La signature électronique et le cryptage
Par Keul le lundi, 18 avril 2011, 18:41 - Lien permanent
L'informatique est basé sur la gestion des données, qui sont converties (clavier/écran/haut-parleur), transmises(cables), stockées(RAM, HDD) et traitées(CPU, circuits intégrés).
Et ces données sont précieuses. Gérés par d'énormes systèmes informatiques, elles ont fait la fortune de Microsoft, Google, Apple, Facebook, Twitter...
J'avais déjà expliqué qu'il était important de pouvoir posséder ses données, parce-que devoir les récupérer ensuite peut être une véritable plaie (10H pour importer un forumactif propriétaire avec perte des mots de passe contre 15min d'import d'une galerie d'images sans perte).
Mais en plus de les posséder, il faut aussi les sécuriser, avec des méthodes adaptées.
En informatique, on dispose de deux méthodes :
Le chiffrement peut aussi être asymétrique, chiffré par une clef publique, et déchiffrable uniquement par une clef privé correspondante. On peux donc facilement distribuer des clef publique à la vue de tous (la confidentialités n'est pas nécessaire, seul l'authenticité compte.)
La signature permet elle de certifier l'authenticité du contenu.
Si je prends par exemple que la signature de Insurance.aes256 est cce54d3a8af370213d23fcbfe8cddc8619a0734c, si jamais vous téléchargez le fichier, vous pourrez vérifier que le fichier est bien celui dont je parle en comparant la signature sha1 avec celle que j'ai donnée ci-dessus. Si jamais vous téléchargez un autre fichier, ou le même fichier, mais corrompu (intentionnellement ou pas), la signature ne sera pas la même.
Pour faire simple : je possède une paire de clef publique et privée GPG. N'importe-qui peux donc en utilisant ma clef publique chiffrer un document, dont je serai le seul à pouvoir déchiffrer à l'aide de ma clef privée. Je peux ensuite signer un document avec ma clef privée, et toute personne disposant de la clef publique pourra vérifier que c'est bien moi qui l'ai signé.
Comparé à un document papier,
- La signature d'un fichier correspond à la certification de celui-ci au bit près, en assurant qu'il n'a pas été altéré depuis la signature.
- Si vous signez une feuille de papier, je doute que cette signature disparaissent ou soit invalidée si jamais la feuille est modifiée (on peut éventuellement ajouter une clause dans un espace vide sur un contrat), là, l'employé sera protégé uniquement parce-qu'il aura la copie du contrat signé par l'entreprise sans cette clause).
- Par contre, une signature n'est jamais fiable à 100%, vu qu'il y a toujours possibilité de piratage de l'ordinateur (des solutions très sécurisées existent, à vous de juger la sécurité requise face à la convivialité: un live-cd linux/BSD ne stocke rien sur disque-dur et donc est plus sécurisé, mais reste moins pratique qu'une version installée) ou la faille humaine (Si vous n'avez pas laissé votre mot de passe sur un post-it, on peux toujours passer par la méthode forte)
Suite aux twitts de Maitre Éolas, une réponse technique s'impose :
Un fichier zip, c'est comme une enveloppe qui permet de rassembler plusieurs documents et de les compacter.
Imaginons trois fichiers contenant "AAAAA", "BBBCC" et "DDDEE"
De manière très simple, un fichier zip contiendrais "ZIP A5-B3C2-D3E2 ZIP" (je simplifie, en réalité, c'est plus compliqué)
Vous pouvez signer sur l'enveloppe ou signer chacun des documents qu'il contiens, vous connaissez le résultat.
Quand vous signez le fichier zip, vous ne signez pas l'"enveloppe" du fichier "ZIP_" mais TOUT le document.
On peux donc dire que signer une archive zip reviens à avoir TOUS les fichiers de cette archive signé.
ATTENTION par contre. La signature étant "étalée" sur tous les fichiers de l'archive, la signature n'est valide que si vous disposez de l'archive complète.
En gros, signer un fichier zip reviens à étaler tous les documents d'une enveloppe et faire une grosse signature sur tous les documents en même temps
La faille restant tiens ensuite de la sécurités de l’algorithme et de la fiabilitée du processus.
