S

1
Sécurité des communications PKI

• Philippe MANONVILLER
• Philippe POCOBELLO

2

• Les chiffres symétriques ( clef secrète )
• Les chiffres Asymétriques ( clef publique clef
  privée )
• Pretty Good Privacy ( PGP )
• Les infrastructures à clefs publiques
• La législation
• La cryptographie quantique
• Questions

3
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
4
Les chiffres symétriques
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
5
Les règles à respecter

• Le chiffre doit être poly-alphabétique pour
  éviter lanalyse de fréquences
• La clef doit être de grande longueur pour lutter
  contre la cyclicité
• Elle doit être à usage unique (masque jetable)
• Elle doit être générée aléatoirement pour éviter
  la méthode du va-et-vient

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
6
Avantages - inconvénients

• Potentiellement incassable
• Traitements faciles à mettre en oeuvre
• Rapidité ( 1000 x Algo Biclefs )
• Problème de la distribution des clefs
• Réservée à une communauté fermée dutilisateurs,
  contrairement au _at_Commerce ( n vers 1 )

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
7
Les chiffres Asymétriques
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
8
La signature électronique
Clef privée de signature de A
Clef publique de signature de A
Contrôle de Signature
B
Signature
A
Empreinte Générée
Empreinte recalculée
Hachage
Texte
Texte à signer
Hachage Par B
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
9
Les règles à respecter

• Réserver une biclef à un usage donné (ne pas
  chiffrer et signer avec la même)
• Sassurer du réel propriétaire de la clef
  publique utilisée.
• Sassurer des dates de validité de la clef
• Utilisation de certificats

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
10
Avantages - inconvénients

• Il ny a plus déchanges préalable de clefs
• Echanges n vers n , plus 1 vers 1
• Bien adapté au commerce électronique
• Fiabilité des clefs publiques
• Sécurité dépendant de lévolution technologique
  et des connaissances.

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
11
PGP
Texte en clair
Empreinte
Empreinte
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
12
LES PKI Public Key Infrastructure
En français ICPInfrastructure à Clef Publique
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
13
Définition

• C est un système de gestion des bi-clés (clefs
  publiques / clef privée) fiable.
• Permet la mise en place de signature électronique
• Il assure
• La confidentialité,
• l'authentification,
• l'intégrité,
• la non-répudiation.

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
14
ORGANISATION D UNE PKI

• Autorité de certification (AC)
• chargé de générer les certificats et d assurer
  leur fiabilité (révocation).
• Autorité d enregistrement (AE)
• établi le lien entre l abonné et l AC.
• Bureau d enregistrement (BE)
• Système de distribution des clefs
• Son rôle est de rendre disponible à lensemble
  des utilisateurs les certificats de clefs
  publiques émis par lautorité de certification
• Bureau denregistrement et de distributions (BED)

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
15
PKI
Autorité de gestion de la politique (AGP)
Demande
Autorité de certification
Autorité d enregistrement
Bureau d enregistrement
Opérateur de certification
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
16
Les certificats

• Le but
• Valider avec certitude le lien entre la clef
  publique et son propriétaire
• Lorganisme de normalisation ISO a défini la
  norme X.509 définissant le format et le contenu
  dun certificat digital.

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
17
Le certificat
Version 1988 v1 1993 v2 (v12 nouveaux
champs) 1996 v3 (v2 extensions)
Période de validité Un certificat a toujours une
durée de vie définie
L algo ID désigne l algorithme qui sera
utilisé avec la clef publique Les paramètres
associés indiquent par exemple la longueur de la
clef ..
Algo Id Identifiant du type d algorithme de
signature utilisé. Exemple SHA1 , MD5, ...
Certificat
signature numérique de l'autorité de
certification sur l'ensemble des champs
précédents.
C est la clef publique du propriétaire (PK)
Le Propriétaire est le nom de l entité à qui
appartient ce certificat
Numéro de série Numéro de série du certificat
(propre à chaque autorité de certification)
Emetteur Identifie l autorité de certification
qui a émis ce certificat
18
Protection du certificat
Clef privée de lautorité de certification
Informations du certificat
Hash chiffré
SIGNATURE
Informations du certificat
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
19
Exemple d un certificat sous Windows
20
Exemple d un certificat sous Windows
21
Les classes de certificats

