Définitions et principes de baseInfrastructure à clés publiques (ICP)
L'ICP est un système permettant la gestion de
clés de chiffrement et la délivrance de
certificats numériques, tout en assurant la sécurité des échanges d'information et des transactions financières électroniques effectuées par l'intermédiaire d'un réseau informatique tel Internet.
Cette solution découle de la Loi concernant le cadre juridique des technologies de l'information
et vise la reconnaissance d'une valeur juridique à la signature numérique, par la mise en place de processus, procédures et technologies assurant la sécurité de l'information :
- confirmation de l'identité des personnes agissant dans un environnement électronique;
- assurance de l'intégrité des documents transmis et des échanges électroniques;
- préservation de la confidentialité des renseignements échangés ou conservés sur support informatique;
- établissement d'un lien clair entre une personne et un document technologique ou entre une personne et une action.
L'ICPG est l'un des systèmes mis en place pour sécuriser les échanges de l'administration publique québécoise.
|
|
| Certificat
De façon pratique, un certificat est un document électronique dont l'objet est d'établir un lien entre une personne et une paire de clés asymétriques. Le certificat contient ainsi différentes informations relatives à l'identité d'un signataire, dont principalement la
clé publique de celui-ci. Il est réalisé et signé par l'autorité de certification à l'aide de la cryptographie asymétrique et il est, par le fait même, protégé contre les altérations. La validité d'un certificat peut être vérifiée en calculant de nouveau l'empreinte du certificat et en vérifiant la similitude du résultat obtenu avec l'empreinte signée par l'autorité de certification apparaissant au certificat. Cette personne pourrait également vérifier la validité de la clé publique de l'autorité de certification.
La notion de certificat visée par la loi est, quant à elle, très large. C'est un document qui sert à établir, à confirmer, un ou plusieurs faits. À titre d'exemple, voici les faits pouvant être attestés par certificat :
- l'identité d'une personne, l'identification d'une société, d'une association ou de l'État;
- l'exactitude d'un identifiant d'un document ou d'un autre objet;
- l'existence de certains attributs d'une personne, d'un document ou d'un autre objet;
- l'établissement d'un lien entre une personne, un document ou un objet et un dispositif d'identification ou de localisation logique ou tangible.
| Haut |
|
| Haut | |
|
| |
Clé
La clé de chiffrement est une suite de symboles alphanumériques qui permet de chiffrer ou de déchiffrer un message. Les clés de chiffrement peuvent être de différentes tailles, selon le niveau de protection cherché. La taille des clés est exprimée en bits. Ainsi, on dira qu'une clé a une longueur de 128 bits, l'équivalent de 16 caractères alphanumériques.
|
|
| Clé publiqueDans les systèmes cryptographiques asymétriques, ou à clé publique, chaque utilisateur possède au moins une paire de clés. L'une de ces clés est publique, l'autre privée. Ces clés sont complémentaires, ce qui est chiffré avec l'une peut être déchiffré avec l'autre et vice-versa.
La clé publique est rendue largement disponible, notamment par des services de répertoire qui l'associe à son détenteur par le biais de certificat. Lorsqu'elle est utilisée au chiffrement, la clé publique sert à assurer la confidentialité. En effet, seul le détenteur de la clé privée correspondante pourra déchiffrer le document ainsi chiffré. La clé publique ne peut cependant constituer une forme de signature. Étant largement distribuée et connue, tout un chacun peut l'utiliser pour le chiffrage et la signature. | Haut |
|
| Haut | |
|
| |
Clé privéeDans les systèmes cryptographiques asymétriques, ou à clé publique, chaque utilisateur possède au moins une paire de clés. L'une de ces clés est publique, l'autre privée. Ces clés sont complémentaires, ce qui est chiffré avec l'une peut être déchiffré avec l'autre et vice-versa.