Et ces données sont précieuses. Gérés par d'énormes systèmes informatiques, elles ont fait la fortune de Microsoft, Google, Apple, Facebook, Twitter...
J'avais déjà expliqué qu'il était important de pouvoir posséder ses données, parce-que devoir les récupérer ensuite peut être une véritable plaie (10H pour importer un forumactif propriétaire avec perte des mots de passe contre 15min d'import d'une galerie d'images sans perte).
Mais en plus de les posséder, il faut aussi les sécuriser, avec des méthodes adaptées.
En informatique, on dispose de deux méthodes :
- Le cryptage ou chiffrement qui traite une données afin qu'elle ne soit lisible que par les personnes voulues.
- La signature ou le hashage qui permet de certifier une donnée.
Le chiffrement peut aussi être asymétrique, chiffré par une clef publique, et déchiffrable uniquement par une clef privé correspondante. On peux donc facilement distribuer des clef publique à la vue de tous (la confidentialités n'est pas nécessaire, seul l'authenticité compte.)
La signature permet elle de certifier l'authenticité du contenu.
Si je prends par exemple que la signature de Insurance.aes256 est cce54d3a8af370213d23fcbfe8cddc8619a0734c, si jamais vous téléchargez le fichier, vous pourrez vérifier que le fichier est bien celui dont je parle en comparant la signature sha1 avec celle que j'ai donnée ci-dessus. Si jamais vous téléchargez un autre fichier, ou le même fichier, mais corrompu (intentionnellement ou pas), la signature ne sera pas la même.
Pour faire simple : je possède une paire de clef publique et privée GPG. N'importe-qui peux donc en utilisant ma clef publique chiffrer un document, dont je serai le seul à pouvoir déchiffrer à l'aide de ma clef privée. Je peux ensuite signer un document avec ma clef privée, et toute personne disposant de la clef publique pourra vérifier que c'est bien moi qui l'ai signé.
Comparé à un document papier,
- La signature d'un fichier correspond à la certification de celui-ci au bit près, en assurant qu'il n'a pas été altéré depuis la signature.
- Si vous signez une feuille de papier, je doute que cette signature disparaissent ou soit invalidée si jamais la feuille est modifiée (on peut éventuellement ajouter une clause dans un espace vide sur un contrat), là, l'employé sera protégé uniquement parce-qu'il aura la copie du contrat signé par l'entreprise sans cette clause).
- Par contre, une signature n'est jamais fiable à 100%, vu qu'il y a toujours possibilité de piratage de l'ordinateur (des solutions très sécurisées existent, à vous de juger la sécurité requise face à la convivialité: un live-cd linux/BSD ne stocke rien sur disque-dur et donc est plus sécurisé, mais reste moins pratique qu'une version installée) ou la faille humaine (Si vous n'avez pas laissé votre mot de passe sur un post-it, on peux toujours passer par la méthode forte)
Suite aux twitts de Maitre Éolas, une réponse technique s'impose :
Un fichier zip, c'est comme une enveloppe qui permet de rassembler plusieurs documents et de les compacter.
Imaginons trois fichiers contenant "AAAAA", "BBBCC" et "DDDEE"
De manière très simple, un fichier zip contiendrais "ZIP A5-B3C2-D3E2 ZIP" (je simplifie, en réalité, c'est plus compliqué)
Vous pouvez signer sur l'enveloppe ou signer chacun des documents qu'il contiens, vous connaissez le résultat.
Quand vous signez le fichier zip, vous ne signez pas l'"enveloppe" du fichier "ZIP_" mais TOUT le document.
On peux donc dire que signer une archive zip reviens à avoir TOUS les fichiers de cette archive signé.
ATTENTION par contre. La signature étant "étalée" sur tous les fichiers de l'archive, la signature n'est valide que si vous disposez de l'archive complète.
En gros, signer un fichier zip reviens à étaler tous les documents d'une enveloppe et faire une grosse signature sur tous les documents en même temps
La faille restant tiens ensuite de la sécurités de l’algorithme et de la fiabilitée du processus.
Derniers commentaires