Discussion :

[Hayato175]

Bonjour,
Dans le cadre d'un projet personnel, je suis en train de développer un chat sécurisé.
J'ai réussi à correctement générer les clés publiques et privées mais mon problème est que je ne sais pas où stocker la clé privée une fois qu'elle a été créée.
Lorsque l'application se lance, l'utilisateur doit se connecter ou s'inscrire via une base de données. Si je stocke la clé privée de chaque utilisateur en clair dans cette bdd, le chat n'est plus du tout sécurisé.
Je ne peux pas non plus stocker cette clé en local car les utilisateurs de l'application pourraient être amené à changer de pc entre temps et garder le même compte.
La dernière solution serait de chiffrer cette clé privée dans la bdd et qu'elle puisse être uniquement déchiffrée par l'application client mais je ne sais pas si cette dernière solution est envisageable car une personne mal intentionnée pourrait par exemple trouver la clé privée qui est la même pour toutes les applications clientes et là il aurait accès aux clés privées de tous les utilisateurs de l'application.

Si vous avez des précisions à m'apporter sur le sujet, je suis preneur

[Flodelarab]

Bonjour

Si je stocke la clé privée de chaque utilisateur en clair dans cette bdd, le chat n'est plus du tout sécurisé.

Pourquoi ? Les clients ont accès à la base de données du serveur ? Dans ce cas-là, ce n'est même plus la peine de parler de sécurité...

je ne sais pas où stocker la clé privée une fois qu'elle a été créée.

Pourquoi faudrait-il la stocker ? Pourquoi devrait-elle être autre chose que temporaire ?

Je ne peux pas non plus stocker cette clé en local car les utilisateurs ...

Aïe, aïe, aïe. Quelle drôle d'idée.
Un serveur envoie sa clé publique au client pour qu'il chiffre une information et l'envoie sur le réseau. La clé privée n'a aucune raison d'être "en local, chez l'utilisateur" comme tu dis. La clé publique, oui !

Si vous avez des précisions à m'apporter sur le sujet, je suis preneur

Toute la beauté de RSA est justement d'accepter des inconnus et d'établir avec eux une connexion sécurisée. Cela permet le commerce. Sans chiffrement asymétrique, pas de commerce électronique.

Pourquoi veux-tu stocker une clé ?...

[disedorgue]

Bonjour,

Ok, tu essayes de faire un chat sécurisé, mais que veux tu sécuriser en fait (peux-tu détailler autant que possible) ?

Sinon, la clé privée est à la charge de l'utilisateur, il change de pc, il transporte sa clé sur le dit autre pc (mais après ça dépend aussi de la réponse à la question précédente, car selon le besoin, une paire de clé temporaire reste suffisante).

[Hayato175]

Bonjour

Pourquoi ? Les clients ont accès à la base de données du serveur ? Dans ce cas-là, ce n'est même plus la peine de parler de sécurité...

Pourquoi faudrait-il la stocker ? Pourquoi devrait-elle être autre chose que temporaire ?

Aïe, aïe, aïe. Quelle drôle d'idée.
Un serveur envoie sa clé publique au client pour qu'il chiffre une information et l'envoie sur le réseau. La clé privée n'a aucune raison d'être "en local, chez l'utilisateur" comme tu dis. La clé publique, oui !

Toute la beauté de RSA est justement d'accepter des inconnus et d'établir avec eux une connexion sécurisée. Cela permet le commerce. Sans chiffrement asymétrique, pas de commerce électronique.

Pourquoi veux-tu stocker une clé ?...

Si j'ai bien compris un utilisateur qui souhaite discuter avec un autre doit envoyer une requête à cet utilisateur pour récupérer sa clé publique temporaire ?

[Flodelarab]

Hum. C'est le principe de base.