Autorité de certification

En cryptographie, l'Autorité de certification (AC ou CA) a pour mission, après vérification de l'identité du demandeur du certificat par une autorité d'enregistrement, de signer, émettre et maintenir

L'autorité de certification (AC) opère elle même ou peut déléguer l'hébergement de la clé privée du certificat à un opérateur de certification (OC) ou autorité de dépôt. L'AC contrôle et audite l'opérateur de certification sur la base des procédures établies dans la Déclaration des Pratiques de Certification. L'AC est elle même accréditée par une autorité de gestion de la politique qui lui permet d'utiliser un certificat renforcé utilisé par l'OC pour signer la clé publique selon le principe de la signature numérique. Sur le plan technique, cette infrastructure de gestion des clés permet ainsi d'assurer que

  • les données transmises n'ont pas été modifiées durant le transfert : intégrité par hachage des données
  • les données proviennent bien de l'émetteur connu : utilisation de clés et répudiation

Ces données peuvent être un numéro de carte bancaire, des informations personnelles ou identifiant caractéristique d'un ordinateur. L'utilisation de certificat se fait en mode non sécurisé (http) et est la première étape utilisée entre un client et un serveur avant l'ouverture d'une connexion en mode sécurisé (https). SSL est le protocole qui permet de chiffrer les données sur http lors d'échange de données sur le réseau. La clé de chiffrement-déchiffrement est identique lors d'algorithmes symétriques dits à clef secrète (connue de l'émetteur et du destinataire) et différentes lors d'algorithmes asymétriques dits à clé publique (publique pour tout le monde, privée personnelle gardée secrètes). Les clés en jeu sont celles de l'émetteur et du destinataire géré par le navigateur (clé de chiffrement), la clé temporaire créée par l'émetteur à partir de la clé publique du destinataire, et les clés du certificat de l'autorité de certification (clé de signatures). La clé privée ne doit pas être stockée de façon textuelle sur l'ordinateur : on utilise un conteneur de clés. Les données chiffrées par une clé publique ne peuvent être lues que par une clé privée associée, et inversement.

Sommaire

Exemple

La cryptographie à clé publique peut être utilisée pour crypter des données échangées par deux parties. C’est typiquement ce qui se produit quand un utilisateur se connecte à un site qui utilise le protocole HTTP Secure. Dans cet exemple, supposons que l’utilisateur se connecte au site de sa banque, www.banque.exemple, pour effectuer des opérations sur ses comptes.

  • Quand le navigateur de l’utilisateur ouvre le site www.banque.exemple, il reçoit une clé publique en même temps que les données destinées à l’affichage.
  • Quand l’utilisateur saisit des informations sur le site de sa banque et qu’il envoie sa requête (qu’il renvoie les informations à la banque), les données saisies par l’utilisateur seront cryptées par son navigateur en utilisant la clé publique fournie par www.banque.exemple. La clé qui permet de décrypter ces informations est appelée clé privée, et seule la banque la connait. C’est pourquoi un tiers qui parviendrait à se procurer les données cryptées envoyées par l’utilisateur à www.banque.exemple ne pourrait pas savoir ce que l’utilisateur a saisi, car seule la banque possède la clé privée qui permet de décrypter les données qu’il aurait interceptées.

Ce mécanisme n’est sécurisé que si l’utilisateur peut avoir la certitude que c’est bien le site de sa banque qu’il voit dans son navigateur. Si l’utilisateur entre l’adresse www.banque.exemple, mais que ses communications sont interceptées et modifiées et qu’une copie falsifiée du site web (qui se fait passer pour celui de la banque) envoie ses informations au navigateur de l’utilisateur, le faux site peut envoyer sa propre clé publique à l’utilisateur. L’utilisateur remplira le formulaire avec ses données personnelles et enverra la page, que son navigateur cryptera avec la clé publique du faux site. Le site falsifié aura alors accès aux informations de l’utilisateur, car il possède la clé privée correspondant à sa propre clé publique (qui n’est pas celle de la vraie banque).

