Vous avez dit cryptographie ? (2ème partie)
Par dhalsim le mercredi, novembre 21 2007, 19:54 - philosophie - Lien permanent
Vous avez vu (ou pas) dans le billet précédent l'intérêt du chiffrement pour vos échanges, nous allons aborder maintenant un autre aspect de la cryptographie, la signature.
Une signature SVP
Mais pourquoi diable voudrait-on signer ses emails ?
Commençons par répondre à la question suivante : Pourquoi signe-t-on nos courriers et autres paperasses ? Tout simplement pour authentifier l'auteur du message. Et bien avec un email c'est exactement là même chose, nous devrions tous signer les emails que nous envoyons.
L'intérêt
Plusieurs idées me viennent en tête, voici une petite liste non exhaustive :
- diminution (voir suppression) du nombre de courriers indésirables que tout le monde reçoit dans ces boites aux lettres électroniques.
- la confiance supplémentaire accordé à l'auteur du message.
En ce qui concerne ce second point, dites-vous que n'importe qui peut maintenant avec peu de connaissance envoyer un mail à n'importe qui en falsifiant l'adresse d'émetteur, ainsi les quelques lignes de PHP suivantes peuvent envoyer n'importe quoi à n'importe qui en prétendant venir du service-client Orange (par exemple).
$to = 'toto@free.fr';
$from = 'service-client@orange.fr';
$sujet = 'Votre facture';
$message = 'Un message frauduleux';mail ($to, $sujet, $message, 'From:'.$from);
Et encore il existe des logiciels qui ne vous demande aucune connaissance informatique pour réaliser cette opération.
La méthode
Pour garantir l'authenticité d'un message, les conditions suivantes doivent être réunies :
- Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine.
- Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un d'autre ne peut se faire passer pour un autre.
- Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document.
- Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier.
- Irrévocable : La personne qui a signé ne peut le nier.
Pour créer une signature permettant de garantir ces conditions, nous allons utiliser la méthode de chiffrement présenté dans le billet précédent.
Concrètement
Puisque nous ne faisons pas du chiffrement mais bien de l'authentification, nous n'allons pas chiffrer l'intégralité du message mais une empreinte de celui-ci. Pour faire simple nous calculons l'empreinte grâce à une fonction de hachage, la qualité de la signature réside alors dans la choix de cette fonction. En effet ,il faut qu'étant donné un message et son empreinte, il soit très difficile de fabriquer un message ayant une empreinte (et donc une signature) égale.
Evidement tout ceci n'est pas effectué par l'utilisateur, la plupart des clients de messagerie possède des extensions qui prenne en charge la signature et/ou le chiffrage automatique des mails envoyés.
Accorder sa confiance
J'ai commencé à écrire ici comment gérer son trousseau de clé mais je me rend compte que le sujet est assez vaste, j'en parlerais donc dans un autre billet.