Discussion :

[mister3957]

Bonjour à tous,

Dans une architecture distribuée (type Bitcoins ou Ethereum), je travaille actuellement sur la sécurité.

J'ai bien pigé le concept de clé privée / clé publique, mais par contre à développer je suis totalement perdu.

En effet, les données sont encodées avec la clé publique du destinataire afin que lui seul puisse les déchiffrer avec sa clé privée. Si on chiffre quelque chose avec une clé, on ne peut pas le déchiffrer avec cette même clé, il faut la clé privée.

On m'a parlé de l'algorithme de cryptage Blowfish que j'ai déjà implémenté, mais il crypte une donnée avec une clé, uniquement décryptable avec cette même clé, il n'y en a pas deux.

Ma question est : Est-ce que je dois trouver une autre méthode de cryptage / décryptage ou celle-ci convient mais à moi de trouver, à plus haut niveau, une méthode pour faire du double clé ?

J'entends là que peut-être qu'en plus de la data il faut rajouter des infos pour que le destinataire puisse décrypter le truc ? Donc que c'est pas l'algo en lui même qui ne convient pas mais que c'est plutôt méthodo ?

Au moins ça m'orientera

Merci à vous,

A bientôt

[foetus]

ce n'est pas compliqué pourtant

Sur la page Wiki Symmetric-key algorithm, en bas, la liste des algo et autres symétriques (1 seule clef)

Et sur cette page Wiki Public-key cryptography, en bas, la liste des algo et autres asymétriques (2 clefs).

Et le gagnant est: RSA

[jblecanard]

Le gagnant est RSA parce que c'est éprouvé et très répandu, tu n'auras aucun mal à progresser dessus. Après, si tu veux être innovant, tu peux aussi t'intéresser aux variantes de courbes elliptiques

[mister3957]

Merci pour ta réponse

C'est donc bien l'algo qu'il faut changer car il est symétrique.

J'ai regardé du côté de RSA, mais les clés semblent super grosses comparé aux adresses Bitcoin ou Ethereum (qui sont les clés publiques finalement).

Est-ce que elles sont issues d'un format générique quelconque où ce sont ces plateformes qui ont leur propre popotte pour générer ça ?

Merci

[jblecanard]

Re

Tu mélanges deux principes : le chiffrement et la signature. Le principe d'une adresse de cryptomonnaie est de signer une transaction, pas de la chiffrer. Les transactions sont publiques, en revanche, le principe de signature empêche de forger de fausses données.

En clair :
- Avec le chiffrement, la clé publique est utilisée pour chiffrer et seule la clé privée peut-être utilisée pour lire le message.
- Avec la signature, c'est le contraire : la clé privée est utilisée pour signer, et la clé publique mise à disposition pour contrôler la validité des messages signés.

Les algorithmes mis en jeu sont différents. Si tu veux maîtriser comment fonctionne Bitcoin et par extension les autres monnaies utilisant le même principe (et les mêmes algos !), il y a un très bon bouquin pour ça.

[foetus]

Le principe de la signature numérique va plus loin que cela (il me semble) , et utilise communément des certificats (les fameux certificats)

Le problème est le suivant : Comment savoir que la clef publique diffusée est bien celle de la bonne personne ?
Et non pas de personnes malveillantes qui pourront lire tous les messages chiffrés avec cette "fausse" clef publique (parce qu'ils ont la clef privée correspondante)

[jblecanard]

Hello

Le problème ne se pose pas dans une blockchain, dans laquelle une clé publique est souvent anonyme. Pour qu'une personne prouve être le propriétaire d'une clé publique, il faut lui donner une donnée aléatoire, qu'elle signera, puis la signature peut être vérifiée. Du coup, aucune notion de certificat ici, juste un algo de signature. Au niveau de la validation des transactions, il suffit que la signature soit valide, peu importe le propriétaire.

Je le rappelle : signature != chiffrement. La clé publique permet de vérifier que la donnée a bien été générée par un propriétaire de la clé privée. Le message n'est pas caché. Si la clé privée a été volée et bien... tant pis pour la gueule de son propriétaire, c'est le jeu ma pauv' Lucette. C'est le principe d'un wallet numérique. Le wallet, c'est juste la clé privée. Si elle est volée, le voleur peut utiliser l'argent à sa guise.

Après si tu rentres dans la signature numérique au sens large du terme, pour ce soit légalement reconnu pour un document juridique, etc, effectivement, il y a des certificats, mais on rentre dans un autre monde.