Jeu web d'introduction à la cryptographie

J'ai perdu

Principe de certification

Qu'est-ce qu'un certificat, pourquoi les utiliser ?

Un certificat permet de vérifier l'identité d'une personne, d'une entité. C'est une forme de signature numérique. Pour obtenir un certificat, une entité doit le demander à une autorité de certification. le certificat donné par cette autorité est valable uniquement si l'on considère que c'est une autorité de confiance : il appartient donc au receveur du certificat, si il fait confiance à cette autorité, d'accepter cette validation d'identité. En France, un certificat numérique est délivré par un organisme agréé par le ministère chargé des finances.
On peut avoir besoin d'un certificat dans le cas de transmission de clé publique. Si celle-ci n'est pas sécurisée, un attaquant peut se positionner entre l'entité et son public en diffusant de fausses clés publiques (par le biais d'un faux site web par exemple) puis intercepter toutes les communications, lui permettant d'usurper l'identité du diffuseur de clés publique et de créer une attaque de l'homme du milieu.
Dans un cadre fermé et relativement restreint (entreprise, service public…) la diffusion de clés sécurisées est relativement simple et peut prendre de nombreuses formes, mais quand le diffuseur souhaite s'adresser à un public plus large avec lequel il n'a pas eu de contact préalable (grand public, public international) elle nécessite un cadre normalisé.
Les certificats résolvent le problème du canal sécurisé grâce à la signature de tiers de confiance.

Que contient le certificat et comment l'obtenir?

Pour qu'une autorité de certification procure un certificat à une entité, l'entité (site web,...) doit fournir à cette autorité plusieurs éléments, dont :
  • Sa clé publique : l'autorité de certification doit vérifier si l'entité possède bien la clé privée, pour cela, elle lui enverra un challenge chiffré que l'entité devra lui renvoyer décrypté
  • l'url du site web demandant le certificat
  • un moyen de vérifier l'identité de l'entreprise : cela peut se faire en fournissant des informations sur le responsable légal, des documents commerciaux ou autres.
Ce sont les 3 éléments majeurs. L'autorité peut également cependant demander d'autres informations en fonction.
Le certificat une fois validé contient plusieurs informations, comme la clé publique du détenteur du certificat, sa durée de validité... Il est envoyé à une autre entité accompagnée d'une signature (calculée à partir de la clé privée) chiffré avec la clé publique de l'entité qui doit la recevoir. Pour vérifier l'identité de l'envoyeur, le receveur dit vérifier la validité du certificat puis celle de la signature.

Bref historique des certificats

Dans les années 70, la British Intellagence Agency inventa l'infrastructure à clé publique. En 90, ces découvertes furent ontrées au public, étant donnée que le nombr de communication électronique grandissiat, il était devenu nécessaire de trouver un moyen de sécuriser les informations échangées.
En 1994, Taher Elgama et Netscape ont développé l'un des ppremier certificat : le Secure Socket Layer (SSL)/ Transport Security Layer (TSL), aussi manifeste à travers le https.
En 1996, GlobalSign a été fondé en Belgique, c'est l'un des fondateurs de l'industrie de l'infrastructure à clés publiques et est une autorité de certification reconnue.

Sources

PDF de l'ANSSI présentannt les certificats
Wikipédia : certificats électroniques
GlobalSign
Projet fait au sein de l'unité d'enseignement Proj104 de Télécom Paris