Saturday, January 28, 2017

Initiation à la cryptographie

Initiation à la cryptographie


La cryptographie (« écriture secrète ») est la science des codes secrets, littéralement des codes « destinés à mettre à l’écart » ceux qui ne connaissent pas telle ou telle information. On se sert tous les jours de la cryptographie : carte bancaire, chaînes de télévision à péage, déclaration de revenus sur Internet, signature électronique, etc. La sécurité peut être en effet considérée comme la distribution de la confiance. La cryptographie permet aux gens de s’assurer que cette confiance ne sera pas compromise lors des communications.
L’histoire des codes secrets a été souvent façonnée par les militaires et les diplomates, depuis Jules César jusqu’au Téléphone rouge qui reliait le Kremlin et la Maison Blanche, en passant par le cassage (avec l’aide des Polonais) des codes de la machine Enigma de la marine allemande par les plus brillants mathématiciens britanniques, dont Alan Turing. Ce cassage, de l’aveu du Premier ministre de l’époque Winston Churchill, a accéléré l’issue de la guerre de plusieurs mois, épargnant la vie de milliers de personnes.
C’est en retraçant les grandes étapes de cette histoire des codes secrets qu’on peut comprendre l’évolution de cette science, et mettre en lumière le formidable bond en avant qu’elle a fait au XXe siècle grâce aux mathématiciens et aux informaticiens.

Quest-ce que cest ?


La cryptographie est une science permettant de convertir des informations "en clair" en informations codées, cest à dire non compréhensibles, puis, à partir de ces informations codées, de restituer les informations originales.

La cryptographie symétrique et la cryptographie asymétrique




La cryptographie symétrique



On parle de cryptographie symétrique lorsque plusieurs personnes utilisent une même clé pour crypter et décrypter des messages.
Le principal inconvénient de ce système est le partage de cette clé unique entre les différentes personnes : Comment envoyer à tout le monde et de façon sécurisée cette clé unique qui permet de crypter et décrypter ?

La cryptographie asymétrique


Dans ce type de cryptographie, chaque utilisateur comporte deux clés :

  • Une clé privée qui doit être gardée secrète.
  • Une clé publique qui est disponible pour tous les autres utilisateurs.
Ces deux clés sont mathématiquement liées.
Dans la pratique, la clé publique sert à crypter les messages, et la clé privée sert à les décrypter. Une fois le message crypté, seul le destinataire est en mesure de le décrypter.
Lutilitaire PGP (Prety Good Privacy) fonctionne de cette manière.

Lintégrité des informations


Une bonne cryptographie doit pouvoir offrir une garantie de lintégrité des informations. En effet, il ne doit pas être possible de pouvoir modifier des informations cryptées de façon totalement transparente. Un processus de vérification de lintégrité du message (crypté et en clair) doit être mis en place. Ce processus est réalisé par une fonction de hachage. Le résultat dun hachage (hash en anglais) est une sorte de condensé du message original.

Lauthentification des correspondants


Un aspect à ne pas négliger lorsque lon désire faire des transactions sécurisées est lauthentification des correspondants : La personne à qui jenvoie un message crypté est-elle bien celle à laquelle je pense ? La personne qui menvoie un message crypté est-elle bien celle à qui je pense ?
Le principe de lauthentification met en oeuvre un prouveur (celui qui prétend être, qui sest identifié) et un vérifieur (le fournisseur du service) : le vérifieur soumet un challenge au prouveur que ce dernier doit réaliser. Cela suppose quau préalable prouveur et vérifieur se sont entendus sur le partage dun secret.

La signature digitale



Cest un code électronique unique qui permet de signer un message codé. Cette signature permet didentifier lorigine du message : elle a la même fonction quune signature "à la main". Cest la clé privée qui permet de signer, et la clé publique qui permet de vérifier cette signature.

Le certificat digital



Cest un document électronique qui fait correspondre une clé avec une entité (personne, entreprise, ordinateur...). Cette correspondance est validée par une autorité de certification (Certificate Authority : CA). Ces certificats sont utilisés pour identifier une entité. Ce certificat est normalisé (norme X.509v3). Concrètement, les données utilisateur (identité du propriétaire de la clé, la clé publique et lusage de la clé) sont elles même signées par lautorité de certification, en y incluant certaines données propres (période de validité du certificat, lalgorithme de cryptage utilisé, numéro de série, etc...).

Lautorité denregistrement



Cest un organisme qui génère les demandes de certification dun utilisateur. Lenregistrement de cet utilisateur nest validé quaprès vérification des informations concernant cet utilisateur. La demande est ensuite envoyée à lautorité de certification.

Lautorité de certification



Cest un organisme qui génère les certificats des différents utilisateurs. Cest un passage obligé pour la mise en place dun système sécurisé (e-commerce...).

PKI


PKI signifie "Public Key Infrastructure", cest à dire "Infrastructure de Gestion de Clés" (IGC). Cest un ensemble doutils (logiciels et matériels) qui gèrent les clés cryptographiques et les certificats. LIGC permet les transactions sécurisées et les échanges dinformations entre deux parties en garantissant le secret, lintégrité et lauthentification.

On y retrouve :
  • La gestion des clés (création, distribution, stockage...).
  • Association de la clé publique et de lentité (certificat).
  • Recouvrement de clé.

SPKI


SPKI signifie "Simple Public Key Infrastructure", cest à dire "Infrastructure à Clés Publiques Simplifiée" (ICPS). Cette infrastructure permet une utilisation plus directe de lautorisation. En effet, sous IGC, une autorisation se déroule de la manière suivante :
  • De la clé, on obtient une identification via un certificat au format X.509.
  • De cette identité, on obtient, ou non, lautorisation.
Sous ICPS, lautorisation est donnée, ou non, à partir de la clé elle même.

Laspect légal


En France, depuis les décrets du 19 mars 1999, il est possible dutiliser :
  • Une clé de 40 bits, en totale liberté quelque soit lusage.
  • Une clé de 128 bits en totale liberté pour un usage privé, et soumise à déclaration dans les autres cas.

Go to link Download

Posted by at
Labels: , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)