Sécurisation par cryptage et certificat électronique

Frédéric Decréquy pour Thalès, le 25 août 2016, version 1.

Sécurisation par cryptage et certificat électronique

A l’origine, un but est de recevoir un fichier et de pouvoir vérifier qu’il n’est pas modifié, de connaître et de vérifier la source. Sans protection, toute intrusion sur une chaîne informatique, avec les aléas du réseau auquel tout le monde a accès pourrait fausser ces informations. D’autant plus qu’Internet est un réseau qui peut prendre n’importe quel chemin pour parvenir au destinataire.

La première solution retenue a été le mot de passe. On doit alors se protéger des mitrailles de tentatives automatisées. Il y a le long mot de passe, la reconnaissance faisant appel aux capacités propre à l’humain, le temps d’attente pour une même IP entre deux frappes, la re-confirmation passive en cas d’étrangeté, la recréation d’un mot de passe en cas de violation des règles. Mais qu’est-ce qui définit le possesseur du mot de passe ? Il peut être transmis, et il devrait être transmis pour partager des documents. On se retrouverait avec une kyrielle de mots de passe.

En ce qui concerne la certification de l’intégrité des données, des algorithmes de cryptage existent. Ils vont jusqu’à y mélanger par exemple des courbes complexes aux paramètres à centaines chiffres, et des outils pour se défaire des harmonies détectables (les outils de décryptage recherchent les compositions redondantes), tel que le sel, un nombre quelconque connu du cryptage qui vient s’apposer sur chaque morceau de sa longueur du résultat, afin d’inverser pas mal de bits, afin d’éviter que des bits qui se suivent soient trop apparents.

A partir d’un mot de passe, qui peut très bien être calculé par une formule qui ne connaît pas celui vraiment identique d’origine, on peut décoder sans pouvoir recoder. C’est le cryptage asymétrique.

Dans ce principe, on peut faire des clés d’ouverture nombreuses de type 1111 générées à partir d’une clé d’ouverture unique de type 1, des clés d’ouverture nombreuses de type 2222 générées à partir d’une clé d’ouverture unique de type 2, et une recréation du fichier uniquement si on connaît les clés 1 et 2. C’est le cryptage par paires de clés.

La longueur et le checksum (c’est-à-dire qu’on prend un petit nombre d’octets vierges et on fait subir un masque d’inversion à tout le fichier en le découpant, par conséquent la moindre modification unique sera détectée) (un checksum sur 40 octets sera à priori unique dans tout l’univers pour un même fichier s’il n’y a pas forçage) peuvent être cryptés aussi, ce qui permet l’inviolabilité mais aussi la vérification rapide sans retransmission.

Qu’est-ce qui identifierait l’origine, en informatique, dans ce monde où tout peut être copié ? Une idée a été de créer et crypter un fichier avec paires de clés asymétriques qui n’a pas de contenu autre que le but de se faire crypter, mais il contient aussi des informations sur la machine qui l’a créé et qui le stocke, qu’il peut vérifier à tout moment. Cette origine est très précieuse, et protégée. C’est le certificat. On ne peut les utiliser que s’ils suivent la norme.

Un certificat peut générer automatiquement des clés, qui peuvent être cryptées à l’intérieur des documents et à tout moment pourront être vérifiées par lui. Ce sont des signatures. La signature a aussi une durée de vie.

Grâce aux méthodes de connexion à distance, un certificat peut alors générer automatiquement des certificats enfants sur des ordinateurs ou des appareils distants de confiance, la confiance étant notifiée et cryptée dans le certificat, ainsi que la confiance du certificat d’origine, non violable car les informations sont imbriquées jusqu’à l’identité de base. Ceci peut fonctionner sur un nombre non limité de niveaux.

Tous ces certificats, une fois l’ordinateur désigné de confiance, peuvent fonctionner sans se connecter à leur base. D’autant qu’avec les paires de clés, on peut n’accéder à des niveaux de génération que si 2 entités s’entendent. Les certificats ont une durée de vie limitée, imbriquée.

Il existe une liste de révocation sur Internet contenant les certificats brûlés, que les programmes de certification récupèrent à rythme régulier.

Il serait important qu’on pense à instaurer la signature par certificat pour éviter l’incroyable nombre de spams dans les mails.

Print | posted on Friday, July 6, 2018 12:37 AM

Feedback

No comments posted yet.

Your comment:





 
Please add 6 and 3 and type the answer here:

Copyright © Frédéric Decréquy

Design by Bartosz Brzezinski

Design by Phil Haack Based On A Design By Bartosz Brzezinski