A quoi servent les certificats? 1
Pourquoi les certificats? Nous allons tenter de répondre à ces deux questions: A quoi ça sert? Quel est l intérêt de mettre en place une structure de gestion des certificats (IGC) dans un organisme tel que le CNRS? Quels sont les mécanismes mis en œuvre derrière le mot «certificat» 2
A quoi servent les certificats? Définitions des services de base en sécurité: L authentification L intégrité d un objet La confidentialité La non répudiation 3
A quoi servent les certificats? L authentification Obtenir l assurance de l identité d un objet: personne ou serveur Dans la vie courante la carte d identité nationale accompagnée de la signature manuelle assure ce service L intégrité d un objet Garantie qu un document n est pas modifié par une autre personne que son auteur Pour un document papier les modifications sont visibles, pour un document électronique non protégé il est impossible de le savoir La signature électronique: Mécanismes d authentification et de contrôle de l intégrité des documents électroniques 4
A quoi servent les certificats? La confidentialité: L assurance que le document ne sera pas lu par un tiers non autorisé Documents papiers sous plis cachetés Le chiffrement permet assurer la confidentialité des documents électroniques. La non répudiation: La certitude que l émetteur d un message ne puisse nier l avoir envoyé ainsi que le récepteur l avoir reçu. Le reçu signé au livreur, la lettre recommandée avec accusé de réception. Les certificats assurent cette fonction non abordée ici, car concerne essentiellement les transactions commerciales. 5
A quoi servent les certificats? Passage du document papier au document électronique Les documents utilisés sont devenus électroniques Ils circulent en clair sur les réseaux et sont stockés sans protection Comment apporter un même niveau de sécurité qu aux documents papiers? Les certificats électroniques Mécanismes de contrôle d accès Mécanismes logiciels ou matériels qui permettent d autoriser l accès à différentes ressources, une simplification possible de ces contrôles d accès Les certificats électroniques 6
A quoi servent les certificats? Diffusion des informations à caractères officiels Tous les agents CNRS possèdent une adresse électronique Pourtant, à cause du non respect des 4 règles de sécurité (authentification, Intégrité, confidentialité, et non répudiation) il est impossible de ce servir de cet outil pour la diffusion de notes officielles Confidentialité des applications de gestion Plus de confidentialité permettrait d utiliser plus efficacement l outil informatique dans des applications de gestion du personnel et financière. des applications administratives: organisation des élections, la notation des agents 7
A quoi servent les certificats? L organisation du CNRS nous prive d un Intranet 1300 Laboratoires situation géographique éclatée sur tout le territoire Connexion à l Internet par Renater Laboratoires propres mais surtout unîtés associées aux Universités ou autres organismes de recherche, sur des réseaux autre que les campus CNRS. Il est impossible de définir un Intranet au CNRS basé sur des contrôles d accès à des services CNRS à partir des numéros IP des ordinateurs ou du nom de domaine «cnrs.fr». 8
A quoi servent les certificats? Pour accéder aux ressources internes du CNRS ou de son laboratoire La solution la plus classique pour s authentifier: accès par login, mot de passe problèmes de multiplicités des mots de passe, la lourdeur de cette méthode entraîne des carences en matière de sécurité: comment se souvenir de tous ces mots de passe? Problèmes de circulation en clair sur le réseau (Internet) des mots de passe 9
A quoi servent les certificats? Des solutions sur mesure pour chaque application Il est toujours possible au moins pour la partie contrôle d accès d utiliser des logins, mot de passe, c est-à-dire des solutions sur mesure pour chaque application. Une solution globale pour l organisme CNRS L utilisation de certificats électroniques avec la mise en place d une IGC d établissement. Pas une solution miracle: limites techniques et de confiance dans les certificats mais pour expliquer les limites nous allons tout d abord expliquer ce qu est un certificat 10
