I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Transcription

1 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de Recherche en Informatique LARI Département d Informatique Université Mouloud Mammeri de Tizi-Ouzou

2 Plan I. Aspects Techniques I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.2 La signature électronique I.2.3 Les certificats numériques I.2.4. Obtention d un certificat numérique I.2.5. Contenu d'un certificat numérique I.2.6. Cycle de vie d'un certificat

3 II. Aspects Juridiques II.1. Formes de signature électronique II.2. Effets Juridiques des signatures électroniques II.3. Responsabilité II.4. Aspects internationaux A1. Exigences concernant les certificats qualifiés A2. Exigences concernant les prestataires de service de certification A3. Exigences pour les dispositifs sécurisés de création de signature électronique III. Conclusion 3

4 I Chiffrement Symétrique : Principes Les deux parties communicantes utilisent un algorithme symétrique et une même clé pour chiffrer et déchiffrer les données Une clé symétrique est une séquence binaire aléatoire dont la longueur dépend de l algorithme Un algorithme est une séquence de transformations sur les données et la clé 4

5 Chiffrement Symétrique : Principes Clé Clé Texte brut Chiffrement Internet Déchiffrement Texte clair Le texte En clair Est le suivant {»àçè )» à»è ~#{(-è Le texte En clair Est le suivant, Emetteur Texte chiffré Récepteur 5

6 Chiffrement Symétrique : Exemples d Algorithmes DES : Data Encryption Standard (IBM) 3DES AES : Advanced Encryption Standard (Vincent Rijmen et Joan Daemen) Blowfish, IDEA, TripleDES 6

7 Chiffrement Symétrique Conclusion chiffrement symétrique assure la confidentialité des données. Rapide Peu gourmand en ressources Problème du nombre de clé (n * (n-1))/2 et Problème de la transmission de la clé secrète via un canal sécurisé 7

8 I.1.2 Chiffrement Asymétrique : Principes Chaque personne dispose d une paire de clés : Clé privée : connue uniquement par son propriétaire Clé publique : publiée dans des annuaires publiques Le chiffrement se fait à l aide d une clé et le déchiffrement se fait à l aide de l autre clé 8

9 Chiffrement Asymétrique Clé publique du récepteur Clé privée du récepteur Texte brut Chiffrement Internet Déchiffrement Texte clair Texte en clair, {»àçè )» à»è ~#{(-è Texte En clair, Emetteur Texte chiffré Récepteur 9

10 Chiffrement Asymétrique : Exemples d Algorithmes RSA (Ron Rivest, Adi Shamir et Leonard Adelman) Diffie-Hellman Algorithmes généralement très lents (manipulation de grands nombres premiers) Problème? Paternité da la clé publique Solution : Certificats numériques 10

11 I.2.. La signature numérique La signature de clé publique par une autorité de certification permet de s assurer que la clé publique d un user1 est bien celle de user1. Cette signature est un cachet assurant que c'est bel et bien la clé de user1 et que cette dernière n'a pas été modifiée ou échangée. 11

12 I.2.1 Les fonctions de hachage à sens unique Opération qui transforme un texte d'une dimension variable en un résultat de taille inférieure et fixe appelé condensé ou empreinte. Une fonction de hachage à sens unique est une fonction f (M) facile à calculer, mais telle qu il est extrêmement difficile de déduire M de f (M). 12

13 Fonctions de hachage : Exemples MD5 : Message Digest 5. Génère un résultat de taille 128 bits SHA-1 : Secure Hash algorithm. Génère un résultat de taille 160 bits 13

14 I La signature électronique Dans tout échange d information, la fonction confidentialité et d identification doit être assurée. Systèmes assurant cette fonction : signature manuscrite numérisée, carte à puce, procédés biométriques et chiffrement de clés... Le Chiffrement est considéré comme offrant les meilleures garanties de sécurité. Une signature électronique se base sur la technique de chiffrement à clés publiques. 14

15 La signature électronique La signature électronique est une «petite quantité de données chiffrée attachée ou logiquement liée à un message.» Elle est utilisée pour garantir qu un message est authentique et intact. En cryptographie, la signature a la même signification conventionnelle. Le but est de garantir qu'un message a bien été émis par celui qui prétend l'avoir émis et que le message reçu est identique à celui émis, msg non altéré. 15