• Classe 1
• lien entre une adresse électronique et une clef
  publique
• Pour la signature de message électronique sans
  valeur marchande ou juridique
• Classe 2
• lien entre une identité et une clef publique
• Pour les transactions du commerce électronique
  courant (avec un plafond financier)
• Classe 3
• lien entre une identité physique et une clef
  publique
• Pour toutes transactions
• un certificat de classe 3 est obtenu par remise
  en mains propres au candidat qui devra se
  présenter dans les bureaux de lautorité de
  certification.
• La classe 3 offre le plus haut niveau de
  sécurité.

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
22
Comment ça marcheExempleSSL
Clé privée
Version SSL. Algo utilisé etc .
Session SSL
Données Aléatoires
Données Aléatoires
?
Ok !
LCR
Client
Serveur
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
23
La législation

• En France, un décret relatif à la signature
  électronique reconnaît la validité des signatures
  numériques. Lécrit sur support électronique a
  désormais la même force probante que lécrit sur
  support papier. Cependant, la signature
  électronique est reconnue comme preuve juridique
  à la seule condition de sappuyer sur un
  prestataire de service de certification.
• seules des autorités de certifications
  accréditées par arrêté du Premier ministre
  (DCSSI) ont le droit démettre des certificats
  ayant une valeur légale. Ces derniers sont
  appelés certificats qualifiés.
• Le décret d'application relatif à signature
  électronique est publié sur le JO n77 du 30 mars
  2001.

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
24
La législation

• la loi française autorise actuellement
  lutilisation de clefs symétriques de 40 à 128
  bits aussi bien pour des échanges privés que
  professionnels. Lusage de clefs plus longues est
  réservé à larmée française.
• Les clefs asymétriques ont, quant à elles, des
  longueurs allant de 1024 et 4096 bits. Mais comme
  dans la pratique elles ne sont utilisées dans les
  transactions que pour échanger une clef
  symétrique, les législateurs se sont contentés de
  limiter la longueur des clefs symétriques.

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
25
La législation . le Problème

• la législation sur la signature électronique
  ainsi que la longueur maximale des clefs sont
  décidées au niveau de chaque Etat. Il ny a donc
  pas de standard mondial sur le sujet, ce qui
  constitue un frein pour le commerce international
  sur Internet.
• Une standardisation à léchelle internationale
  semble indispensable à moyen terme afin de
  faciliter le commerce électronique international.
  

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
26
La législation et les Acteurs

• Les acteurs qualifiés
• Certinomis. Cette société a été créée en août
  1999. Elle est issue de lassociation de La Poste
  et Sagem.
• Certplus a été crée en 1998 par France Telecom,
  Gemplus, Matra Hautes Technologies et Verisign
• ChamberSign. Crée en Février 2001 par les
  Chambres de Commerce et d'Industrie françaises ,
  Autorité de Certification des signatures
  électroniques pour les entreprises. (FIA-NET)

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
27
La cryptographie quantique

• Basé sur le caractère corpusculaire et
  ondulatoire de la lumière

Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
28
La cryptographie quantique
A
B
Génère aléatoirement des photons polarisés et les
expédie à B
Génère aléatoirement des filtres polarisants et
les utilise pour lire les photons reçus
A et B pointent les photons correspondants aux
filtres et éliminent les autres Ils ont établi
une clef à masque jetable (symétrique et à usage
unique)
Les chiffres symétriques / Les chiffres
Asymétriques / PGP / ICP / La législation / La
cryptographie quantique
29
Questions