Vous êtes sur la page 1sur 6

12/11/2020 La signature numérique des autorités de certification – Another Microsoft Blog

COMPRÉHENS I ON

Another
La signature numérique des Microsoft
Blog
autorités de certification
Publié par ANOTHERMICROSOFTBLOG le 26 OCTOBRE 2016

Introduction
Les autorités de certi cation publiques  sont des éléments importants de l’Internet mondial.
C’est un tiers de con ance qui permet de garantir l’identité d’un correspondant  grâce à
l’émission de certi cat décrivant l’identité numérique de la ressource accédée. Cette ressource
peut être un service, un serveur ou un utilisateur.

De plus les autorités mettent à disposition des moyens pour contrôler la validité du certi cat
présenté (CRL ou OCSP).

Un ensemble d’autorité de certi cation est appelé une infrastructure à clé publique (PKI).

J’ai remarqué, après plusieurs mise en place de PKI privée chez des clients, que le concept de
PKI, d’autorité de certi cation et de certi cat n’est pas bien compris ou pire, mal compris. Je
pense donc qu’il est important de clari er les choses.

Je vais donc aujourd’hui m’attarder sur le fonctionnement de la signature numérique en


utilisant un exemple concret. Mais d’abord c’est quoi une signature numérique ?

«  La signature numérique est un mécanisme permettant de garantir


l’intégrité d’un document électronique et d’en  authentifier l’auteur, par
analogie avec la signature manuscrite d’un document papier. »
https://anothermicrosoftblog.wordpress.com/2016/10/26/certificate-authority-numeric-signature/ 1/9
12/11/2020 La signature numérique des autorités de certification – Another Microsoft Blog

Wikipédia

Another
Microsoft
De part sa fonction, la signature doit donc être authentique, infalsi able, inaltérable et
irrévocable, comme une signature manuscrite. Des protocoles existants peuvent donc faire le
boulot, les protocoles de hash.
Blog

Le hash
Un protocole de hash est une fonction mathématique non-réversible qui, avec la même chaîne
d’entrée, donnera toujours le même résultat (Empreinte). Ces deux points sont très
importants. Les protocoles de hash les plus communs sont :

MD (Message Digest)
MD4 (Non able)
MD5 (Non able)
SHA (Secure Hash Algorithm)
SHA128 (Sur le déclin, les grands du Web ne supporteront plus ce protocole
d’ici 2017)
SHA256 (Valide)
SHA384 (Valide)

Schématiquement, il est possible de représenter une fonction de hash comme ceci :

https://anothermicrosoftblog.wordpress.com/2016/10/26/certificate-authority-numeric-signature/ 2/9
12/11/2020 La signature numérique des autorités de certification – Another Microsoft Blog

Le hash ne doit pas être réversible, car sinon, l’identité (dans le cas des certi cats) pourra être
altérée. Le seul et unique moyen de casser une empreinte de sortie est l’utilisation de « table
rainbow ».
Another
Microsoft
Blog car le chiffrement est
Les protocoles de hash ne sont donc pas des protocoles de chiffrement
un processus réversible.

Alors, comment est signé un certi cat émis par une autorité de certi cation ?

Exemple
Imaginons le société X, cette société X veut exposer un serveur Web (Apache ou IIS) sur
Internet. Cette société X va générer une demande de certi cat sous un format *.CSR
(Certi cate Signing Request) et cette demande va être transmise à une autorité publique :

L’autorité de certi cation publique reçoit la demande *.CSR. L’autorité de certi cation génère
donc un certi cat à partir de cette demande avec un couple de clé privée / clé publique pour ce
certi cat. Ensuite, le certi cat est passé dans une fonction de hash pour donner une empreinte
numérique unique de ce certi cat.

Cette empreinte passe ensuite dans une phase de chiffrement. Le chiffrement est réalisé à
partir de la clé privée de l’autorité de certi cation. Ce chiffrement avec la clé privée de
l’autorité de certi cation va permettre de garantir que le certi cat destiné au serveur est bien
validé par cette autorité de certi cation.

https://anothermicrosoftblog.wordpress.com/2016/10/26/certificate-authority-numeric-signature/ 3/9
12/11/2020 La signature numérique des autorités de certification – Another Microsoft Blog

Cette empreinte chiffrée est associée au certi cat pour former un certi cat signé par l’autorité
:
Another
Microsoft
Blog

Ce certi cat est ensuite transmis à la société X qui pourra l’installer sur son serveur Web :

Mais comment ensuite le client qui se connecte au serveur Web peut savoir que le certi cat qui
lui est présenté est valable ? En se connectant, le client va effectuer plusieurs points de

https://anothermicrosoftblog.wordpress.com/2016/10/26/certificate-authority-numeric-signature/ 4/9
12/11/2020 La signature numérique des autorités de certification – Another Microsoft Blog

contrôle sur le certi cat. En premier lieu, il va d’abord véri er si la chaîne d’autorité de
certi cation est valide.
Another
Microsoft
Cette véri cation est effectuée en recherchant les certi cats d’autorité de certi cation dans la
magasin local de la machine. Si les certi cats des autorités sont Blog
connus, la première étape est
validée.

Le certi cat du serveur Web est ensuite analysé a n de véri er que ce certi cat est bien émis
par une autorité de certi cation valide. La signature du certi cat du serveur Web est d’abord
enlevée pour créer deux piles de traitement :

Traitement 1 : Le certi cat est passé par une fonction de hash. Cette fonction donne une
empreinte du certi cat.
Traitement 2 : L’empreinte chiffrée (Signature) est déchiffrée grâce à la clé publique de
l’autorité de certi cation qui a signée le certi cat.
Traitement nal : Les deux empreintes sont comparées. Si elles sont égales, cela veut
dire que le certi cat est validé, si elles ne sont pas égales, une erreur sera af chée et le
certi cat ne sera pas approuvé.

https://anothermicrosoftblog.wordpress.com/2016/10/26/certificate-authority-numeric-signature/ 5/9
12/11/2020 La signature numérique des autorités de certification – Another Microsoft Blog

Another
Microsoft
Blog

Dernière partie, la véri cation des CRLs pour véri er que le certi cat n’est pas révoqué par
l’autorité de certi cation.

Conclusion
Dans ce billet, je me suis attardé sur la signature numérique des autorités de certi cation, il
existe cependant bien d’autres aspects que je n’ai pas abordé comme le chiffrement symétrique
ou asymétrique, le processus d’établissement d’une session sécurisée ou encore la processus
de publication des CRLs.

Ces points pourront faire l’objet d’un autre billet.


https://anothermicrosoftblog.wordpress.com/2016/10/26/certificate-authority-numeric-signature/ 6/9

Vous aimerez peut-être aussi