avec sa clé privée, ainsi ces certificats seront
certifiés authentiques par elle-même. C'est pourquoi on parle de chaîne de
confiance dans une PKI car il s'agit de faire confiance à cette autorité de
certification qui sera elle-même certifiée par une autorité supérieure et ainsi
de suite. L'AC la plus supérieure est appelée autorité de certification
racine (ACR) et génère et auto-signe son propre certificat. L'AC aura
également pour rôle de signer les listes de révocation des certificats. Elle doit
définir une politique de certification qui va établir l'ensemble des règles de
vérification, de stockage et de confidentialité des données appartenant à un
certificat ainsi que la sécurité de stockage de sa propre clé privée nécessaire
à la signature des certificats et listes de révocation.

 Une autorité d'enregistrement (AE): Son principal rôle est de vérifier et

d'enregistrer les demandes de certificats et de révocation. Les méthodes de
vérification de cette étape sont définies en fonction de la politique de
certification établie pour l'infrastructure. En effet, cela peut aller du simple
envoi de l'adresse électronique à la présentation d'une pièce d'identité. Si la
demande de certificat est acceptée par l'AE, elle sera transmise à l'AC.

L'AE est l'intermédiaire entre l'utilisateur final et l'AC mais elle peut également être
contenue dans l'AC. Cependant, l'avantage de séparer les deux entités réside dans
la répartition des charges entre les deux entités mais aussi dans un besoin de
sécurité.
  Un dépôt ou annuaire qui stocke les certificats et les listes de certificats
révoqués ou CRL. L'annuaire est indépendant de la PKI cependant elle en a
besoin. L'annuaire peut également stocker les clés privées des utilisateurs
dans le cadre du recouvrement de clefs.
 L'entité finale qui est l'utilisateur ou le système ayant effectué la demande de
certificat et pour lequel le certificat est délivré.

Par ailleurs, il convient de présenter de manière additionnelle un élément très

important pour le fonctionnement d'une PKI :

 L'opérateur de certification (OC) qui assure les prestations techniques, en

particulier cryptographiques, nécessaires au processus de certification
conformément à la politique de certification (PC) correspondante que met en oeuvre
l'ACR. L'OC est techniquement dépositaire de la clé privée de l'ACR utilisée pour la
signature des certificats d'ACR et d'AC. Sa responsabilité se limite au respect des
procédures que l'ACR définit afin de répondre aux exigences de la PC. En clair, l'OC
est responsable de toutes les actions devant mettre en jeu la clé privée de l'ACR et
aussi des AC qui lui sont subordonnées. Son rôle et ses obligations sont très liés à
ceux des AC. Ce dernier peut également assurer les fonctions liées à l'AE.

2.3 Architecture générale d'une PKI

4. Génération et signature du certificat

2. Vérification et validation des
informations reçues

 Autorité d'enregistrement
 Autorité de certification
 Annuaire
 Entité finale

Figure 4 : Architecture générale d'une PKI

2.4 Politique de la PKI

2.5 Utilisation des infrastructures de gestion de clés

.2.5.1 Différents usages d'une PKI

Une PKI peut être utilisée à diverses fins :

La sécurisation des échanges électroniques dans les administrations, entreprises,

organisations diverses ou entre ces différentes entités ;

La sécurisation des actes administratifs (décrets, arrêtés et textes divers) ;

La sécurisation de pièces officielles (Diplômes, documents administratifs, bulletin de

notes, note de services etc.

La signature électronique des contrats et conventions en ligne ;

2.5.2 Principe de signature électronique

Pour satisfaire aux exigences légales, la signature électronique doit utiliser une PKI.
Une signature électronique ou encore signature numérique est un ensemble de
données informatiques générées à partir d'un document électronique et qui permet
d'authentifier ce document. Elle est basée sur la technique de cryptographie
asymétrique. Elle peut être intégrée au document ou enregistrée dans un fichier
séparé. Elle doit pouvoir identifier le signataire du document et doit pouvoir garantir
que le document n'a pas été altéré depuis l'apposition de la signature.

Le processus de signature d'un document se déroule en deux phases que sont la

signature et la vérification de cette signature.
  Signature

Le signataire calcule grâce à une fonction de hachage le condensat ou empreinte du

document à signer. Cette fonction est irréversible et le condensat qui en résulte sera
chiffré avec la clé privée du signataire. La signature résultante est composée de
l'empreinte signée et du certificat du signataire. Ainsi, seul le possesseur du certificat
et donc de la clé privée peut signer un document.

 Vérification

N'importe qui ayant le certificat du signataire peut vérifier sa signature. Le

destinataire calcule ainsi le condensat du document reçu et déchiffre l'empreinte
signée à l'aide de la clé publique contenue dans le certificat du signataire. Il compare
ces deux valeurs, si elles sont identiques alors la signature est authentique et
l'identité du signataire est bien celle qui est décrite dans le certificat et le destinataire
est ainsi assuré de la validité de cette signature. Dans le cas où les deux valeurs
sont différentes, la signature a été compromise.

