Fonctionnement de l'infrastructure de gestion de clefs

La sécurisation des échanges électroniques

Dossier : Le MultimédiaMagazine N°550 Décembre 1999
Par Fabrice MATTATIA (90)

I. Les principes de la sécurisation

I. Les principes de la sécurisation

Le développe­ment récent des échanges élec­tron­iques révèle aujour­d’hui un besoin de con­fi­ance. Les exem­ples sont nom­breux. Certes, le client qui passe une com­mande par Inter­net en don­nant son numéro de carte ban­caire est pro­tégé par la loi tant qu’il ne com­mu­nique pas son code ; par con­tre le four­nisseur de biens ou de ser­vices assume, lui, tout le risque de fraude. Autre exem­ple, les entre­pris­es, qui échangent de plus en plus par des moyens élec­tron­iques des infor­ma­tions con­fi­den­tielles avec leurs dif­férents col­lab­o­ra­teurs, leurs clients ou leurs four­nisseurs, ne peu­vent se per­me­t­tre de pren­dre le risque de voir leurs mes­sages inter­cep­tés ou falsifiés.

L’ad­min­is­tra­tion aus­si gag­n­erait à rem­plac­er tous ses for­mu­laires de papi­er par leurs équiv­a­lents élec­tron­iques (par exem­ple pour les déc­la­ra­tions de TVA des entre­pris­es, ou de revenu des par­ti­c­uliers), mais elle ne peut le faire sans garan­tir la totale sécu­rité de l’échange, et notam­ment sans s’as­sur­er de l’i­den­tité de ses inter­locu­teurs et de l’in­tégrité du mes­sage. Or, un échange élec­tron­ique nor­mal (envoi de fichi­er ou de mes­sage, accès à un serveur) sur un réseau ouvert de type Inter­net n’of­fre aucune garantie :

  • sur l’i­den­tité des inter­venants (n’im­porte qui peut usurp­er n’im­porte quelle identité),
  • sur l’in­tégrité des don­nées échangées (elles peu­vent être mod­i­fiées acci­den­telle­ment ou fraud­uleuse­ment pen­dant le tra­jet sur le réseau, ou par le destinataire),
  • sur la respon­s­abil­ité assumée par l’ex­pédi­teur (il peut nier avoir expédié ces données),
  • sur la con­fi­den­tial­ité de l’échange (le mes­sage tran­site en clair sur le réseau).


Afin de garan­tir la con­fi­ance dans les échanges élec­tron­iques, un sys­tème de sécuri­sa­tion doit donc assur­er les fonc­tion­nal­ités suivantes :

  • l’au­then­tifi­ca­tion des inter­venants (cha­cun présente à l’autre une preuve infal­si­fi­able et véri­fi­able de son iden­tité et de son droit à par­ticiper à l’échange),
  • l’in­tégrité des échanges (les mod­i­fi­ca­tions acci­den­telles ou fraud­uleuses des don­nées doivent être repérables),
  • la sig­na­ture des don­nées (par cet acte, le sig­nataire assume le con­tenu de l’envoi),
  • le chiffre­ment des échanges (seuls les inter­locu­teurs peu­vent déchiffr­er les données).


Une analo­gie con­sis­terait à faire ressor­tir le besoin, pour un échange épis­to­laire, de pho­to­copies cer­ti­fiées con­formes des cartes d’i­den­tité, de textes para­phés et d’en­veloppes invi­o­lables. Les anciens déte­naient une solu­tion orig­i­nale avec le sceau de cire, à la fois preuve d’i­den­tité, sig­na­ture et moyen de scelle­ment de l’enveloppe.

Toute­fois, un sceau, même authen­tique, n’ap­porte aucune garantie sur les attrib­uts de son émet­teur, par exem­ple sa fonc­tion, ses diplômes ou sa solv­abil­ité. Il sup­pose que l’on con­naisse per­son­nelle­ment l’in­ter­locu­teur, et que l’on déter­mine ain­si le degré de con­fi­ance à lui accorder.

Au con­traire, dans les échanges élec­tron­iques où l’in­ter­locu­teur est sou­vent un incon­nu, ces infor­ma­tions sont pri­mor­diales pour déter­min­er s’il a ou non le droit d’en­tr­er dans l’échange.

