Discussion :

[philou44300]

Bonjour,
Je m'intéresse aux systèmes de certificats et de clés publiques et clés privées et j'ai des interrogations.

En SSL, cela utilise apparemment des clés publiques et privées pour la connexion. Le principe si j'ai compris est d'avoir une clé privée et une clé publique contenue dans un certificat. Lorsqu'un client se connecte, le serveur va lui envoyer le certificat contenant la clé publique et conservera la clé privée. Le client va ainsi envoyer une clé symétrique qui sera chiffrée avec la clé publique et déchiffrée par le serveur qui sera le seul à pouvoir déchiffrer avec la clé privée c'est bien ca? C'est le même fonctionnement que PGP pour les mails (clé publique pour chiffrer un message qu'on m'envoie et je suis le seul à pouvoir le déchiffrer avec la clé privée)?

Dans ces cas on se sert donc de la clé publique pour chiffrer c'est bien ca?

Dans le cadre d'un projet, j'ai eu à fabriquer un jeton que je devais signer avec un système de certificat et de clé publique et privées. Je devais utiliser la clé privée pour fabriquer la signature qui était contrôlée de l'autre côté avec le certificat contenant la clé publique. Etant donné que c'est moi qui possédais la clé privée et que je signais avec, personne d'autre ne peut en fabriquer un faux et signer vu qu'il ne possède pas la clé privée.

Dans ce cas, on utilise donc la clé privée pour chiffrer. On peut donc selon le cas utiliser la clé publique ou bien la clé privée pour chiffrer?? Je suis perdu sur ces histoires de certificats, clés publiques et clés privées et ce qui peut servir à chiffrer et déchiffrer...

Egalement, je suis perdu avec les algos qui existent et qui sont mieux à utiliser (algorithmes forts). J'entends parler de RSA256 par exemple. J'entends également parler de clés symétriques et asymétriques mais dans quels cas utiliser les unes ou les autres?

Pouvez-vous m'éclaircir svp?

[Escapetiger]

Bonjour,

Je te suggère la lecture de cours-tutoriel écrit par ram-0000 :

http://ram-0000.developpez.com/tutoriels/cryptographie/
Introduction à la Cryptographie

[Jimmy_]

Bonjour,

Le principe si j'ai compris est d'avoir une clé privée et une clé publique contenue dans un certificat.

Non, ton certificat va contenir seulement ta clé publique ainsi que des informations sur toi : nom, prenom etc ...
Il est ensuite signé par une autorité de certification : en gros elle hash tes informations à l'aide d'une clé privée appartenant à un certificat racine.

Lorsqu'un client se connecte, le serveur va lui envoyer le certificat contenant la clé publique et conservera la clé privée. Le client va ainsi envoyer une clé symétrique qui sera chiffrée avec la clé publique et déchiffrée par le serveur qui sera le seul à pouvoir déchiffrer avec la clé privée c'est bien ca? C'est le même fonctionnement que PGP pour les mails (clé publique pour chiffrer un message qu'on m'envoie et je suis le seul à pouvoir le déchiffrer avec la clé privée)?

Dans ces cas on se sert donc de la clé publique pour chiffrer c'est bien ca?

Non, les algorithmes de chiffrement asymétriques sont bien de trop lent pour chiffrer des flots de contenu important.
Lors de la négociation, une clé symétrique de session est calculée et échangée, c'est seulement cet échange de clé qui est chiffré avec les
clés asymétriques. Le reste de la communication est fait en symétrique.

Dans le cadre d'un projet, j'ai eu à fabriquer un jeton que je devais signer avec un système de certificat et de clé publique et privées. Je devais utiliser la clé privée pour fabriquer la signature qui était contrôlée de l'autre côté avec le certificat contenant la clé publique. Etant donné que c'est moi qui possédais la clé privée et que je signais avec, personne d'autre ne peut en fabriquer un faux et signer vu qu'il ne possède pas la clé privée.

En fait dans un environnement clos oui ça suffit, mais sur internet n'importe qui peut se prétendre être toi, la sécurité repose sur les autorité de certification : Verisign par exemple pour la plus connu.

Dans ce cas, on utilise donc la clé privée pour chiffrer. On peut donc selon le cas utiliser la clé publique ou bien la clé privée pour chiffrer?? Je suis perdu sur ces histoires de certificats, clés publiques et clés privées et ce qui peut servir à chiffrer et déchiffrer...

Pour signer oui, mais pas pour chiffrer, ce n'est pas la même chose.

Egalement, je suis perdu avec les algos qui existent et qui sont mieux à utiliser (algorithmes forts). J'entends parler de RSA256 par exemple. J'entends également parler de clés symétriques et asymétriques mais dans quels cas utiliser les unes ou les autres?

Tu dois confondre RSA256 et AES256. Car l'algorithme de chiffrement asymétrique RSA repose sur la difficulté à factoriser des nombres très grand. Et vu la puissance de calcul aujourd'hui une clé sur 256 bit ne tiendrait pas très longtemps. RSA est sûr à partir de 2048 bits de nos jours.
AES256 est un algorithme de chiffrement symétrique par bloc, il est sûr à condition de bien l'utiliser.


Pas facile,... mais bon la cryptologie est une disciple déjà très ancienne et surtout très avancée.