Soit la figure récapitulant les deux étapes :

Figure 5 : Processus de signature électronique

2.6 Comment PKI résout le problème principal

En 1976, Whitfield Diffie et Martin Hellman ont publié une méthode d'échange
sécurisé de clés cryptographiques sur un canal public. Un an plus tard, Ron
Rivest, Adi Shamir et Leonard Adleman publient le premier algorithme
asymétrique, appelé RSA (Rivest-Shamir-Adleman). Plusieurs autres algorithmes
asymétriques ont été publiés depuis, et ils ont tous un problème
principal. Comment prouver à Bob qu'il utilise la clé publique d'Alice et non
la clé publique de quelqu'un d'autre?
Ce problème est résolu par l'introduction d'une infrastructure dite à clé publique
(PKI), qui est un ensemble de rôles, de politiques et de procédures nécessaires
pour créer, gérer, distribuer, utiliser, stocker et révoquer les certificats
numériques et gérer le chiffrement à clé publique. . Le cœur d'une PKI est une
soi-disant autorité de certification (CA), qui vérifie l'identité d'Alice et lie son
identité à sa clé publique en lui délivrant des certificats signés (et aux autres
entités). L'autorité de certification publie également une liste de certificats qui ne
peuvent plus être approuvés car ils ont été perdus ou compromis, par exemple.

Les certificats PKI permettent une confiance généralisée

Quiconque fait confiance à l'AC fait confiance aux certificats qu'elle a émis, de la
même manière que vous faites confiance à un passeport suédois si vous faites
confiance à l'État suédois. Les PKI sont désormais très courantes et permettent
la confiance entre les entités communicantes dans un large éventail de
scénarios, tels que:

 Votre navigateur fait confiance à l'autorité de certification Google et, par

conséquent, il approuve tous les sites Web disposant des certificats
Google.
 Votre réseau d'entreprise fait confiance à votre autorité de certification
d'entreprise et, par conséquent, fait confiance à vos ordinateurs et à ceux
de vos collègues, s'ils disposent de certificats de votre autorité de
certification d'entreprise.
 Un constructeur automobile français fait confiance au CA d'un constructeur
automobile allemand et vice versa, et donc les voitures connectées des
deux marques peuvent communiquer en toute sécurité entre elles (car-to-
tout, Car2X, communication) si elles disposent des certificats des CA.
 Une passerelle de télécommunication fait confiance à l'autorité de
certification de la société de télécommunications et, par conséquent, elle
fait confiance aux antennes LTE de la société de télécommunications si
elles possèdent les certificats de l'autorité de certification.
 Le règlement eIDAS stipule qu'une liste de confiance européenne de
toutes les AC évaluées doit être maintenue, ce qui permet la confiance
dans l'identité numérique des personnes dans toute l'UE.

2.7 Les certificats PKI

2.8 Pourquoi PKI est actuellement la meilleure solution
Les scientifiques doivent encore trouver une meilleure méthode que PKI pour
protéger la communication entre les personnes, les choses et les services. La
cryptographie quantique est peut-être la solution de demain pour garantir la
sécurité des communications, mais c'est encore une technologie jeune qui n'est
prête à être déployée que dans un petit nombre de domaines très spécifiques
Les raisons pour lesquelles PKI est actuellement la meilleure solution pour
communiquer en toute sécurité sur Internet est qu'elle:

 Active la confidentialité en utilisant la cryptographie et l'authentification.

 Active l'intégrité en utilisant des signatures numériques.
 Permet la révocation de la confiance pour les entités.
 Permet une mise à niveau continue vers de meilleurs algorithmes au fur et
à mesure de leur publication.
 Est une technologie mature.
 Prouve sa fiabilité par son utilisation dans des applications critiques dans
des domaines tels que la banque et l'armée.
 Utilise des normes ouvertes, ce qui signifie que les normes sont évaluées.
 S'adapte facilement pour pouvoir être utilisé pour des millions, voire des
milliards d'entités.

II Analyse et conception de PKI

Etude de l'existant

Actuellement à I’UAC, il n'existe pas encore d'infrastructure de gestion de clés.

Cependant, une étude sur la mise en place d'une infrastructure de gestion de clés
privée avec une interface web avait déjà été faite auparavant à L’UAC et c'est dans
la continuité de cette étude que notre travail est effectué.

Les besoins à l’uac

L'authentification des documents est nécessaire.

Une nécessité de gérer les comptes utilisateurs et mots de passe s'est également
faite ressentir. En effet, pour pouvoir authentifier son personnel et ses partenaires,
UAC doit pouvoir au préalable les identifier. Pour ce faire, il va falloir qu'ils puissent
s'enregistrer et créer des comptes utilisateurs.