Next Previous Contents

1. Données générales

1.1 Introduction

Le chiffrement ou le cryptage sont des sujets très souvent abordé dont nous sentons tous confusément que nous allons l'utiliser dans un avenir proche de façon beaucoup plus massive qu'actuellement : à la fois dans dans la protection des transaction commerciales, mais aussi et surtout dans le transport d'informations privées ou ne devant pas être publique contractuellement (par exemple en médecine : le secret médical). PGP ou GnuPG sont parfaitement indiqués dans ce dernier cas. Une traduction du texte de Phil Zimmermann : pourquoi j'ai écrit PGP doit être lu. Le chiffrement avec des clés inférieures ou égales à 128 bits est autorisé en France désormais. Lire l'état de la législation dans le journal officiel sur le chiffrement ou la signature électronique.

L'email actuellement tend largement à remplacer le courrier papier pour transporter l'information. Ce dernier n'est protégé par des regards indélicats par une simple enveloppe certes, mais qui demande alors un investissement humain très lourd (le plus souvent illégal) pour en découvrir le contenu. L'effet de masse fait qu'est ainsi transporté de l'information confidentielle ou parfaitement anodine sans différence, et donc de fait la protège. Il est convenu de dire que la protection en des emails est équivalente à celle cartes postales : très facile à lire aux différentes étapes de la chaine, en particulier aux deux extrémités. En fait la puissance de l'informatique fait que le traitement automatique des fichiers et l'utilisation de "renifleurs" permet théoriquement une intervention humaine beaucoup plus ciblée et précise (affaiblissant considérablement la protection actuelle de l'email par rapport au courrier papier). PGP est le logiciel le plus ancien et le plus largement utilisé en matière de cryptographie, des versions freewares comme commerciales existent. Son alterego libre de la Free Software Foundation existe également : GnuPG en version stable maintenant (1.x).

Il faut donc que le système respecte classiquement :

1.2 Principe

La technique cryptographique la plus simple consiste à utiliser une clé secrète. C'est la même qui est utilisée par l'émetteur et le recepteur. Il faut la transporter par des moyens sécurisés, ce qui par l'Internet rend les choses caduques. PGP permet aussi d'utiliser ce système.

Dans les systèmes à clés publiques (PGP ou GnuPG), il existe deux clés : l'une permettant de déchiffrer ce que l'autre a chiffré, et réciproquement. L'une est publique et ainsi diffusée à ses correspondants qui vont l'utiliser pour vous envoyer un message (et donc le chiffrer avec celle-ci), l'autre est privé (vous êtes donc le seul à en disposer elle doit être protégé du vol, et ne doit être éventuellement transporté qu'uniquement par un canal sûr, par exemple avec vous sur une disquette). De plus, pour pouvoir les utiliser, il y a utilisation d'une phrase (passphrase), cela peut constituer un point faible du système. Par ailleurs la clé publique doit être authentifier par un tiers pour être sûr que celle ci émane bien du correspondant.

La signature électronique permet, tout en gardant le texte clair de générer un petit fichier de signature, qui est à la fois (1) spécifique de vous et (2) du message que vous envoyez. C'est donc bien plus qu'une signature manuscrite que vous pouvez apposer en bas d'un document papier. C'est à dire qu'une modification du document transmis par voie électronique générera une erreur à la vérification du couple message/signature. Cela peut par exemple être utile pour les articles produit pour l'usenet, les listes diffusions.

NB : Je ne suis pas spécialiste de crytologie, en particulier en matière d'algorithme ou de calcul de la taille de clés. Je cherche simplement à faire partager ma recherche de documentation dans l'usage de ces logiciels. La lecture de documentations plus exhaustives est nécessaire pour correctement apréhender les différents types d'algorithmes (non abordés ici) et comprendre l'ensemble des principes.

Toutes les suggestions sont les bienvenues.


Next Previous Contents