Bibliographie & annexes
Présentation
RÉSUMÉ
La messagerie électronique représente l'un des usages majeurs du Web, avec un besoin de sécurisation très important. Les protocoles PGP et S/MIME assurent, au moyen de méthodes cryptographiques, mais de façons différentes, l’authentification des utilisateurs ainsi que la confidentialité et l’intégrité des échanges. Cet article présente et compare les caractéristiques des deux protocoles et les implémentations possibles.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Patrick MAIGRON : Ingénieur d’études à l’Institut national des télécommunications (GET/INT) , Évry
INTRODUCTION
La messagerie électronique est l’une des applications Internet les plus utilisées, avec les technologies Web. Devenue le moyen de communication principal pour de nombreuses entreprises, son utilisation dans le cadre de l’échange de documents sensibles ou confidentiels n’est pas sans poser de problèmes. Les protocoles normalisés qui permettent de mettre en œuvre les applications de messagerie ont en effet été conçus dans les années 1970, époque à laquelle les questions de sécurité sur Internet n’étaient pas encore d’actualité.
Les deux techniques les plus utilisées pour intégrer des fonctions de sécurité à la messagerie électronique sont PGP (Pretty Good Privacy) et S/MIME (Secure MIME). Ces deux technologies concurrentes permettent en effet, au moyen de méthodes cryptographiques largement utilisées par ailleurs dans le domaine de la sécurité des réseaux, d’assurer l’authentification des utilisateurs ainsi que la confidentialité et l’intégrité des échanges.
Après avoir mis en évidence les différents problèmes inhérents à la messagerie électronique classique, nous présenterons dans une première partie les mécanismes de base utilisés par ces deux technologies et en quoi elles permettent de répondre à ces problèmes. Nous détaillerons ensuite les fonctions de sécurité communes à PGP et à S/MIME : création de clés, révocation de clés, signature électronique des messages, chiffrement des messages. Puis nous décrirons les différentes méthodes d’échange de clés publiques entre utilisateurs et montrerons qu’il est nécessaire, pour obtenir un niveau de sécurité suffisant, de valider les clés publiques obtenues. L’une des différences principales entre PGP et S/MIME vient du modèle de sécurité utilisé pour valider les clés publiques : un modèle décentralisé pour PGP, où chaque utilisateur est chargé de faire certifier lui-même sa propre clé publique, et un modèle centralisé pour S/MIME, où la certification est à la charge d’autorités de certification dûment accréditées. Nous décrirons successivement ces deux modèles de sécurité. Enfin, nous présenterons les différents formats de messages utilisés par PGP et S/MIME, ainsi que les principales implémentations disponibles actuellement. Nous conclurons par une comparaison entre les deux technologies.
L'expertise technique et scientifique de référence
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Échange et vérification des clés publiques dans le cas de S/MIME3. Échange et vérification des clés publiques dans le cas de PGP
Comme indiqué précédemment, lorsque deux personnes souhaitent communiquer de manière sécurisée, chacune d’elles doit posséder la clé publique de son correspondant.
Les clés publiques peuvent s’échanger de deux manières différentes : directement ou via un serveur de clés. Par exemple, si Alice et Bernard se connaissent, Bernard enverra sa clé directement à Alice dans un message électronique. En revanche, si Alice doit communiquer avec David qu’elle ne connaît pas, elle pourra obtenir la clé de David sur un serveur de clés publiques.
Alice doit posséder la clé publique de Bernard pour pouvoir lui envoyer des messages chiffrés, ainsi que pour vérifier la signature de Bernard dans les messages reçus.
L’un des aspects les plus critiques concernant le niveau de sécurité offert par les technologies PGP et S/MIME est le modèle de confiance entre utilisateurs. Deux modèles entièrement différents existent : un modèle décentralisé où les utilisateurs sont eux-mêmes chargés d’établir des relations de confiance entre eux (PGP) et un modèle centralisé basé sur des autorités de certification (S/MIME). Nous décrivons dans ce paragraphe le modèle décentralisé, puis nous aborderons le modèle centralisé dans le paragraphe 4.
3.1 Échange direct entre utilisateurs
Lorsque deux utilisateurs se connaissent, la manière la plus simple d’obtenir une clé publique d’un correspondant est de l’envoyer par la messagerie électronique elle-même. Un tel échange est schématisé sur la figure 12 a .
Cette méthode présente cependant un risque, du fait que le système de messagerie n’est pas sûr. Ainsi, Estelle peut générer une clé...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Échange et vérification des clés publiques dans le cas de PGP
BIBLIOGRAPHIE
-
(1) - ATKINS (D.), STALLINGS (W.), ZIMMERMANN (P.) - PGP Message Exchange Formats - . RFC 1991, IETF (août 1996).
-
(2) - CALLAS (J.), DONNERHACKE (L.), FINNEY (H.), THAYER (R.) - OpenPGP Message Format - . RFC 2440, IETF (nov. 1998).
-
(3) - DUSSE (S.), HOFFMAN (P.), RAMSDELL (B.), LUNDBLADE (L.), REPKA (L.) - S/MIME Version 2 Message Specification - . RFC 2311, IETF (mars 1998).
-
(4) - DUSSE (S.), HOFFMAN (P.), RAMSDELL (B.), WEINSTEIN (J.) - S/MIME Version 2 Certificate Handling - . RFC 2312, IETF (mars 1998).
-
(5) - RAMSDELL (B.) (éd.) - S/MIME Version 3 Certificate Handling - . RFC 2632, IETF (juin 1999).
-
(6) - RAMSDELL (B.) (éd.) - S/MIME Version 3 Message Specification - . RFC 2633, IETF (juin 1999).
-
...
ANNEXES
PGP Corporation http://www.pgp.com
The International PGP Home Page http://www.pgpi.org
The GNU Privacy Guard http://www.gnupg.org
GPA - The GNU Privacy Assistant http://www.gnupg.org/related_software/gpa
PGP Key Servers http://www.pgp.net
OpenPGP Public Key Server http://www.keyserver.net
The comp.security.pgp FAQ http://www.pgp.net/pgp-faq
OpenPGP en français http://www.openpgp.fr.st
RSA Security, S/MIME Central https://www.rsa.com/fr-fr
VeriSign, Digital IDs for Secure E-mail http://www.verisign.com/products/class1
Thawte France https://www.fr.thawte.com
Certplus http://www.certplus.com
IETF, S/MIME Mail Security Working Group http://www.ietf.org/html.charters/smime-charter.html
HAUT DE PAGE
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
