Introduction aux certificats électroniques

Ce document fait un bref résumé des mécanismes utilisés. Pour plus de renseignements, vous pouvez lire le document suivant :

Certificats (électroniques) : Pourquoi ? Comment ? (nov. 00)  par Jean Luc Archimbaud : http://www.urec.cnrs.fr/securite/articles/certificats.kezako.pdf

Une carte d'identité électronique

Des outils comme la messagerie électronique se sont considérablement développés en une décennie. Pourtant, dans une utilisation conventionnelle, nous n'avons pas la garantie que les messages que nous recevons proviennent bien de l'émetteur indiqué. En effet, il est très facile de modifier l'adresse de l'émetteur et ainsi, fabriquer de faux messages électroniques, pour tromper les destinataires de ces messages. Pour cette raison, dans de nombreux organismes, on continue, même en interne, à utiliser des documents papiers signés manuellement pour la transmission de certains  actes.

Parallèlement, les services en ligne se sont eux aussi multipliés de façon vertigineuse avec l'explosion du "web". On souhaiterait pouvoir réserver certains de ces services à une population bien définie, comme les agents CNRS, les membres d'un laboratoire ou bien individuellement, telle ou telle personne. Les solutions de ce type s'appuient en général  sur des identificateurs et des mots de passe. Au CNRS, certaines fonctions nécessitent la consultation d'une multitude de ces services authentifiés par mot de passe, si bien qu'il n'est plus humainement possible de se souvenir de tous ces codes d'accès.

Nous observons donc un réel besoin d'une solution qui permettrait à un utilisateur de prouver son identité soit à ses correspondants, soit aux serveurs WWW qu'il consulte.

Cette solution existe : elle repose sur une ressource qui s'appelle un certificat électronique (ou certificat d'authentification) et qui est confiée à chaque utilisateur. Il s'agit en fait de la version électronique de la carte d'identité. Pour une personne, le certificat contient :

  • Le nom de l’autorité (de certification) qui a créé le certificat
  • Le nom et le prénom de la personne
  • Son entreprise (CNRS par exemple)
  • Son service (au CNRS, le nom du laboratoire ou le code labintel)
  • Son adresse électronique
  • Sa clef publique
  • Les dates de validité du certificat
  • Des informations optionnelles
  • Une signature électronique

Cette signature électronique est calculée sur les informations contenues dans le certificat. La signature est l’empreinte de ces informations chiffrée avec la clef privée de l’autorité de certification qui a délivré ce certificat.

Chaque certificat est émis par une autorité de certification, de la même façon qu'une carte d'identité classique est émise directement ou indirectement par une préfecture.

Chaque utilisateur et chaque serveur WWW disposent de moyens automatiques pour vérifier que les certificats qu'on lui présente sont valides. Nous verrons dans la suite comment mettre en ouvre ces mécanismes sans toutefois rentrer dans le détail de leur fonctionnement.

La signature électronique

La loi n° 2000-230 du 13 mars 2000 a adapté la législation française du droit de la preuve aux technologies de l'information. Ainsi, le droit français reconnaît une signature électronique comme un "procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache". En d'autres termes, si le document signé électroniquement est modifié, alors, la signature n'est plus valable. On garantie donc l'intégrité du message et son origine.

Les figures ci-dessous montrent un document original signé électroniquement et, l'effet d'une modification de ce document.

L'icône "Signé" indique dans Netscape Messenger que le message a été signé électroniquement. En cliquant sur cette icône, on obtient les informations contenues dans le certificat de l'émetteur.

Imaginons que le destinataire de ce message ait eu l'indélicatesse de modifier dans la dernière ligne le "v" de "votre" par un "n". La signature devient invalide :

Les Autorités de Certification

De même que des cartes d'identité sont émises par des autorités compétentes, par exemple les préfectures, les certificats électronique sont émis par des entités appelées autorités de certification (AC). Par décision publiée au Bulletin Officiel, le CNRS a créé une autorité de  certification. Elle est gérée par la DSI (Directions des Systèmes d'Informations).

En pratique, n'importe qui peut décider de créer une autorité de certification et émettre des certificats, même au nom de personnes ou d'organismes tiers. Les utilisateurs auront donc à indiquer d'une manière ou d'une autre la liste des autorités de certification dans lesquels ils ont confiance.

Cette liste est configurée dans les outils de navigation tels que Netscape, Mozilla ou Inteernet Explorer pour chaque utilisateur.
Dans Netscape, on peut consulter cette liste dans le menu :

Sécurité
  Signataires


Dans Internet Explorer, on accède à cette liste par le menu

Outils
  Options Internet
    Contenu
      Certificats
        Autorités principale de confiance

Par défaut, on y trouvera un certain nombre d'autorités de certifications qui sont reconnues internationalement comme digne de confiance. A l'heure actuelle, les autorités du CNRS ne sont pas dans cette liste, il faut donc les rajouter manuellement en suivant la procédure décrite dans les chapitres suivant :

IGC ou PKI ?

Une IGC (Infrastructure de gestion de clés) est aussi appelée PKI (Public Key Infrastructure) ou ICP (Infrastructures à Clés Publiques).

C'est un ensemble d'éléments issus des technologies de l'information qui concourt à la sécurisation de bi-clefs (couple clef privée-clef publique) en associant et gérant des certificats liés à la clef publique. Les fonctionnalités principales des IGC en ce qui concerne la gestion des certificats de clefs publiques sont :

  • enregistrement de demande et vérifications des critères d'attribution
  • création des certificats électroniques.
  • diffusion des certificats
  • gestion des listes de révocation
  • archivage des certificats
  • délégation de pouvoir à d'autres entités

Une IGC peut mettre en place plusieurs autorités de certification. C'est le cas pour l'IGC du CNRS.

Politique de certification

La politique de certification de l'autorité de certification du CNRS est disponible à l'adresse ci-dessous (format PDF) : https://igc.services.cnrs.fr/Doc/PCs/PC.CNRS.pdf

La politique de certification est le document qui décrit les modes de fonctionnement de l'infrastructure : à qui sont délivrés les certificats, comment, avec quelle organisation et dans quelle but.

Actuellement le CNRS ne délivre que des certificats assurant la signature électronique et la confidentialité des transmissions.

Il ne délivre pas de certificats de chiffrement de fichiers ou de disque dur.

Utiliser des certificats

Lorsqu'on accède à des pages WWW dont l'accès est contrôlé par des certificats (utilisation de https au lieu de http dans l'URL), l'échange de certificat entre votre navigateur et le serveur se fait de façon presque totalement transparente. Notez que toute la session entre votre navigateur et le serveur est chiffrée, si bien qu'on peut transmettre par ce biais des informations très confidentielles.

En ce qui concerne la messagerie électronique, le certificat peut être utilisé :

  1. Soit pour signer électroniquement des messages contenant ou non des pièces jointes.
  2. Soit pour chiffrer des messages. Vous devrez alors disposer du certificat de votre correspondant. Le certificat de ce dernier est automatiquement installé dans Netscape Messenger ou Outlook Express s'il vous envoie un message signé.
    Le chiffrement des messages est autorisé uniquement pour assurer la confidentialité des transmissions. Le message, une fois parvenue a destination ne doit pas être conservé chiffré.
  3. Soit pour envoyer des messages signés et chiffrés.

Dans Outlook Express, on sélectionne dans le menu "Outils" soit "Signer électroniquement", soit "Crypter", soit les deux.

Dans Netscape ou Mozilla, la fenêtre de composition des messages dispose d'un bouton permettant de choisir si on veut signer et/ou chiffrer un message.

 

 
 CNRS