Une autorité de certification est une organisation qui recense des clés publiques associées et leurs propriétaires légitimes, et lors d’une communication, les deux parties (dans l’exemple, l’utilisateur et la banque) font confiance à cette organisation. Quand le navigateur de l’utilisateur reçoit la clé publique de www.banque.exemple, il peut contacter l’autorité de certification pour lui demander si la clé publique appartient effectivement à www.banque.exemple.

Étant donné que www.banque.exemple utilise une clé publique certifiée par l’autorité de certification, une imitation frauduleuse de www.banque.exemple ne peut pas envoyer sa propre clé (si elle le fait, le navigateur verra qu’elle est différente de celle enregistrée par l’autorité de certification). Et comme le faux site www.banque.exemple ne connait pas la clé privée correspondant à la vraie clé publique, il ne peut pas décrypter les données envoyées par l’utilisateur.

Techniques plus sécurisées

Les certificats hébergés sur un serveur peuvent également être installés sur les clients pour une sécurité théoriquement absolue[réf. nécessaire] : c'est le principe des DRM et du système de télédéclaration des impôts en France (dont le certificat est géré côté client par une applet java).

Exemples d'Autorités de certification

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Autorité de certification de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • Autorite de certification — Autorité de certification En cryptographie, l Autorité de certification (AC ou CA) a pour mission, après vérification de l identité du demandeur du certificat par une autorité d enregistrement, de signer, émettre et maintenir les certificats… …   Wikipédia en Français

  • Autorité De Certification — En cryptographie, l Autorité de certification (AC ou CA) a pour mission, après vérification de l identité du demandeur du certificat par une autorité d enregistrement, de signer, émettre et maintenir les certificats (CSR : Certificate… …   Wikipédia en Français

  • Autorité de certification des temps — Une Autorité de certification des temps (en anglais TimeStamping Authority ou TSA), est un tiers de confiance pour la fourniture d un service d Horodatage certifié. Généralement elle est gérée par un opérateur assurant la fonction d Autorité de… …   Wikipédia en Français

  • autorité de certification d'un programme opérationnel — Lietuvos žuvininkystės sektoriaus 2007–2013 metų veiksmų programos tvirtinančioji institucija statusas Aprobuotas sritis žuvininkystė ir žvejyba apibrėžtis Institucija, atsakinga už išlaidų ataskaitų ir paramos mokėjimo paraiškų tvirtinimą ir… …   Lithuanian dictionary (lietuvių žodynas)

  • Autorités de certification — Autorité de certification En cryptographie, l Autorité de certification (AC ou CA) a pour mission, après vérification de l identité du demandeur du certificat par une autorité d enregistrement, de signer, émettre et maintenir les certificats… …   Wikipédia en Français

  • Politique de certification — La Politique de Certification est un document important dans le cadre de la mise en œuvre des applications mettant en jeu une signature électronique. Couramment abrégée par le sigle PC la Politique de certification est l ensemble de règles,… …   Wikipédia en Français

  • Haute Autorite de sante — Haute Autorité de santé La Haute Autorité de santé (HAS) reprend, depuis 2005, les missions de l’Agence nationale d accréditation et d évaluation en santé (ANAES), celles de la Commission de la transparence (instance scientifique qui évalue les… …   Wikipédia en Français

  • Haute Autorité De Santé — La Haute Autorité de santé (HAS) reprend, depuis 2005, les missions de l’Agence nationale d accréditation et d évaluation en santé (ANAES), celles de la Commission de la transparence (instance scientifique qui évalue les médicaments ayant obtenu… …   Wikipédia en Français

  • Haute Autorité de santé — La Haute Autorité de santé (HAS) reprend, depuis 2005, les missions de l’Agence nationale d accréditation et d évaluation en santé (ANAES), celles de la Commission de la transparence (instance scientifique qui évalue les médicaments ayant obtenu… …   Wikipédia en Français

  • Office public de qualification et de certification du bâtiment — QUALIBAT Qualibat est une association (régie par la loi du 1er juillet 1901) qui a pour mission d’apporter aux donneurs d’ordre et maîtres d’ouvrage, qu’ils soient privés ou publics, et aux prescripteurs, des éléments d’appréciation sur les… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”