Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La signature électronique techniquement


Sujet :

Sécurité

  1. #1
    Membre habitué
    La signature électronique techniquement
    Bonjour,

    Je vous présente un nouvel article intitulé :


    Citation Envoyé par Synopsis
    La signature électronique est aujourd'hui une clé de voûte de la transformation digitale indispensable des organisations.
    Cet article vous présente ce qu'il y a sous le capot.
    N'hésitez pas à donner votre avis sur cet article en répondant à cette discussion.

    Bonne Lecture

    Cordialement,
    Patrick Duboys
    CEO Alice and Bob

  2. #2
    Membre expérimenté
    Hummm...
    C'est un peu court.
    Seules quelques généralités sont abordées. Je dis bien abordées et non détaillées.
    Des trois piliers habituels de la sécurité - authentification - confidentialité - non répudiation - seul celui des signatures est abordé de façon sommaire. Mais bon, c'est le sujet de l'article: les signatures.

    Exemples (non limitatifs)
    Les hash : quels algorithmes ? Certains sont jugés non safe à l'heure actuelle.
    Rien non plus sur les algorithmes asymétrique pourtant essentiel au problème.
    Rien sur la confidentialité et l'échange de clés de cryptrage (symétriques pour ce problème).

    Aucune solution pratique/technique n'est abordée.
    Rien non plus sur les problèmes actuels du ssl | https | autorités de certification | open ssl | ....

    Juste un article "tout le monde il est beau, tout le monde il est gentil"

    En somme, le seul apport de l'article est un lien vers http://www.sunnystamp.com/
    L'information fournie par le site est particulièrement pauvre.
    De plus le certificat https du site n'est pas top.

    Mais bon, soit, pour une présentation de la signature électronique, c'est plus ou moins du niveau d'un de mes étudiants. Plutôt moins.
    Même très insuffisant, je crois que je l'aurais recalé.

  3. #3
    Membre averti
    une bijection unique existe entre le hash du document et le document lui-même
    Il me semble que cette affirmation est fausse : deux documents différents peuvent avoir un même hash.

  4. #4
    Membre expérimenté
    Citation Envoyé par ithel Voir le message
    Il me semble que cette affirmation est fausse : deux documents différents peuvent avoir un même hash.
    Ben oui. C'est inévitable puisque le hash est plus court que le message lui même. Ça ne peut donc pas être une bijection.
    Les premières attaques sur le MD5 ont d’ailleurs cherché à établir des collisions : même hash pour des messages différents.

    Pire, pour certaines implémentations des protocoles de signature, seule une fraction du hash est vérifiée.
    Dans ces cas, il est alors possible de forger un hash qui pourra être confondu avec un autre.

  5. #5
    Membre habitué
    Un article de vulgarisation
    Cet article ne s'adresse effectivement pas aux experts du domaine, mais à pour objectif d'expliquer simplement les concepts relatifs à la signature électronique et uniquement la signature électronique à des non experts du domaine. Une approche trop technique et trop "expert" du problème a pour unique conséquence de rebuter les personnes et à en limiter les usages.

    N'hésitez pas à pointer vers des contributions complémentaires plus détaillées que vous auriez pu faire.

    Citation Envoyé par Namica Voir le message
    Hummm...
    C'est un peu court.
    Seules quelques généralités sont abordées. Je dis bien abordées et non détaillées.
    Des trois piliers habituels de la sécurité - authentification - confidentialité - non répudiation - seul celui des signatures est abordé de façon sommaire. Mais bon, c'est le sujet de l'article: les signatures.

    Exemples (non limitatifs)
    Les hash : quels algorithmes ? Certains sont jugés non safe à l'heure actuelle.
    Rien non plus sur les algorithmes asymétrique pourtant essentiel au problème.
    Rien sur la confidentialité et l'échange de clés de cryptrage (symétriques pour ce problème).

    Aucune solution pratique/technique n'est abordée.
    Rien non plus sur les problèmes actuels du ssl | https | autorités de certification | open ssl | ....

    Juste un article "tout le monde il est beau, tout le monde il est gentil"

    En somme, le seul apport de l'article est un lien vers http://www.sunnystamp.com/
    L'information fournie par le site est particulièrement pauvre.
    De plus le certificat https du site n'est pas top.

    Mais bon, soit, pour une présentation de la signature électronique, c'est plus ou moins du niveau d'un de mes étudiants. Plutôt moins.
    Même très insuffisant, je crois que je l'aurais recalé.

  6. #6
    Membre habitué
    Bijection unique
    Le Message Digest est un peu comme une empreinte digitale. C'est plus petit que la personne, mais cela correspond de façon unique à la personne.
    Si on veut être absolument puriste, il existe une probabilité, mais infinitésimale que le MD (parfois aussi appelé hash digest) soit le même pour deux documents.

