Sécurité des communications & PKI Philippe MANONVILLER Philippe POCOBELLO
Les chiffres symétriques ( clef secrète ) Les chiffres Asymétriques ( clef publique – clef privée ) Pretty Good Privacy ( PGP ) Les infrastructures à clefs publiques La législation La cryptographie quantique Questions
Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Les chiffres symétriques Algorithme Clef secrète Texte en clair A B Algorithme Texte chiffré Texte en clair Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Les règles à respecter Le chiffre doit être poly-alphabétique pour éviter l’analyse de fréquences La clef doit être de grande longueur pour lutter contre la cyclicité Elle doit être à usage unique (masque jetable) Elle doit être générée aléatoirement pour éviter la méthode du va-et-vient Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Avantages - inconvénients Potentiellement incassable Traitements faciles à mettre en oeuvre Rapidité ( 1000 x Algo Biclefs ) Problème de la distribution des clefs Réservée à une communauté fermée d’utilisateurs, contrairement au @Commerce ( n vers 1 ) Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Les chiffres Asymétriques Clef privée de B Clef publique de B Algorithme Algorithme Texte en clair A B Texte chiffré Texte en clair Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
La signature électronique Clef privée de signature de A Clef publique de signature de A Empreinte signée Contrôle de Signature B A Signature Empreinte reçue Empreinte Générée Empreinte recalculée Hachage Texte Texte à signer Hachage Par B Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Les règles à respecter Réserver une biclef à un usage donné (ne pas chiffrer et signer avec la même) S’assurer du réel propriétaire de la clef publique utilisée. S’assurer des dates de validité de la clef Utilisation de certificats Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Avantages - inconvénients Il n’y a plus d’échanges préalable de clefs Echanges « n vers n », plus « 1 vers 1 » Bien adapté au commerce électronique Fiabilité des clefs publiques Sécurité dépendant de l’évolution technologique et des connaissances. Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
PGP Texte en clair A B Clef de session Clef de session générée aléatoirement Clef publique de B Clef privée de signature de A Clef privée de B Clef de session chiffrée Texte en clair Texte chiffré Clef publique de signature de A Empreinte signée Empreinte Empreinte Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
LES PKI Public Key Infrastructure En français: ICP Infrastructure à Clef Publique Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Définition C ’est un système de gestion des bi-clés (clefs publiques / clef privée) fiable. Permet la mise en place de signature électronique Il assure : La confidentialité, l'authentification, l'intégrité, la non-répudiation. Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
ORGANISATION D ’UNE PKI Autorité de certification (AC) chargé de générer les certificats et d ’assurer leur fiabilité (révocation). Autorité d ’enregistrement (AE) établi le lien entre l ’abonné et l ’AC. Bureau d ’enregistrement (BE) Système de distribution des clefs Son rôle est de rendre disponible à l’ensemble des utilisateurs les certificats de clefs publiques émis par l’autorité de certification Bureau d’enregistrement et de distributions (BED) Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
PKI Autorité de gestion de la politique (AGP) Demande Autorité de certification Bureau d ’enregistrement Autorité d ’enregistrement Opérateur de certification Certificat Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Les certificats Le but : Valider avec certitude le lien entre la clef publique et son propriétaire L’organisme de normalisation ISO a défini la norme X.509 définissant le format et le contenu d’un certificat digital. Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Le certificat Certificat Version Période de validité Algo Id 1993: v2 (v1+2 nouveaux champs) 1996: v3 (v2 + extensions) Période de validité Un certificat a toujours une durée de vie définie L ’algo ID désigne l ’algorithme qui sera utilisé avec la clef publique Les paramètres associés indiquent par exemple la longueur de la clef ….. Algo Id Identifiant du type d ’algorithme de signature utilisé. Exemple: SHA1 , MD5, ... Certificat signature numérique de l'autorité de certification sur l'ensemble des champs précédents. C ’est la clef publique du propriétaire (PK) Le Propriétaire est le nom de l ’entité à qui appartient ce certificat Numéro de série Numéro de série du certificat (propre à chaque autorité de certification) Emetteur Identifie l ’autorité de certification qui a émis ce certificat
Protection du certificat Clef privée de l’autorité de certification Informations du certificat Hash chiffré SIGNATURE Informations du certificat Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Exemple d ’un certificat sous Windows
Exemple d ’un certificat sous Windows
Les classes de certificats lien entre une adresse électronique et une clef publique Pour la signature de message électronique sans valeur marchande ou juridique Classe 2 lien entre une identité et une clef publique Pour les transactions du commerce électronique courant (avec un plafond financier) Classe 3 lien entre une identité physique et une clef publique Pour toutes transactions un certificat de classe 3 est obtenu par remise en mains propres au candidat qui devra se présenter dans les bureaux de l’autorité de certification. La classe 3 offre le plus haut niveau de sécurité. Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Comment ça marche…Exemple:SSL Clé privée Clé session Version SSL…. Algo utilisé… etc …. Session SSL Clé Lue Données Aléatoires Données Aléatoires Certificat Du serveur ? Ok ! Clé session Pré Clé Secrète LCR Client Serveur Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
La législation En France, «un décret relatif à la signature électronique reconnaît la validité des signatures numériques. L’écrit sur support électronique a désormais la même force probante que l’écrit sur support papier. Cependant, la signature électronique est reconnue comme preuve juridique à la seule condition de s’appuyer sur un prestataire de service de certification.» seules des autorités de certifications accréditées par arrêté du Premier ministre (DCSSI) ont le droit d’émettre des certificats ayant une valeur légale. Ces derniers sont appelés certificats qualifiés. Le décret d'application relatif à signature électronique est publié sur le JO n°77 du 30 mars 2001. Le décret d'application relatif à signature électronique est publié sur le JO n°77 du 31 mars 2001. Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
La législation la loi française autorise actuellement l’utilisation de clefs symétriques de 40 à 128 bits aussi bien pour des échanges privés que professionnels. L’usage de clefs plus longues est réservé à l’armée française. Les clefs asymétriques ont, quant à elles, des longueurs allant de 1024 et 4096 bits. Mais comme dans la pratique elles ne sont utilisées dans les transactions que pour échanger une clef symétrique, les législateurs se sont contentés de limiter la longueur des clefs symétriques. Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
La législation …. le Problème la législation sur la signature électronique ainsi que la longueur maximale des clefs sont décidées au niveau de chaque Etat. Il n’y a donc pas de standard mondial sur le sujet, ce qui constitue un frein pour le commerce international sur Internet. Une standardisation à l’échelle internationale semble indispensable à moyen terme afin de faciliter le commerce électronique international. Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
La législation… et les Acteurs Les acteurs qualifiés : Certinomis. Cette société a été créée en août 1999. Elle est issue de l’association de La Poste et Sagem. Certplus a été crée en 1998 par France Telecom, Gemplus, Matra Hautes Technologies et Verisign ChamberSign. Crée en Février 2001 par les Chambres de Commerce et d'Industrie françaises , Autorité de Certification des signatures électroniques pour les entreprises. (FIA-NET) Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
La cryptographie quantique Basé sur le caractère corpusculaire et ondulatoire de la lumière Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
La cryptographie quantique B Génère aléatoirement des photons polarisés et les expédie à B Génère aléatoirement des filtres polarisants et les utilise pour lire les photons reçus A et B pointent les photons correspondants aux filtres et éliminent les autres Ils ont établi une clef à masque jetable (symétrique et à usage unique) Les chiffres symétriques / Les chiffres Asymétriques / PGP / ICP / La législation / La cryptographie quantique
Questions