L’authentification

Revenons donc aux pho­to­copies “cer­ti­fiées con­formes”. On voit ici que, pour assur­er la con­fi­ance, cette cer­ti­fi­ca­tion doit être réal­isée par une autorité incon­testable. Il en est de même dans les échanges élec­tron­iques : la solu­tion pour authen­ti­fi­er les inter­locu­teurs con­siste à faire délivr­er par des autorités crédi­bles et fiables des cer­ti­fi­cats élec­tron­iques infal­si­fi­ables, qui pré­cisent leur iden­tité et, si besoin, leurs attrib­uts (fonc­tion, titre, solv­abil­ité, et pourquoi pas classe­ment aux échecs, au golf ou au ten­nis, etc).

Une même per­son­ne peut, si besoin, détenir plusieurs cer­ti­fi­cats délivrés par plusieurs autorités, éventuelle­ment sur plusieurs sup­ports (de même que, dans le monde tra­di­tion­nel, les cer­ti­fi­cats papi­er du per­mis de con­duire et du bac­calau­réat ne sont pas émis par les mêmes autorités). La crédi­bil­ité d’une autorité provient de la garantie qu’elle offre, de ne délivr­er ses cer­ti­fi­cats qu’à bon escient.

Pour les échanges élec­tron­iques, on appelle Autorité d’en­reg­istrement (AE) l’or­gan­isme chargé de véri­fi­er les dossiers déposés par les per­son­nes deman­dant un cer­ti­fi­cat, et de les valid­er s’ils sont corrects.

Au vu de cette val­i­da­tion, un autre organ­isme appelé Opéra­teur de cer­ti­fi­ca­tion (OC) réalise le cer­ti­fi­cat élec­tron­ique et le remet à son util­isa­teur. Il gère égale­ment un annu­aire des cer­ti­fi­cats émis et une liste des cer­ti­fi­cats mis en opposition.

La sécurisation des données

Les tech­niques per­me­t­tant de chiffr­er, de sign­er et de garan­tir l’in­tégrité des échanges reposent sur les mêmes principes.

Chiffrement

L’émet­teur dis­pose d’une clef élec­tron­ique de chiffre­ment Kc et d’un dis­posi­tif f de traite­ment de son mes­sage. Il trans­forme ain­si son mes­sage ini­tial Mi en un mes­sage chiffré Mc(Mi, Kc), fonc­tion du mes­sage ini­tial et de la clef.

Le des­ti­nataire dis­pose aus­si d’une clef K et d’un dis­posi­tif de traite­ment g, qui lui per­me­t­tent de retrou­ver le mes­sage ini­tial Mi à par­tir du mes­sage chiffré Mc(Mi, Kc).

Signature et intégrité

L’émet­teur dis­pose aus­si d’une clef Ks et d’un dis­posi­tif de sig­na­ture S, avec lesquels il obtient un code S(Mi, Ks), fonc­tion du mes­sage ini­tial et de la clef. Ce code est joint au mes­sage expédié.

Le des­ti­nataire reçoit donc un mes­sage a pri­ori sus­pect Mi’ et le code S(Mi, Ks). Il va procéder à la véri­fi­ca­tion de la sig­na­ture. Pour cela, il dis­pose d’un dis­posi­tif et d’une clef qui, appliqués au mes­sage Mi’ et au code S(Mi, Ks) reçus, per­me­t­tent de véri­fi­er si oui ou non S est bien lié à Mi’, ce qui dans l’af­fir­ma­tive prou­ve à la fois que Mi’ est iden­tique au mes­sage d’o­rig­ine, et que son émet­teur est bien le déten­teur de la clef de sig­na­ture Ks. La sig­na­ture et l’in­tégrité sont ain­si garanties.

Ces démarch­es sup­posent évidem­ment que les clefs soient stricte­ment per­son­nelles, et que les dis­posi­tifs de traite­ment soient suff­isam­ment com­plex­es et sûrs pour inter­dire une mod­i­fi­ca­tion non autorisée des don­nées. Ces traite­ments s’ef­fectuent selon dif­férents algo­rithmes paramétrables.