    Citation Envoyé par ithel Voir le message
    Il me semble que cette affirmation est fausse : deux documents différents peuvent avoir un même hash.

  7. #7
    Membre averti
    Citation Envoyé par patdub Voir le message
    Le Message Digest est un peu comme une empreinte digitale. C'est plus petit que la personne, mais cela correspond de façon unique à la personne.
    Si on veut être absolument puriste, il existe une probabilité, mais infinitésimale que le MD (parfois aussi appelé hash digest) soit le même pour deux documents.
    Il ne s'agit pas d'être puriste mais rigoureux. Ne pas vouloir assomer le lecteur est une chose, l'induire en erreur en est une autre. Si vous tenez absolument à employer un terme mathématique alors il faut parler de surjection et non de bijection.
    Je vous invite donc à corriger cette erreur.

  8. #8
    Membre habitué
    Bijection
    Dans les faits et conceptuellement c'est bien une bijection, même si sur un plan purement mathématique il existe une probabilité infinitésimale que se soit le même, comme pour une empreinte digitale d'ailleurs. Mais dans l'absolu vous avez raison.

    Citation Envoyé par ithel Voir le message
    Il ne s'agit pas d'être puriste mais rigoureux. Ne pas vouloir assomer le lecteur est une chose, l'induire en erreur en est une autre. Si vous tenez absolument à employer un terme mathématique alors il faut parler de surjection et non de bijection.
    Je vous invite donc à corriger cette erreur.

  9. #9
    Membre averti
    Citation Envoyé par patdub Voir le message
    Dans les faits et conceptuellement c'est bien une bijection. [...] Mais dans l'absolu vous avez raison.
    C'est une blague ?

  10. #10
    Membre habitué
    Bijection
    Non ce n'était pas une blague. Je comprend votre réaction. Dans les faits de même que la police et la justice considèrent que la probabilité que ce soit une correspondance bijective entre un individu et une empreinte digitale est de 1, les algorithmes de cryptographie font de même. De toutes les façons reconstituer un document dont la MD serait le même q'un autre est impossible. Les anglo-saxons parlent pour les Messages Digest de "overwhelming probability". Le maillon faible ne se trouve d'ailleurs pas ici mais dans les failles des algorithmes. L'algorithme de hash aujourd'hui le plus mise en oeuvre, et celui qui est recommandé, est le SHA2. Jusqu'à ce que celui-ci soit également peut-être craqué un jour et remplacé par un autre. Le MD5 est progressivement abandonné et remplacé. Dans cet article je décris (apparemment à tord et je m'en excuse) juste les bases conceptuelles sans rentrer dans les détails techniques, détails techniques qui pourront le cas échéant être abordés par d'autres articles ou d'autres personnes. Mais vous avez raison d'être rigoureux et je vais corriger. Merci pour vos feedbacks.

    Citation Envoyé par ithel Voir le message
    C'est une blague ?

  11. #11
    Membre averti
    patdub c'est pas une histoire d'experts du domaine c'est une histoire de développeur : cet article n'a rien à faire sur developpez.net, un développeur ça s'intéresse aussi à la cryptographie et aux maths, donc il sait ce qu'est RSA en gros même s'il ne se rappelle plus pourquoi g^(phi(n)) est congru à 1 modulo n

  12. #12
    Futur Membre du Club
    En attente de complément
    D'accord Namica sur tes critiques qui sont très pertinentes,
    il te reste plus qu'a te lancer dans la rédaction d'un article complémentaire et très technique,
    voir impossible a comprendre par le bataillon des programmeurs d'un certain age.
    Personnellement j'ai aimé cette présentation simpliste et claire.


    Citation Envoyé par Namica Voir le message
    Hummm...
    C'est un peu court.
    Seules quelques généralités sont abordées. Je dis bien abordées et non détaillées.
    Des trois piliers habituels de la sécurité - authentification - confidentialité - non répudiation - seul celui des signatures est abordé de façon sommaire. Mais bon, c'est le sujet de l'article: les signatures.

    Exemples (non limitatifs)
    Les hash : quels algorithmes ? Certains sont jugés non safe à l'heure actuelle.
    Rien non plus sur les algorithmes asymétrique pourtant essentiel au problème.
    Rien sur la confidentialité et l'échange de clés de cryptrage (symétriques pour ce problème).

    Aucune solution pratique/technique n'est abordée.
    Rien non plus sur les problèmes actuels du ssl | https | autorités de certification | open ssl | ....

    Juste un article "tout le monde il est beau, tout le monde il est gentil"

    En somme, le seul apport de l'article est un lien vers http://www.sunnystamp.com/
    L'information fournie par le site est particulièrement pauvre.
    De plus le certificat https du site n'est pas top.

    Mais bon, soit, pour une présentation de la signature électronique, c'est plus ou moins du niveau d'un de mes étudiants. Plutôt moins.
    Même très insuffisant, je crois que je l'aurais recalé.