Autorité de certification

Un article de Wikipédia, l'encyclopédie libre.

En cryptographie, l'Autorité de certification (AC ou CA) a pour mission, après vérification de l'identité du demandeur du certificat par une autorité d'enregistrement, de signer, émettre et maintenir

  • les certificats (CSR : Certificate Signing Request)
  • les listes de révocation (CRL : Certificate Revocation List)

L'autorité de certification délègue l'hébergement de la clé privée du certificat à une opérateur de certification ou autorité de dépôt. L'AC contrôle et audite l'opérateur de certification sur la base des procédures établies dans la Déclaration des Pratiques de Certification. L'AC est elle même accréditée par une autorité de gestion de la politique qui lui permet d'utiliser un certificat renforcé utilisé par l'OC pour signer la clé publique selon le principe de la signature numérique. Sur le plan technique, cette infrastructure de gestion des clés permet ainsi d'assurer que

  • les données transmises n'ont pas été modifiées durant le transfert : intégrité par hachage des données
  • les données proviennent bien de l'émetteur connu : utilisation de clés et répudiation

Ces données peuvent être un numéro de carte bancaire, des informations personnelles ou identifiant caractéristique d'un ordinateur. L'utilisation de certificat se fait en mode non sécurisé (http) et est la première étape utilisée entre un client et un serveur avant l'ouverture d'une connexion en mode sécurisé (https). SSL est le protocole qui permet de chiffrer les données sur http lors d'échange de données sur le réseau. La clé de chiffrement-déchiffrement est identique lors d'algorithmes symétriques dits à clef secrète (connue de l'émetteur et du destinataire) et différentes lors d'algorithmes asymétriques dits à clé publique (publique pour tout le monde, privée personnelle gardée secrètes). Les clés en jeu sont celles de l'émetteur et du destinataire géré par le navigateur (clé de chiffrement), la clé temporaire créée par l'émetteur à partir de la clé publique du destinataire, et les clés du certificat de l'autorité de certification (clé de signatures). La clé privée ne doit pas être stockée de façon textuelle sur l'ordinateur : on utilise un conteneur de clés. Les données chiffrées par une clé publique ne peuvent être lues que par une clé privée associée, et inversement.

[modifier] Cas d'étude

Les certificats hébergés sur un serveur peuvent également être installés sur les clients pour une sécurité absolue : télédéclaration des impôts ou DRM. Le certificat pour la déclaration des impôts est géré côté "serveur" par 700 serveurs (oracle) et côté client par une applet java. L'architecture accepte le stockage côté client de plusieurs certificats selon le statut des personnes au sein du même lieu d'habitation. Celui-ci est stocké dans un espace réservé prédéfini du navigateur et n'est valide que trois ans. L'accès à ce certificat peut être protégé par un mot de passe. Si le contribuable n'a aucune modification à faire; il peut utiliser la déclaration par téléphone mobile.

[modifier] Liste des Autorités de certification

Le Journal officiel de la République française n°41 du 17 février 2007 définit les bases du RGS (Référentiel Général de Sécurité) et dote l'état français d'une autorité de certification suite au déboire de la DSI (direction du système d'information) de l'Unedic dont le certificat n'était pas reconnu nativement par les navigateurs internet. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC. Thawte, Certigna, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust,

[modifier] Liens externes