Ces algo­rithmes peu­vent être inversibles, ils sont alors dits symétriques. Dans ce cas, une même clef secrète K est partagée par les deux inter­locu­teurs, et on a à la fois Mc = Mc(Mi, K) et Mi = Mi(Mc, K). Par exem­ple, le codage triv­ial con­sis­tant à décaler toutes les let­tres d’un cran, A étant rem­placé par B, B par C, etc. L’in­con­vénient est que, si l’on tient à la con­fi­den­tial­ité, il faut une clef dif­férente pour chaque paire d’in­ter­locu­teurs, ce qui devient rapi­de­ment ingérable. Pour la sig­na­ture, en out­re, il n’est pas pos­si­ble en cas de lit­ige d’at­tribuer un mes­sage à l’un plutôt qu’à l’autre.

Il existe égale­ment des algo­rithmes asymétriques. Ceux-ci reposent sur la fac­tori­sa­tion des grands nom­bres. Leur principe est que le traite­ment subi par les don­nées avec une clef de départ K1 peut être inver­sé avec une clef d’ar­rivée K2 dif­férente, liée de façon unique à la clef de départ mais ne per­me­t­tant pas de la déduire : on a Mc = f(Mi, K1) et Mi = f-1(Mc, K2), avec la fonc­tion f telle que la con­nais­sance de K2, Mi et Mc ne per­met pas de retrou­ver K1 ni de forg­er de faux cou­ples (Mi, Mc) liés par K1.

En pra­tique, chaque inter­locu­teur dis­pose d’une clef privée, qu’il garde secrète, et de son inverse la clef publique, qu’il dif­fuse à ses cor­re­spon­dants. Les don­nées traitées au départ avec l’une de ces clefs peu­vent être recon­sti­tuées à l’ar­rivée avec l’autre.

Pour chiffr­er un mes­sage, on emploiera donc la clef publique du des­ti­nataire. Seul ce dernier pour­ra le déchiffr­er avec sa clef privée. Par con­tre, l’émet­teur sign­era avec sa pro­pre clef privée. L’ap­pli­ca­tion de sa clef publique au mes­sage trans­mis prou­vera qu’il en est bien l’au­teur. Ce point néces­site à nou­veau l’in­ter­ven­tion d’une autorité fiable, pour cer­ti­fi­er les liens entre clef publique et iden­tité de l’in­ter­locu­teur. La clef publique peut ain­si être l’un des attrib­uts con­tenus dans le cer­ti­fi­cat électronique.

Avec les algo­rithmes asymétriques, on n’a plus besoin que de deux clefs par inter­locu­teur. Par con­tre leur mise en œuvre est sen­si­ble­ment plus lente que celle des algo­rithmes symétriques, ce qui les rend inutil­is­ables en l’é­tat actuel de la tech­nique pour chiffr­er toute une ses­sion entre deux inter­locu­teurs. C’est pourquoi en pra­tique ils ne sont util­isés inté­grale­ment que pour la sig­na­ture et l’in­tégrité. Par con­tre, pour le chiffre­ment, la solu­tion retenue par le marché pour des raisons de per­for­mance con­siste à utilis­er un algo­rithme asymétrique unique­ment pour con­venir entre les par­ties d’une clef de ses­sion symétrique et tem­po­raire pour cet échange, ce qui per­me­t­tra un chiffre­ment plus rapide.

À par­tir du moment où un même algo­rithme est util­isé par une com­mu­nauté élec­tron­ique, les clefs peu­vent être, soit créées et dis­tribuées par une autorité dite Tierce par­tie de con­fi­ance (TPC), soit générées sur son poste par chaque util­isa­teur. Dans les deux cas, la clef publique doit être com­mu­niquée à l’Opéra­teur de cer­ti­fi­ca­tion pour inser­tion dans le cer­ti­fi­cat. La TPC peut égale­ment, à la demande des util­isa­teurs, dis­pos­er d’un moyen de régénér­er les clefs pour leur pro­prié­taire légitime en cas d’oubli.

L’infrastructure de gestion de clefs à mettre en place

Réca­pit­u­lons les autorités que nous avons déjà décrites :

  • l’Au­torité d’en­reg­istrement (AE), qui valide les dossiers des deman­deurs et atteste leurs droits,
  • la Tierce par­tie de con­fi­ance (TPC), qui génère éventuelle­ment les clefs et peut en garder une trace,
  • l’Opéra­teur de cer­ti­fi­ca­tion (OC), qui au vu de la val­i­da­tion par l’AE, et à la récep­tion des clefs publiques, émet les cer­ti­fi­cats électroniques.


