par Carol Woodbury - Mis en ligne le 11/06/2002
Depuis 1976, année où Whitfield
Diffie et Martin Hellman les ont inventés,
les certificats numériques ont été
considérés comme la panacée capable
de résoudre l'épineux problème de
l'authentification des utilisateurs. Plus sûrs que le couple ID/mot de passe utilisateur
classique, les certificats numériques
devaient nous débarrasser à jamais
de ces multiples mots de passe
impossibles à mémoriser ...
Force est de
constater que l'usage généralisé des certificats numériques ne s'est pas encore
imposé, pour plusieurs raisons :
casse-tête administratif, dépenses potentielles,
et manque de standards généralement
acceptés.
Dans cet article, j'examine ces obstacles plus en détail. Ensuite,
j'explore plusieurs modes actuels
d'utilisation concrète des certificats
numériques. Mais voyons d'abord rapidement
ce qu'est un certificat numérique.
Les certificats numériques sont un
moyen électronique de vérification de
l’identité d’une quelconque entité –
utilisateur, serveur (comme Telnet ou
FTP), entreprise, ou division de celleci.
L’entité revendique une certaine
identité – « Je suis Jean Martin » – et le
certificat numérique le prouve. Un certificat
numérique et un passeport ont
en commun :
• d’identifier une entité particulière
• d’être créés par une entité émettrice
bien précise
• d’être émis, ou délivrés, dès que le
postulant prouve son identité à l’entité
émettrice
• d’avoir une date d’expiration
La différence se situe dans la PKI
(Public Key Infrastructure) propre aux
certificats numériques. PKI est un
mode de cryptage qui utilise une paire
de clés constituée de deux clés
uniques, dites clé publique et privée.
On utilise l’une des clés de la paire
pour crypter un message, puis l’autre
pour le décrypter.
La puissance du cryptage par PKI
tient à la non utilisation de la même clé
pour crypter et décrypter un message.
Par conséquent, deux personnes peuvent
communiquer en toute sécurité sans échanger au préalable une clé secrète.
Chaque interlocuteur crypte les
messages pour l’autre en utilisant la clé
publique du destinataire, mais seul le
destinataire visé possède la clé privée
capable de dévoiler le message.
La création d’un certificat numérique
s’accompagne de la génération
d’une paire de clés publique/privée. La
clé publique de la paire fait partie du
certificat numérique lui-même.
Comme elle n’a rien de particulièrement
confidentiel ou lié à la sécurité,
elle circule non cryptée aux côtés du
certificat numérique, partout où celuici
est envoyé ou stocké. En revanche,
la clé privée est stockée ailleurs – de
préférence dans un endroit sûr et protégé
où personne, sauf le propriétaire
du certificat, ne pourra l’utiliser.
Les certificats numériques doivent être émis par une autorité certificatrice
(CA, Certificate Authority). La CA se
comporte comme un tiers de
confiance qui atteste, ou se porte garante,
de l’identité d’une personne détenant
un certificat numérique, de la
même manière qu’un gouvernement
se porte garant de l’identité des citoyens
détenant des passeports qu’il
délivre.
Vous pouvez choisir de deux manières
la CA pour vos certificats numériques
: en générant vos propres certificats
numériques à l’aide des outils CA
livrés avec l’iSeries (votre CA local), ou
bien en les achetant à une CA ayant pignon
sur rue comme VeriSign ou
Entrust.
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.
