Présentation du vendredi 18 octobre 2002

Slides:



Advertisements
Présentations similaires
Bratec Martin ..
Advertisements

NOTIFICATION ÉLECTRONIQUE
Fragilité : une notion fragile ?
SEMINAIRE DU 10 AVRIL 2010 programmation du futur Hôtel de Ville
Phono-sémantique différentielle des monosyllabes italiens
MAGGIO 1967 BOLOGNA - CERVIA ANOMALIES DU SOMMEIL CHEZ L'HOMME
droit + pub = ? vincent gautrais professeur agrégé – avocat
Transcription de la présentation:

Présentation du vendredi 18 octobre 2002 Découvrir la PKI Présentation du vendredi 18 octobre 2002

Une définition PKI : Public Key Infrastructure, en anglais IGC : Infrastructure de Gestion de Clés ou ICP : Infrastructure à Clés Publiques en français C’est un système de gestion de clés de chiffrement et de certificats qui constitue un cadre à l’usage des techniques de cryptographie.

puis créations de certificats et utilisation dans Outlook Express .. C’est un système de gestion de clés de chiffrement et de certificats qui constitue un cadre à l’usage des techniques de cryptographie. Cette présentation portera principalement sur 3 points : 1- la législation en France concernant le sujet, ce qu’apporte la cryptographie et comment s’en servir … 2- description du certificat, ce qu’il contient … 3- les composantes du « système de gestion » … et- vues chez l’utilisateur … Suivis d’une conclusion S’il reste du temps, je ferais une démonstration de la création de l’AC puis créations de certificats et utilisation dans Outlook Express ..

Synthèse de la réglementation française en matière de cryptologie * uniquement des pays extérieurs à l'Union européenne. ** soumise à DÉCLARATION seulement si le fournisseur ou l'importateur ne l'a pas déjà déclaré et si le moyen de cryptologie n'est pas exclusivement destiné à usage personnel. *** un tiers de confiance est une organisation agréée par la DCSSI pour gérer les clés de chiffrement des utilisateurs. Ce tiers de confiance doit remettre les clés aux autorités judiciaires et de sécurité sur requête de leur part. **** à condition que lesdits matériels ou logiciels aient fait l'objet d'une autorisation de fourniture en vue d'une utilisation générale. Sinon, une demande d'autorisation d'utilisation personnelle doit être adressée à la DCSSI

Les textes français actuellement en vigueur sont les suivants  Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique. Les aspects importants de cette loi sont : la redéfinition de la preuve littérale, la consécration de la force probante de l'écrit électronique et la reconnaissance juridique de la signature électronique.  Décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique. Ce décret traduit en droit français les exigences de la Directive européenne relatives aux signatures électroniques.  Décret n°2002-535 du 18 avril 2002, relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information.

Définition Juridique La législation française se fonde sur la directive européenne N° 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. Définition juridique de la signature Le nouvel article 1316-4 du Code civil introduit une définition générale de la signature, valable quelle qu'en soit sa forme, manuscrite, électronique, ou autre : «  La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte ». Cet article précise ensuite le cas de la signature électronique : «  Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification, garantissant son lien avec l'acte auquel elle s'attache » La signature remplit donc deux fonctions juridiques principales : identification de l'auteur et manifestation de son consentement. Signature électronique sécurisée Une signature électronique sécurisée est une signature électronique qui satisfait aux exigences suivantes :  être propre au signataire (identité du signataire)  être créée par des moyens que le signataire puisse garder sous son contrôle exclusif (consentement du signataire)  garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable (intégrité de l'acte). La réalisation d'une signature sécurisée est une des conditions à remplir pour que la fiabilité d'un procédé de signature soit présumée.

Une PKI est donc une structure qui permet de gérer les certificats (l´identité numérique) et les clefs de chiffrement d´un ensemble d´utilisateurs (servant à la signature numérique et au cryptage). C´est une « couche de gestion » qui s´occupe de délivrer les certificats, assure leur valeur et leur validité, et permet à tout le monde d´utiliser la cryptographie. La cryptographie est traditionnellement utilisée pour dissimuler des messages aux yeux de certains utilisateurs. Désormais, la cryptographie sert non seulement à préserver la confidentialité des données mais aussi à garantir leur intégrité, leur authenticité et le caractère non-répudiable des documents signés.

La confidentialité L'intégrité L'authentification La non-répudiation La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les acteurs de la transaction. L'intégrité Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). L'authentification L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées. La non-répudiation La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.

Principes de la signature électronique par cryptographie asymétrique Le signataire dispose de 2 clés liées mathématiquement l'une à l'autre (bi-clé) : une clé privée que le signataire conserve secrète et qui lui sert à signer un fichier numérique (plus précisément un condensé de ce fichier) une clé publique associée, connue de tous, permettant à chacun de vérifier l'intégrité du document signé : le fichier a bien été signé avec la clé privée correspondant à la clé publique et il n'a pas été modifié depuis.