16 Signature électronique : Création Clé privée du signataire Texte clair Hashage Empreinte Cryptage Signature Électronique Processus de Création de la Signature Électronique 16

17 Signature électronique : Vérification Texte clair Signature Electronique Hashage Clé publique de l émetteur Déchiffrement Empreinte recalculée Empreinte reçue =? Si (empreinte reçue = emprunte recalculée) alors signature reçue correcte Sinon signature reçue incorrecte 17

18 Signature électronique et Signature Manuscrite Les deux signatures assurent l authentification du signataire ainsi que la non répudiation Seule la signature électronique, assure l intégrité des données 18

19 I Certificat numérique Association d'une identité (nom, prénom, adresse ) et d'une clé publique appartenant à la personne, le tout signé par la clé privée d'une autorité de certification. Autorité de certification Organisme chargé de délivrer des certificats, leur assigner une date de validité, ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé 19

20 Certificat numérique Un certificat électronique est une attestation informatique qui permet de lier de façon certaine l'identité d'une personne physique ou morale à certaines caractéristiques de cette personne (identité, capacités, qualifications professionnelles, etc.) L'infrastructure d'échange de clé publique s'appelle Infrastructure à Clé Publique ICP (Public Key Infrastructure PKI) 20

21 Infrastructure à Clé Publique ICP L'ICP constituée de plusieurs éléments organisés de façon hiérarchique afin de garantir un niveau élevé de sécurité : Infrastructure tripolaire: Autorité d'enregistrement - Vérifie l'identité/qualité des users avant que l'autorité de certification n'émette le certificat. - l Utilisateur s'adresse en premier lieu pour demander son certificat. - Détermine le niveau de confiance à accorder au certificat (classes de certificats); Autorité de certification - Chargée d'émettre les certificats numériques. - Autorité suprême dans le système hiérarchique de l ICP; Système de distribution des clés - Centralisé via un service d'annuaire où les clés publiques sont accessibles à tous. - Assurer l'effectivité de la révocation des certificats. - Utilisateurs interrogent l'annuaire pour contrôler la validité de leur certificat. 21

22 I.2.4. Fonctionnement d un certificat numérique Utilisateur A 5 7 Utilisateur B Autorité d Enregistrement 3 Listes de révocation des Certificats 2 3 Autorité de Certification 1. Demande certificat 4. Attribution de Certificat 5. Envoi du certificat & clé publique 6. Contrôle de validité certificat 7. Données déchiffrées avec clé publique

23 Certificat numérique Contenu d'un certificat numérique NS, Id_algo_sign, validité, algo_chif., val_sign, nom_titulaire_clé_pub, val_clé_pub, Cycle de vie d'un certificat Accordé pour une durée limitée; PEUT être remis en question pour plusieurs raisons : Volonté du détenteur Volonté du prestataire de service (modif. de la situation du détenteur, mesure de sécurité) 23

24 II. Aspects Juridiques Exemple de la Directive 99/93/CE du Parlement Européen et du Conseil

25 Deux objectifs essentiels : la reconnaissance juridique des signatures électroniques, et l'établissement d'un cadre juridique pour l'activité des prestataires de services de certification. Ce qui permet : Créer un cadre pour l utilisation des signatures électroniques, de façon à permettre la libre circulation transfrontalière des produits et des services à signature électronique, et à assurer une reconnaissance juridique fondamentale des signatures électroniques 25

26 II.1.. Les différents types de signature électronique Trois formes de signature électronique : 1. Signature électronique simple: sert à identifier et à authentifier des données : Nom d une personne, code PIN, 2. Signature électronique avancée : satisfait aux exigences suivantes : être liée uniquement au signataire; permettre d'identifier le signataire; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable» 26

27 3. Signature électronique qualifiée Signature électronique avancée reposant sur un certificat qualifié et créée au moyen d un dispositif sécurisé de création de signature électronique, et qui doit satisfaire aux exigences suivantes : (Annexes I, II et III de la directive européenne) Le «signataire» est défini comme «toute personne qui détient un dispositif de création de signature et qui agit soit pour son propre compte, soit pour celui d une entité ou personne physique ou morale qu elle représente» 27

28 II.2. Effets Juridiques des signatures électroniques La signature qualifiée : - répond aux exigences légales d'une signature à l'égard de données électroniques de la même manière qu'une signature manuscrite répond à ces exigences à l'égard de données manuscrites ou imprimées sur papier, et - est recevable comme preuve en justice.