Les règles de fonc­tion­nement de ces entités doivent être claire­ment définies afin d’as­sur­er la con­fi­ance des util­isa­teurs. C’est le rôle de l’Au­torité admin­is­tra­tive (AA), qui rédi­ge et pub­lie les engage­ments sur les moyens mis en œuvre pour fonder la con­fi­ance et garan­tir la sécu­rité du sys­tème, tant au niveau des procé­dures de tra­vail qu’au niveau de la pro­tec­tion physique des infra­struc­tures. Ces doc­u­ments sont de nature con­tractuelle vis-à-vis des utilisateurs.

En pra­tique, pour des raisons d’ef­fi­cac­ité et d’é­conomie, l’AA, l’OC et la TPC sont sou­vent regroupées pour for­mer l’Au­torité de certification.

Le fonc­tion­nement de l’in­fra­struc­ture de ges­tion de clefs est résumé dans le sché­ma ci-contre.

Les responsabilités

Les dif­férents acteurs du sys­tème d’échanges élec­tron­iques ont cha­cun des respon­s­abil­ités dans l’ap­pli­ca­tion de ces tech­niques. Par exem­ple, l’u­til­isa­teur qui émet un fichi­er ou se con­necte à une appli­ca­tion doit authen­ti­fi­er son des­ti­nataire ou cette application.

Inverse­ment, celui qui reçoit un fichi­er ou per­met une con­nex­ion à son serveur doit authen­ti­fi­er son parte­naire, et véri­fi­er qu’il n’est pas en oppo­si­tion, avant d’accepter.

Les appli­ca­tions doivent con­trôler les cer­ti­fi­cats de ceux qui veu­lent se con­necter, et véri­fi­er, d’après leurs attrib­uts, que l’ac­cès leur est autorisé (cette déci­sion étant du seul ressort du pro­mo­teur de l’ap­pli­ca­tion). Enfin, des règles de délé­ga­tion de sig­na­ture peu­vent être prévues, à charge pour les util­isa­teurs de les respecter.

Le choix de met­tre en œuvre ou non le chiffre­ment peut être régle­men­taire­ment oblig­a­toire pour cer­tains échanges. Il est par­fois utile que la sig­na­ture ou le chiffre­ment néces­si­tent une acti­va­tion volon­taire sup­plé­men­taire par les par­ties, afin d’im­pos­er un choix conscient.

De son côté, l’opéra­teur de cer­ti­fi­ca­tion doit tenir à jour les droits des util­isa­teurs (liste d’op­po­si­tion, de sus­pen­sions, etc.) et per­me­t­tre leur con­sul­ta­tion en permanence.

La con­fi­ance dans le sys­tème repose sur la sécu­rité et la rigueur à la fois des procé­dures de l’Au­torité d’en­reg­istrement et des tech­niques mis­es en œuvre par l’Au­torité de certification.

Dans le cadre de la réal­i­sa­tion pra­tique d’un réseau, ces divers­es respon­s­abil­ités devront être pré­cisées dans les con­trats. La sécuri­sa­tion n’é­tant pleine­ment garantie que lorsque tous les acteurs sat­is­font à leurs respon­s­abil­ités, ces derniers devront donc être sen­si­bil­isés sur ce point et se con­former sys­té­ma­tique­ment aux règles qui seront définies.

Les contraintes juridiques

Un sys­tème de sécuri­sa­tion des échanges élec­tron­iques doit évidem­ment respecter la régle­men­ta­tion nationale, notam­ment en ce qui con­cerne la cryp­togra­phie. La libéral­i­sa­tion des règles en France depuis mars 1999 per­me­t­tra un plus grand choix de mise en œuvre.

Inverse­ment, il est souhaitable que la lég­is­la­tion recon­naisse la valeur de la sig­na­ture élec­tron­ique, et lui donne un statut équiv­a­lent à celui de la sig­na­ture man­u­scrite : cela est sans doute indis­pens­able à son util­i­sa­tion pour des procé­dures admin­is­tra­tives(2), et en tout cas néces­saire pour créer une con­fi­ance des util­isa­teurs. Un pro­jet de loi en ce sens a été déposé début sep­tem­bre par le gou­verne­ment. Une direc­tive européenne fix­ant un cadre de recon­nais­sance juridique est égale­ment en pro­jet et devrait paraître fin 1999.

