Qu'est-ce que c'est ?

La cryptographie est une science permettant de convertir des informations "en clair" en informations codées, c'est à dire non compréhensibles, puis, à partir de ces informations codées, de restituer les informations originales.

La cryptographie symétrique et la cryptographie asymétrique

La cryptographie symétrique

On parle de cryptographie symétrique lorsque plusieurs personnes utilisent une même clé pour crypter et décrypter des messages.
Le principal inconvénient de ce système est le partage de cette clé unique entre les différentes personnes : Comment envoyer à tout le monde et de façon sécurisée cette clé unique qui permet de crypter et décrypter ?

La cryptographie asymétrique

Dans ce type de cryptographie, chaque utilisateur comporte deux clés :

• Une clé privée qui doit être gardée secrète.
• Une clé publique qui est disponible pour tous les autres utilisateurs.

Ces deux clés sont mathématiquement liées.
Dans la pratique, la clé publique sert à crypter les messages, et la clé privée sert à les décrypter. Une fois le message crypté, seul le destinataire est en mesure de le décrypter.
L'utilitaire PGP (Prety Good Privacy) fonctionne de cette manière.

L'intégrité des informations

Une bonne cryptographie doit pouvoir offrir une garantie de l'intégrité des informations. En effet, il ne doit pas être possible de pouvoir modifier des informations cryptées de façon totalement transparente. Un processus de vérification de l'intégrité du message (crypté et en clair) doit être mis en place. Ce processus est réalisé par une fonction de hachage. Le résultat d'un hachage (hash en anglais) est une sorte de condensé du message original.

L'authentification des correspondants

Un aspect à ne pas négliger lorsque l'on désire faire des transactions sécurisées est l'authentification des correspondants : La personne à qui j'envoie un message crypté est-elle bien celle à laquelle je pense ? La personne qui m'envoie un message crypté est-elle bien celle à qui je pense ?
Le principe de l'authentification met en oeuvre un prouveur (celui qui prétend être, qui s'est identifié) et un vérifieur (le fournisseur du service) : le vérifieur soumet un challenge au prouveur que ce dernier doit réaliser. Cela suppose qu'au préalable prouveur et vérifieur se sont entendus sur le partage d'un secret.

La signature digitale

C'est un code électronique unique qui permet de signer un message codé. Cette signature permet d'identifier l'origine du message : elle a la même fonction qu'une signature "à la main". C'est la clé privée qui permet de signer, et la clé publique qui permet de vérifier cette signature.

Le certificat digital

C'est un document électronique qui fait correspondre une clé avec une entité (personne, entreprise, ordinateur...). Cette correspondance est validée par une autorité de certification (Certificate Authority : CA). Ces certificats sont utilisés pour identifier une entité. Ce certificat est normalisé (norme X.509v3). Concrètement, les données utilisateur (identité du propriétaire de la clé, la clé publique et l'usage de la clé) sont elles même signées par l'autorité de certification, en y incluant certaines données propres (période de validité du certificat, l'algorithme de cryptage utilisé, numéro de série, etc...).

L'autorité d'enregistrement

C'est un organisme qui génère les demandes de certification d'un utilisateur. L'enregistrement de cet utilisateur n'est validé qu'après vérification des informations concernant cet utilisateur. La demande est ensuite envoyée à l'autorité de certification.

L'autorité de certification

C'est un organisme qui génère les certificats des différents utilisateurs. C'est un passage obligé pour la mise en place d'un système sécurisé (e-commerce...).

PKI

PKI signifie "Public Key Infrastructure", c'est à dire "Infrastructure de Gestion de Clés" (IGC). C'est un ensemble d'outils (logiciels et matériels) qui gèrent les clés cryptographiques et les certificats. L'IGC permet les transactions sécurisées et les échanges d'informations entre deux parties en garantissant le secret, l'intégrité et l'authentification.

On y retrouve :

• La gestion des clés (création, distribution, stockage...).
• Association de la clé publique et de l'entité (certificat).
• Recouvrement de clé.

SPKI

SPKI signifie "Simple Public Key Infrastructure", c'est à dire "Infrastructure à Clés Publiques Simplifiée" (ICPS). Cette infrastructure permet une utilisation plus directe de l'autorisation. En effet, sous IGC, une autorisation se déroule de la manière suivante :

• De la clé, on obtient une identification via un certificat au format X.509.
• De cette identité, on obtient, ou non, l'autorisation.

Sous ICPS, l'autorisation est donnée, ou non, à partir de la clé elle même.

L'aspect légal

En France, la loi n'impose pas de limite de taille pour les clés cryptographiques.
Cependant, la législation en matière de cryptographie exige que les clés soient déclarées auprès de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) si elles sont utilisées pour protéger des données sensibles. De plus, l'utilisation de certains protocoles de sécurité est soumise à l'approbation de l'ANSSI.

En revanche, dans le cas d'une demande des autorités judiciaires, vous devez être en mesure de fournir les clefs ayant servi au chiffrement

Extrait de l'article 434-15-2 du code pénal :

Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.

Tags

CRYPTOGRAPHIE

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...