29 L efficacité juridique et la recevabilité en justice ne peuvent pas être refusées à une signature électronique au seul motif que : - La signature se présente sous forme électronique ou - Elle ne repose pas sur un certificat qualifié ou - Elle ne repose pas sur un certif. qualifié délivré par un prestataire accrédité de service de certification ou - Elle n est pas crée par un dispositif sécurisé de création de signature

30 II.3. Responsabilité Le prestataire de service de certification est responsable du préjudice causé à toute personne physique/morale qui se fie raisonnablement à ce certificat pour ce qui est de Exactitude des infos contenues dans le certif. Assurance que le signataire détient toutes les données afférant à la création/vérification de signature (voir A1,A2, et A3 )

31 II.4. Aspects internationaux Tout certificat délivré à titre de certificat qualifié par un prestataire de service de certification établi dans un pays tiers est reconnu équivalent sur le plan juridique aux certificats délivrés par un prestataire de service de certification établi dans la communauté.

32 A1. Exigences concernant les certificats qualifiés Tout certificat qualifié doit comporter : - a) Mention : certificat qualifié; - b) Pays du prestataire de service de certification ; - c) Nom ou pseudonyme du signataire; - d) Possibilité d'inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est destiné; - e) Données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire; - f) Dates début/fin de validité ; - g) Code d'identité du certificat; - h) Signature électronique avancée du prestataire de service; - i) Les limites à l'utilisation du certificat, le cas échéant et - j) Les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé, le cas échéant. 32

33 A2. Exigences concernant les prestataires de service de certification délivrant des certificats qualifiés Le prestataire de service de certification doit : - a) être fiable; - b) Avoir un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat - c) Déterminer avec précision la date et l'heure d'émission/révocation d'un certificat; - d) vérifier, par des moyens appropriés et conformes au droit national, l'identité/qualités spécifiques de la personne à laquelle un certificat qualifié est délivré; - e) Avoir un personnel qualifié (signatures, sécurité) 33

34 - f) Utiliser des systèmes/produits fiables protégés contre les modifications. Assurant la sécurité - g) Prendre des mesures contre la contrefaçon des certificats et, garantir la confidentialité; - h) Disposer des ressources financières suffisantes pour endosser la responsabilité de dommages, (assurance appropriée); - i) Enregistrer les informations concernant un certificat qualifié pour fournir une preuve de la certification en justice; - j) Ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le prestataire de service de certification a fourni des services de gestion de clés; 34

35 - k) Informer un demandeur de certificat des modalités et conditions et des procédures de réclamation et de règlement de litiges avant d'établir une relation contractuelle avec lui; - l) Utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable de sorte que: - Seules les personnes autorisées puissent introduire et modifier des données, - l'information puisse être contrôlée quant à son authenticité, - les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement et - toute modification technique mettant en péril ces exigences de sécurité soit apparente pour l'opérateur. 35

36 A3. Exigences pour les dispositifs sécurisés de création de signature 1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que: les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée; l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles; les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d'autres. 2. Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature. 36

37 Conclusion Le chiffrement à clé publique permet d assurer l intégrité des messages. L'exécution de la fonction signature sur les clés privées, des fonctions de hachage sur les documents ainsi que la création de certificats, véritable association certifiée entre identité réelle et clé publique, ont permis de créer une véritable identité numérique fiable. La directive européenne 99/93/CE a introduit la sécurité juridique quant à la recevabilité générale des signatures électroniques : le besoin d une reconnaissance juridique des signatures électroniques a été satisfait par la transposition de la directive dans les ordres juridiques nationaux des états membres. Plusieurs pays hors communauté européenne se sont inspirés de la directive. (Tunisie, Algérie, ) 37

38 Merci de votre attention Mohammed Ouamrane, Laboratoire de Recherche en Informatique LARI Département d Informatique Université Mouloud Mammeri de Tizi-Ouzou 38