Enfin, la sécuri­sa­tion des échanges élec­tron­iques devra obtenir un avis favor­able de la CNIL, donc garan­tir la con­fi­den­tial­ité (ce qui sem­ble facile à rem­plir pour un sys­tème sécurisé), mais aus­si le respect de la vie privée.

Les implémentations

Les clefs et les algo­rithmes détenus par l’u­til­isa­teur peu­vent être stock­és, soit sur son poste de tra­vail, soit sur une carte à puce.

Le stock­age sur le poste présente de mul­ti­ples incon­vénients. Si la clef et l’al­go­rithme sont stock­és sur un seul poste, cela empêche l’u­til­isa­teur de se con­necter au réseau depuis un autre endroit. S’ils sont stock­és en plusieurs endroits, cela mul­ti­plie les risques de vol, d’u­til­i­sa­tion non con­trôlée par un tiers en l’ab­sence du respon­s­able, ou de piratage : en effet, il est alors pos­si­ble à un tiers de copi­er le disque dur pour s’emparer à la fois de la clef, des algo­rithmes et de tous les fichiers chiffrés stockés.

Lorsque la clef et les algo­rithmes de chiffre­ment sont sur une carte pro­tégée par un code por­teur, son déten­teur peut l’u­tilis­er n’im­porte où. S’il la perd, elle reste pro­tégée par son code : il n’est pas pos­si­ble(3), même en dis­posant de la carte, de démon­ter ses mécan­ismes de chiffre­ment, car elle effectue ses cal­culs en interne et agit comme une boîte noire. De même, les fichiers stock­és sur le poste sous forme chiffrée ne peu­vent plus être lus s’ils sont recopiés illégalement.

En con­clu­sion, comme le note le Rap­port sur la mise en œuvre d’une sig­na­ture élec­tron­ique dans le cadre des téléprocé­dures pub­lié en novem­bre 1998 par le min­istère de l’É­conomie, des Finances et de l’In­dus­trie, “le stock­age de cer­tains mod­ules cryp­tographiques et de la clef secrète dans une carte à puce per­met d’op­ti­miser le niveau de sécu­rité offert”. C’est égale­ment la solu­tion retenue par le secteur de la san­té avec la Carte de pro­fes­sion­nel de san­té (CPS).

II. Un exemple de système sécurisé : le GIP CPS1

Le Groupe­ment d’in­térêt pub­lic “Carte de Pro­fes­sion­nel de San­té” (GIP CPS) a été fondé en 1993. Il rassem­ble l’É­tat, les Ordres pro­fes­sion­nels, les Caiss­es d’as­sur­ance mal­adie oblig­a­toires et com­plé­men­taires et des représen­tants pro­fes­sion­nels. Il a pour objet l’émis­sion, la ges­tion et la pro­mo­tion de la carte de pro­fes­sion­nel de san­té (CPS), carte à puce qui per­met aux per­son­nes habil­itées du secteur de la san­té de s’i­den­ti­fi­er, de prou­ver leur qual­ité, de sign­er et de chiffr­er leurs échanges électroniques.

Specimen de carte de professionnel de santéÀ ce titre, il a défi­ni et mis sur pied les struc­tures néces­saires à une infra­struc­ture de ges­tion de clefs telle que définie plus haut. Il a élaboré les procé­dures amont per­me­t­tant de valid­er les dossiers en liai­son avec les autorités com­pé­tentes (État, Ordres, etc). Il définit, émet et gère les cartes, les clefs et les cer­ti­fi­cats. Le déploiement d’une pre­mière tranche de 400 000 cartes est en cours, et le sys­tème vise à terme 1 500 000 utilisateurs.

La poli­tique du GIP est d’as­sur­er la com­pat­i­bil­ité du sys­tème CPS avec les stan­dards en vigueur et en cours de développement.

La carte CPS béné­fi­cie d’un niveau de sécu­rité homo­logué ITSec “E3 fort” (c’est-à-dire le même niveau de sécu­rité que les cartes ban­caires, mais en dis­posant de fonc­tion­nal­ités plus puissantes).