- L'authenticité du signataire est vérifiée Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Hash = empreinte de longueur fixe Décryptage Cryptage Ma Clé PUBLIQUE Ma Clé PRIVEE Hash = empreinte de longueur fixe Hash = empreinte de longueur fixe SIGNATURE électronique - L'authenticité du signataire est vérifiée - l'expéditeur ne peut nier avoir envoyé le message (non répudiation de l'expéditeur), la signature a bien été créée avec la clé privé dont on détient la partie publique le message n'a pas été altéré donc - vérification de l'intégrité du message si le message avait été crypté alors on aurait assuré la confidentialité OUI Identiques NON Le message a été altéré … DANGER

A ce stade l'intégrité du fichier est garantie mais pas l'identité du signataire (l’attaque du « man in the middle » diffuse une fausse clé). Il faut en effet être assuré que le bi-clé dont on a vérifié le lien mathématique appartient bien au signataire. Ce problème est résolu par l'utilisation d'une carte d'identité électronique délivrée et signée par un tiers de confiance, appelé Autorité de Certification. Cette carte d'identité est associée à la clé publique et s'appelle certificat de clé publique (on le désignera par le terme : « certificat »). Ainsi chacun sera assuré de l'identité du signataire dès lors : qu'il fera confiance à l'AC ayant émis le certificat du signataire et qu'il aura vérifié, en consultant une liste publiée tenue à jour et signée par l'Autorité de Certification, que ce certificat n'a pas été révoqué à l'instant de la signature (penser à l'analogie de la mise en opposition d'une carte bancaire).

soit le je lui envoie ou bien il va le chercher sur le site de l'AC Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Hash = empreinte de longueur fixe Cryptage Ma Clé PUBLIQUE Ma Clé PRIVEE SIGNATURE électronique Ma Clé publique est extraite du message mais la confiance ne peut s'instaurer car mon destinataire n'a pas le certificat de l'autorité de certification pour valider ma clé … soit le je lui envoie ou bien il va le chercher sur le site de l'AC La confiance n'est instaurée que par les Autorités de Certification, pas par les utilisateurs ...

Certificat X509

Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: md5WithRSAEncryption Issuer: C=FR, ST=FRANCE, L=ROUEN, O=INSA, OU=Service Informatique Reseau, CN=INSA-AC-TEST/Email=ca-admin@insa-rouen.fr Validity Not Before: Jul 16 12:53:57 2002 GMT Not After : Jul 16 12:53:57 2003 GMT Subject: CN=Jose GONCALVES/Email=jose.goncalves@insa-rouen.fr Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:9b:51:cb:61:d1:f3:32:24:cf:0a:10:fa:5c:ae: etc. Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: email:jose.goncalves@insa-rouen.fr Netscape CA Policy Url: http://www.insa-rouen.fr/policy.html 68:dc:55:4e:cd:dd:b8:06:f2:3e:0a:99:63:de:24:b9:5d:a3: etc.

Un certificat visualisé dans Windows 98, ainsi qu’une LCR … C’est la même AC qui a signé les 2

Une PKI se compose de  L’ensemble des services permettant de : – créer des certificats, – de les publier – d’en prolonger la validité – de les révoquer – de les recouvrer  De l’autorité d’enregistrement (AE) qui vérifie les données des demandes de certificats,  De l’autorité de certification (AC) qui établit les certificats sur la base de ce que l’AE a validé.

Pour maintenir le niveau de confiance, dont chacun la crédite, la PKI doit publier sa :  politique d’enregistrement  politiques de certification  politique de révocation  politique de recouvrement  politique de sécurité  audit des politiques

La mise en place d’une PKI requiert de nombreuses ressources selon le type d’infrastructure souhaitée. Cela s’accompagne, le plus souvent, d’une nécessaire restructuration de l’Organisation …

Le composant logiciel Afin d’en diminuer le coût apparent et surtout d’accéder aux sources, la solution la plus connue est l’utilisation du logiciel libre OpenSSL. Bien que des versions compilées existent dans l’environnement Windows, la meilleure solution reste l’utilisation d’une plate-forme Linux. Les icônes dans Windows 98 Liste de révocation Certificat, clé privée Certificat, clé publique Certificat, au format carte de visite

Chez l’utilisateur final (Outlook Express)

Réception d’un message chiffré

Possibilités offertes lors de l’émission

En conclusion C’est l ’architecture bâtie autour des standards X509, LDAP, SSL-TLS et S/MIME qui devrait s’imposer dans la construction des PKI à condition que de plus en plus d’applications utilisent les certificats. Prochaine étape : le poste client. Mais ceci est une autre étude …