Certificat électronique

Un article de Wikipédia, l'encyclopédie libre.
Aller à : Navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Certification.

Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) peut-être vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier une entité physique ou morale, mais aussi pour chiffrer des échanges.

Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (Virtuel).

Le standard le plus utilisé pour la création des certificats numériques est le X.509.

Sommaire

Fonctionnement [modifier]

Le principe de fonctionnement des certificats électroniques est basé sur le chiffrement d'informations et sur la confiance. Pour cela, il existe deux méthodes de chiffrement :

Clés symétriques [modifier]

Cette méthode est la plus simple à comprendre : si Anne (A) veut envoyer un message chiffré à Bob (B) elle doit lui communiquer un mot de passe (Clé). Comme l'algorithme de chiffrement est symétrique, on a la relation suivante :

TexteChiffré = Chiffrement (clé, texte)

Cles symetriques.png

Ainsi, Anne peut aussi déchiffrer un message en provenance de Bob avec la même clé. Mais il faut au préalable trouver un moyen sûr de transmettre la clé à l'abri des regards. La situation peut cependant devenir complexe, si Anne doit envoyer un message chiffré à Bob et à Charlie mais qu'elle ne souhaite pas donner la même clé à Charlie. Plus le nombre de personnes est grand, plus il est difficile de gérer les clés symétriques. D'autant qu'il faut au préalable trouver un moyen sûr de transmettre la clé à l'abri des regards.

Clés asymétriques [modifier]

La propriété des algorithmes asymétriques est qu'un message chiffré par une clé publique n'est lisible que par le propriétaire de la clé privée correspondante. À l'inverse, un message chiffré par la clé privée sera lisible par tous ceux qui possèdent la clé publique.

Ainsi avec sa clé privée, Anne :

  • signe ses messages.
  • lit (déchiffre) les messages qui lui sont adressés.

Assymetrie - signature vs chiffrement.png

Certificat [modifier]

Un certificat électronique est un ensemble de données contenant :

  • au moins une clé publique ;
  • des informations d'identification, par exemple : noms, localisation, emails ;
  • au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est la seule autorité permettant de prêter confiance (ou non) à l'exactitude des informations du certificat.
Certificat électronique.svg

Serveur de clés [modifier]

Les certificats sont stockés par des serveurs de clés, qui peuvent aussi faire office d'autorité d'enregistrement et de certification (repère A).

Ils recensent et contrôlent les certificats. Ils possèdent souvent une liste (repère B) des certificats révoqués.

Description des principaux certificats [modifier]

Les certificats électroniques respectent des standards spécifiant leur contenu de façon rigoureuse. Les deux formats les plus utilisés aujourd'hui sont :

La différence notable entre ces deux formats est qu'un certificat X509 ne peut contenir qu'un seul identifiant, que cet identifiant doit contenir de nombreux champs prédéfinis, et ne peut être signé que par une seule autorité de certification. Un certificat OpenPGP peut contenir plusieurs identifiants, lesquels autorisent une certaine souplesse sur leur contenu, et peuvent être signés par une multitude d'autres certificats OpenPGP. Ce qui permet alors de construire des toiles de confiance.

Les certificats électroniques et leurs cycles de vie (cf. Certificate Revocation List, Protocole de vérification en ligne de certificat) sont gérés au sein d'infrastructures à clés publiques.

Utilisation des certificats [modifier]

Sécurité des systèmes d'information [modifier]

Les certificats électroniques peuvent être utilisés dans différentes applications informatiques dans le cadre de la sécurité des systèmes d'information pour garantir :

L'interopérabilité [modifier]

Dans certains cas, le certificat peut être associé à l'élément « identifiant » des registres de métadonnées (10e élément dans le Dublin Core) pour l'interopérabilité [2].

Certificats et navigation Internet [modifier]

Les certificats sont très largement utilisés sur les sites de e-commerce, webmails ou autres sites sensibles (banques, impôts, etc.) Plusieurs niveaux de chiffrement existent et plusieurs fonctionnalités associées rendent la compréhension des certificats complexe.

Certificats X.509 standards [modifier]

Ce sont les certificats classiques, qui existent depuis plusieurs années. Le chiffrement varie entre 40 bits et 256 bits. Cela est dû en partie à la capacité des navigateurs et à la législation en vigueur. Généralement, les sociétés éditrices de certificats proposent 40 bits ou 128 bits garantis.

Certificats X.509 étendus [modifier]

Ce sont les certificats qui sont pris en charge dans les navigateurs récents et qui permettent l'affichage d'un fond vert (indiquant ainsi un site de confiance garantie). L'abréviation EV signifie "Extended Validation".

Certificats X.509 omnidomaines [modifier]

Un certificat omnidomaine ou "wildcard" permet de rendre générique une partie du nom de domaine certifié :

*.societe.fr → www.societe.fr, toto.societe.fr, titi.societe.fr (mais ni "societe.fr", ni "www.toto.societe.fr". Cf RFC 2818[3])

Certificats X.509 multisites [modifier]

Ces certificats contiennent une liste de noms. Cette solution se base sur le champ subjectAltName.

Dans le cas des serveurs web, ces certificats sont utiles pour fournir plusieurs sites HTTPS sur une seule adresse IP. En effet, en HTTPS, l'échange du certificat se fait avant que le navigateur client n'ait transmis le nom de domaine qui l'intéresse. Or, si le certificat fourni par le serveur ne contenait pas le nom requis par le client, celui-ci déclencherait une alerte de sécurité.

Cf Server Name Indication pour une autre possibilité technique.

Certificats OpenPGP [modifier]

Alors que les premiers sites web "sécurisés" ne pouvaient utiliser que des certificats X.509, l'exploitation de la RFC 6091[4] permet désormais d'utiliser des certificats OpenPGP afin de faire du HTTPS.

Certificats et courriels [modifier]

L'utilisation des certificats pour chiffrer, ou signer des courriels se fait en utilisant le standard S/MIME qui permet l'encapsulation des données cryptographiques dans le format MIME des courriels.

Lorsqu'un utilisateur est certifié, une icône permet généralement de le savoir :

Certificat Mail.jpg

Leur utilisation est controversée, car la signature est ajoutée comme élément supplémentaire au contenu du courriel. Par conséquent, l'utilisation de certificats sur des listes de diffusions peut résulter en l'invalidation de la signature, du fait des modifications effectuées par le moteur traitant la liste.

De plus, de nombreuses messageries en ligne (ou « webmails ») et clients de messagerie ne gèrent pas le format S/MIME, ce qui perturbe parfois les utilisateurs voyant une pièce jointe « smime.p7m » apparaître dans leurs messages.

Dans le cadre des messageries en ligne, une problématique supplémentaire est en cause, celle de la confiance dans l'opérateur. En effet, utiliser son certificat sur un webmail implique obligatoirement que le fournisseur de ce service partage les éléments secrets du certificat (clé privée et mot de passe), sans quoi il ne peut réaliser la signature, ou le chiffrement. Et cela implique qu'il doive aussi fournir un moteur de cryptographie.

Références [modifier]

  1. (en) Request for Comments no 4880.
  2. Voir Dictionnaire de métadonnées pour le référentiel des publications CNRS.
  3. (en) Request for Comments no 2818.
  4. (en) Request for Comments no 6091.

Voir aussi [modifier]

Articles connexes [modifier]

Liens externes [modifier]



Ce document provient de « http://fr.wikipedia.org/w/index.php?title=Certificat_électronique&oldid=92503067 ».