Le GIP mène une poli­tique de sécu­rité glob­ale, touchant à la fois à la rigueur des procé­dures de ges­tion, à la sûreté des tech­nolo­gies util­isées, et aux garanties de qual­ité et de disponi­bil­ité du sys­tème. En rédi­geant sa Déc­la­ra­tion rel­a­tive aux Procé­dures de cer­ti­fi­ca­tion et sa Poli­tique de sécu­rité, doc­u­ments publics, il s’en­gage sur des objec­tifs pré­cis de sécu­rité et sur les moyens à met­tre en œuvre pour les attein­dre. Il garan­tit ain­si aux util­isa­teurs la con­fi­ance dans les capac­ités du sys­tème à assur­er la con­fi­den­tial­ité et la sécu­rité des échanges électroniques.

Les fonctionnalités de la CPS

Les clefs et les cer­ti­fi­cats sont stock­és dans la carte à puce. Les algo­rithmes sont mis en œuvre dans la carte, de manière qu’au­cun secret ne soit com­mu­niqué à l’extérieur.

La sig­na­ture utilise les algo­rithmes SHA‑1 et RSA (stan­dards) avec des clefs de 768 bits. Le pas­sage à une clef de 1 024 bits est à l’étude.

Le chiffre­ment s’ef­fectuera aus­si, pour la nou­velle ver­sion de la carte émise en 2000, avec un algo­rithme asymétrique stan­dard pour chiffr­er des clefs de ses­sion symétriques.

Les cer­ti­fi­cats sont à la norme X509 v3. Ils con­ti­en­nent l’i­den­tité de leur tit­u­laire, ses clefs publiques, sa pro­fes­sion et sa spécialité.

L’in­térêt des cer­ti­fi­cats stan­dard­is­és est qu’ils peu­vent être accep­tés par toute infra­struc­ture dont le niveau de sécu­rité est équiv­a­lent à celui de l’au­torité émet­trice (ici le GIP CPS). On par­le alors de “recon­nais­sance mutuelle” des autorités. Les cer­ti­fi­cats dis­tribués aux pro­fes­sion­nels de san­té leur per­me­t­tront donc de dia­loguer élec­tron­ique­ment, non seule­ment avec leurs pairs en France, mais plus large­ment, avec toute per­son­ne dans le monde util­isant la même norme. L’u­til­i­sa­tion des stan­dards devient ain­si un gage d’ou­ver­ture illimitée.

Conclusion

Les tech­niques de sécuri­sa­tion des échanges élec­tron­iques, per­me­t­tant de répon­dre aux besoins de con­fi­ance des util­isa­teurs, exis­tent et arrivent à un degré de matu­rité sat­is­faisant. De nom­breuses admin­is­tra­tions, en France et à l’é­tranger, étu­di­ent la mise en place des infra­struc­tures néces­saires. Des réal­i­sa­tions, comme le sys­tème CPS, sont déjà en cours.

Mais, de même que le télé­phone n’est vrai­ment utile que lorsque tous les abon­nés peu­vent se join­dre, quel que soit leur opéra­teur, l’in­teropéra­bil­ité des sys­tèmes élec­tron­iques sécurisés, quelle que soit l’au­torité respon­s­able, représen­terait un atout pour leur développe­ment. Il con­vient donc de veiller à la com­pat­i­bil­ité de tous les systèmes.

L’adop­tion de solu­tions com­munes à plusieurs acteurs per­me­t­trait en out­re une économie d’échelle, des gains de temps et une plus grande assur­ance de la péren­nité des pro­duits. La tech­nolo­gie française des cartes à puce détient ici une occa­sion unique de con­forter son avance.

_____________________________________
1. GIP CPS, 8 bis, rue de Châteaudun, 75009 Paris. Tél. : 01.44.53.33.91.
2. En juin 1999, en France, seule la sig­na­ture des feuilles de soin élec­tron­iques par la carte de pro­fes­sion­nel de san­té était recon­nue par la loi.
3. Sauf à déploy­er une puis­sance infor­ma­tique et un temps de cal­cul démesurés. Les algo­rithmes étant tous plus ou moins décrypt­a­bles (au sens de : déchiffrables illé­gale­ment), le principe est en effet de tou­jours choisir une longueur de clef pour la mise en œuvre de l’al­go­rithme dont la robustesse est telle que son décryptage a un coût dis­pro­por­tion­né par rap­port au gain espéré.

Poster un commentaire