Comment les certificats assurent-ils les fonctions de sécurité: authentification, intégrité et confidentialité? La confidentialité est assurée par le chiffrement des données Application de fonctions mathématiques sur le texte à chiffrer. Ces fonctions utilisent une variable «la clé de chiffrement». le texte est devenu illisible Une autre fonction mathématique, compatible avec la première et «une clé de déchiffrement» permette de déchiffrer le texte La clé de déchiffrement dépend de la clé de chiffrement L ensemble de ces fonctions est appelé «algorithme de chiffrement». 11
Étapes de la transmission d un texte confidentiel Juliette Texte en clair Roméo Texte en clair INTERNET 12
Les algorithmes de chiffrement, deux grandes familles: 1- Les Algorithmes symétriques 2- Les Algorithmes asymétriques 13
Le chiffrement symétrique: L opération s effectue avec une clé de chiffrement identique à la clé de déchiffrement (clé pré partagée). Cette clé en fonction de l algorithme utilisé à une longueur définie (DES 56b / 3DES 112b / AES 128-256b) Le problème lors de l utilisation de ce type de chiffrement c est que la clé doit être pré partagé et qu il faut donc que la personne à qui on transmet le message en dispose déjà. Un avantage par contre c est la relative simplicité des fonctions qu il utilise et qui lui confère une grande rapidité. 14
Le chiffrement asymétrique (RSA: Rivest, Shamir, Adleman): Il utilise une clé de chiffrement différente de la clé de déchiffrement l une ne peut être retrouvée à partir de l autre. Ce qui est chiffré avec l une est déchiffrable avec l autre. Dans la pratique la clé de déchiffrement est appelée clé privée (ou secrète) et la clé de chiffrement est aussi appelée clé publique. L avantage c est que l on peut publier largement notre clé publique (le plus largement possible) sans crainte. Si une personne veut m envoyer un message elle le chiffre avec ma clé publique et me le transmet. Avec ma clé privée que je suis la seule à posséder je peux déchiffrer le message L inconvénient de ce type de chiffrement/déchiffrement provient de sa lenteur (100 1000x plus lent que le chiffrement symétrique) 15
Émission d un texte chiffré par algorithme asymétrique Juliette Texte en clair Roméo Texte en clair INTERNET 16
La clé de session: Pour palier aux inconvénients des deux algorithmes, l astuce consiste à combiner les deux!! A partir d une clé de session chiffrage symétrique Le texte à expédier est chiffré par algorithme symétrique à partir d une clé de session, générée de manière aléatoire. Le chiffrement asymétrique intervient Le transport du secret (la clé de session) est fait par chiffrement asymétrique de cette clé avec la clé publique du destinataire. Le destinataire avec sa clé privée déchiffre la clé de session qui elle-même permettra de déchiffrer le texte transporte. Avantage : La rapidité, règle le problème de la transmission de la clé secrète de l algorithme symétrique. 17
Transfert d un texte chiffré avec utilisation clé de session Juliette Roméo INTERNET 18
La Signature électronique: Nous venons de voir comment assurer la fonction de confidentialité avec le mécanisme de chiffrement. La signature électronique assure les fonctions d authentification et d intégrité. La fonction de hachage C est une fonction mathématique qui à partir d un texte de n'importe quelle longueur génère un nombre de taille fixe. Elle caractérise le message de manière unique : si un bit du texte d origine est modifié le résultat de la fonction sera différent. Le résultat de cette fonction est appelé empreinte. Avant l envoi d un message, le logiciel applique une fonction de hachage au message et certifie l authenticité du message en y appliquant un algorithme asymétrique avec sa clé privée: il s agit de la signature électronique. Le logiciel du destinataire reçoit le message et déchiffre cette empreinte, puis recalcule cette empreinte et compare les 2. 19
LES CERTIFICATS AU CNRS: La signature électronique: Juliette Roméo? INTERNET 20
Mise en œuvre des certificats: Un certificat est l équivalent d une carte d identité ou d un passeport, il comprend des informations similaires: - Le nom de l autorité de certification - Le nom et le prénom de la personne - Son entreprise - Son service - Son adresse électronique - Sa clé publique - Les dates de validité du certificat - Une signature électronique La signature électronique est l empreinte des informations contenues dans le certificat chiffrée avec la clé privée de l autorité de certification. Le format reconnu est X509V3 21
Comment s assurer de l authenticité de la clé publique? Le nom de l autorité de certification Le nom et le prénom de la personne Son entreprise Son service Son adresse électronique Sa clé publique Les dates de validité du certificat Une signature électronique? 22