Les modèles de sécurisation par clé publique

publier votre clé publique pour permettre aux destinataires
des documents de l’utiliser pour vérifier votre signature. Vous pouvez la publier
dans l’annuaire de votre entreprise, pour permettre aux autres utilisateurs d’y
accéder ou bien l’envoyer directement à  des utilisateurs, qui la stockeront dans
leur ordinateur.

Pour pouvoir vérifier votre signature numérique, les récepteurs des documents
doivent pouvoir contrôler l’authenticité de votre clé publique. Sans une telle
garantie, il peut être risqué de s’assurer qu’un document signé, ainsi que la
clé publique qui l’accompagne, sont bien de l’expéditeur qui se prétend comme
tel. Un pirate peut très bien utiliser votre nom pour générer un jeu de fausses
clés, créer un document et le signer avec la fausse clé publique, puis l’envoyer
avec la fausse clé publique à  Jean. C’est pourquoi, vous et Jean devez établir
une relation d’approbation de clé publique avant d’échanger des documents.

Il existe deux modèles d’approbation de clé publique : approbation directe et
approbation tierce. Dans le premier cas, vous et Jean vous connaissez et vous
approuvez directement, et vous vous échangez des clés publiques personnellement
ou de manière sécurisée. Dans le modèle d’approbation tierce, vous et Jean pouvez
très bien ne pas vous connaître directement, mais faire tous deux confiance à 
un tiers ou un intermédiaire pour échanger vos clés.

Par exemple, si vous et Jean faite tous deux confiance à  Pierre, vous pouvez vous
approuver réciproquement. Lorsque Pierre donne votre clé publique à  Jean, ce dernier
a la certitude que la clé est réellement la vôtre. Le modèle d’approbation directe
convient aux petits groupes ou aux entreprises dans lesquelles les gens se connaissent
et peuvent se contacter directement.
Le modèle d’approbation tierce convient mieux aux grandes entreprises et aux relations
interentreprises dans lesquelles les correspondants ne se connaissent pas forcément
ou ne peuvent pas se contacter directement.