À titre d'exemple, pour un certificat d'individu, la clé privée est secrète. Seule la personne associée à la paire de clés doit y avoir accès. Lorsqu'elle est utilisée au chiffrement, elle sert à sceller le message et à le signer, sans toutefois assurer la confidentialité. En effet, la
clé publique étant en principe connue, n'importe qui peut prendre connaissance du message en le déchiffrant à l'aide de cette clé publique. Autrement, elle est utilisée au déchiffrement des documents ayant été chiffrés à l'aide de la clé publique du destinataire.
|
|
| Cryptographie asymétrique
La cryptographie est l'art d'assurer la sécurité des messages. De façon plus précise, elle a pour vocation d'assurer la confidentialité des messages, mais aussi leur authenticité, leur intégrité et leur non-répudiation :
- La confidentialité est assurée par le chiffrement du contenu;
- L'authentification a pour objet de permettre au récipiendaire d'un document d'identifier l'expéditeur sans qu'un tiers ait pu s'y substituer;
- L'intégrité réfère à la capacité de s'assurer que le contenu d'un document n'a pu être altéré;
- Enfin, la non-répudiation assure que l'expéditeur ne puisse nier être l'auteur d'une communication.
La cryptographie moderne s'appuie sur l'emploi d'algorithmes connus et de
clés. Les algorithmes à clé secrète ou symétriques utilisent la même clé pour le chiffrage et le déchiffrage des messages.
Les algorithmes asymétriques utilisent, eux, une paire de clés complémentaires. Ce qui est chiffré avec l'une ne peut être déchiffré qu'avec l'autre et vice-versa.
En général, on utilise la cryptographie asymétrique dans le cadre d'une
ICP. Dans un tel système, l'usager rend publique l'une des deux clés, que l'on dénomme clé publique, tout en gardant confidentielle l'autre clé, la clé privée.
Dans le contexte d'Internet, la cryptographie permet d'assurer la sécurité des transactions commerciales ou bancaires ainsi que la confidentialité des messages transmis, face aux possibilités d'interceptions sur le réseau.
| Haut |
|
| Haut | |
|
| |
Signature numériqueLa signature numérique réfère généralement à une suite d'opérations mathématiques sur un document électronique afin de permettre à une personne d'assurer à la fois l'intégrité et l'authenticité d'un document.
Le mode de signature numérique le mieux connu s'appuie sur la cryptographie asymétrique. Le logiciel prépare un résumé mathématique du document (l'empreinte) à l'aide d'une fonction mathématique à sens unique, la fonction de hachage. Ce résumé mathématique est par la suite chiffré à l'aide de la
clé privée du signataire. Le résultat est ensuite apposé au message. Cette technique permet au destinataire de déchiffrer la signature à l'aide de la
clé publique du signataire reliée à lui par un certificat accessible par un service de répertoire. Il peut vérifier si la valeur obtenue correspond à celle qu'il obtient lui-même en appliquant la même fonction de hachage et en comparant les empreintes. Ainsi, techniquement, le récipiendaire peut-il s'assurer de la provenance et de l'intégrité des données.
|
|
| Mécanisme d'échangeLe schéma qui suit illustre les étapes du transfert d'un courriel sécurisé, quand une ICP est utilisée. - (1) L'expéditeur communique avec l'ICPG pour valider son certificat de signature.
- (2) L'expéditeur requiert auprès de l'ICPG le ou les certificats de chiffrement du destinataire.
- (3) L'expéditeur signe et chiffre le fichier.
- (4) L'expéditeur envoie le fichier au destinataire.
- (5) Le destinataire déchiffre le fichier.
- (6) Le destinataire vérifie la validité du certificat de l'expéditeur en obtenant la LCR auprès du Service de certification.
- (7) Le destinataire vérifie l'intégrité et l'intégralité du fichier reçu.
| Haut |
|
| Haut | |
|
| |
Secret partagé
Le secret partagé est un mot de passe choisi par l'abonné et qui lui servira exclusivement à s'identifier auprès du Service de certification lors des communications téléphoniques. Dès le premier contact téléphonique avec le Service de certification, le demandeur devra changer ce mot de passe. Ce dernier lui servira tout au long du cycle de vie du certificat. L'oubli de ce secret partagé obligera l'abonné à reprendre le processus de vérification de son identité.
Il est recommandé que le secret comporte cinq caractères alphanumériques ou plus et qu'il soit facile à mémoriser pour l'abonné, mais difficile à connaître par autrui.
|
|
| | Haut |
|
| |
|
| |