Documente Academic
Documente Profesional
Documente Cultură
Un certificat lectronique (aussi appel certificat numrique ou certificat de cl publique) peut tre vu
comme une carte d'identit numrique. Il est utilis principalement pour identifier et authentifier une
personne physique ou morale, mais aussi pour chiffrer des changes.
Il est sign par un tiers de confiance qui atteste du lien entre l'identit physique et l'entit numrique
(virtuelle).
Le standard le plus utilis pour la cration des certificats numriques est le X.509.
Chiffrement symtrique
Cette mthode est la plus simple comprendre : si Anne (A) veut envoyer un message chiffr Bob (B) elle
doit lui communiquer un mot de passe (cl de chiffrement). Comme l'algorithme de chiffrement est
symtrique, on a la relation suivante :
Ainsi, Anne peut aussi dchiffrer un message en provenance de Bob avec la mme cl. Mais il faut au
pralable trouver un moyen sr de transmettre la cl l'abri des regards. La situation peut cependant
devenir complexe, si Anne doit envoyer un message chiffr Bob et Charlie mais qu'elle ne souhaite pas
donner la mme cl Charlie. Plus le nombre de personnes est grand, plus il est difficile de grer les cls
symtriques. D'autant qu'il faut au pralable trouver un moyen sr de transmettre la cl.
Chiffrement asymtrique
La proprit des algorithmes asymtriques est qu'un message chiffr par une cl publique n'est
lisible que par le propritaire de la cl prive correspondante. l'inverse, un message chiffr par
une cl prive sera lisible par tous ceux qui possdent la cl publique correspondante.
Dans un cadre ferm et relativement restreint (entreprise, service public) la diffusion de cls
scurises est relativement simple et peut prendre de nombreuses formes, mais quand le
diffuseur souhaite s'adresser un public plus large avec lequel il n'a pas eu de contact pralable
(grand public, public international) elle ncessite un cadre normalis.
Les certificats rsolvent le problme du canal scuris grce la signature de tiers de confiance.
Prsentation du principe
Dfinition
Un certificat lectronique est un ensemble de donnes contenant :
Diffrents types
Les certificats lectroniques respectent des standards spcifiant leur contenu de faon rigoureuse.
Les deux formats les plus utiliss aujourd'hui sont :
La diffrence notable entre ces deux formats est qu'un certificat X.509 ne peut contenir qu'un seul
identifiant, que cet identifiant doit contenir de nombreux champs prdfinis, et ne peut tre sign
que par une seule autorit de certification. Un certificat OpenPGP peut contenir plusieurs
identifiants, lesquels autorisent une certaine souplesse sur leur contenu, et peuvent tre signs
par une multitude d'autres certificats OpenPGP, ce qui permet alors de construire des toiles de
confiance.
Utilit
Les certificats lectroniques sont utiliss dans diffrentes applications informatiques dans le cadre
de la scurit des systmes d'information pour garantir :
Exemples d'utilisation
Serveur web (voir TLS et X.509) ;
Courrier lectronique (voir OpenPGP) ;
Poste de travail (voir IEEE 802.1X) ;
Rseau priv virtuel (VPN, voir IPsec) ;
Secure Shell (SSH), TLS ;
Code Mobile[Quoi ?] ;
Documents lectroniques.
Serveur de cls
Les certificats peuvent tre stocks par des serveurs de cls, qui peuvent aussi faire office
d'autorit d'enregistrement et de certification (repre A).
Ils recensent et contrlent les certificats. Ils possdent souvent une liste (repre B) des certificats
rvoqus.
L'interoprabilit
Dans certains cas, le certificat peut tre associ l'lment identifiant des registres de
mtadonnes (e lment dans le Dublin Core) pour l'interoprabilit5.
Dans le cas des serveurs web, ces certificats sont utiles pour fournir plusieurs sites HTTPS sur une
seule adresse IP. En effet, en HTTPS, l'change du certificat se fait avant que le navigateur client ait
transmis le nom de domaine qui l'intresse. Or, si le certificat fourni par le serveur ne contient pas
le nom requis par le client, celui-ci dclenche une alerte de scurit (voir indication du nom du
serveur pour une autre possibilit technique).
Certificats OpenPGP
Alors que les premiers sites web scuriss ne pouvaient utiliser que des certificats X.509,
l'exploitation de la RFC 60917 permet dsormais d'utiliser des certificats OpenPGP afin de faire du
HTTPS.
Certificats et courriels
L'utilisation des certificats pour chiffrer, ou signer des courriels se fait en utilisant le standard
S/MIME qui permet l'encapsulation des donnes cryptographiques dans le format MIME des
courriels.
Leur utilisation est controverse, car la signature est ajoute comme lment supplmentaire au
contenu du courriel. Par consquent, l'utilisation de certificats sur des listes de diffusion peut
rsulter en l'invalidation de la signature, du fait des modifications effectues par le moteur traitant
la liste.
De plus, de nombreuses messageries en ligne et clients de messagerie ne grent pas le format
S/MIME, ce qui perturbe parfois les utilisateurs voyant une pice jointe smime.p7m apparatre
dans leurs messages.
Dans le cadre des messageries en ligne, une problmatique supplmentaire est en cause, celle de
la confiance dans l'oprateur. En effet, utiliser son certificat sur une messagerie en ligne implique
obligatoirement que le fournisseur de ce service partage les lments secrets du certificat (cl
prive et mot de passe), sans quoi il ne peut raliser la signature, ou le chiffrement. Et cela
implique qu'il doit aussi fournir un moteur de cryptographie.
Utilisation du certificat
Un utilisateur demande une ressource numrique au diffuseur, ce dernier lui envoie son certificat
ainsi que la ressource en question. Si la signature du certificat du diffuseur correspond une
autorit de certification en qui l'utilisateur a confiance, c'est--dire si le certificat racine de
l'autorit est inclus dans le navigateur web de l'utilisateur, alors l'utilisateur vrifie l'intgrit du
certificat du diffuseur avec la cl publique du certificat racine. Cette vrification lui assure que
l'identit du diffuseur est authentique, c'est--dire que la cl publique et l'identit contenues dans
le certificat du diffuseur sont lies par l'autorit de certification. Si le certificat du diffuseur est
authentifi, l'utilisateur peut alors utiliser la cl publique du certificat du diffuseur pour vrifier
l'intgrit de la ressource numrique reue.
Chane de confiance
En pratique, la certification peut s'effectuer en cascade : un certificat peut permettre
d'authentifier d'autres certificats jusqu'au certificat qui sera utilis pour la communication.
Vulnrabilits
Le systme de certificats ne prsente pas de vulnrabilit technique thorique sous rserve que
toutes ses tapes soient correctement implmentes. Le principal risque peut provenir de la
compromission des gestionnaires du systme (autorits de certification et gestionnaires de cls) :