Présentation

Article

1 - PROBLÉMATIQUE

2 - FONCTIONS DE SÉCURITÉ COMMUNES À PGP ET S/MIME

3 - ÉCHANGE ET VÉRIFICATION DES CLÉS PUBLIQUES DANS LE CAS DE PGP

4 - ÉCHANGE ET VÉRIFICATION DES CLÉS PUBLIQUES DANS LE CAS DE S/MIME

5 - FORMAT DES MESSAGES

6 - OUTILS

7 - CONCLUSION

| Réf : H5330 v1

Échange et vérification des clés publiques dans le cas de S/MIME
Sécurité des e-mails : PGP et S/MIME

Auteur(s) : Patrick MAIGRON

Date de publication : 10 oct. 2003

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

La messagerie électronique représente l'un des usages majeurs du Web, avec un besoin de sécurisation très important. Les protocoles PGP et S/MIME assurent, au moyen de méthodes cryptographiques, mais de façons différentes, l’authentification des utilisateurs ainsi que la confidentialité et l’intégrité des échanges. Cet article présente et compare les caractéristiques des deux protocoles et les implémentations possibles. 

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Patrick MAIGRON : Ingénieur d’études à l’Institut national des télécommunications (GET/INT) , Évry

INTRODUCTION

La messagerie électronique est l’une des applications Internet les plus utilisées, avec les technologies Web. Devenue le moyen de communication principal pour de nombreuses entreprises, son utilisation dans le cadre de l’échange de documents sensibles ou confidentiels n’est pas sans poser de problèmes. Les protocoles normalisés qui permettent de mettre en œuvre les applications de messagerie ont en effet été conçus dans les années 1970, époque à laquelle les questions de sécurité sur Internet n’étaient pas encore d’actualité.

Les deux techniques les plus utilisées pour intégrer des fonctions de sécurité à la messagerie électronique sont PGP (Pretty Good Privacy) et S/MIME (Secure MIME). Ces deux technologies concurrentes permettent en effet, au moyen de méthodes cryptographiques largement utilisées par ailleurs dans le domaine de la sécurité des réseaux, d’assurer l’authentification des utilisateurs ainsi que la confidentialité et l’intégrité des échanges.

Après avoir mis en évidence les différents problèmes inhérents à la messagerie électronique classique, nous présenterons dans une première partie les mécanismes de base utilisés par ces deux technologies et en quoi elles permettent de répondre à ces problèmes. Nous détaillerons ensuite les fonctions de sécurité communes à PGP et à S/MIME : création de clés, révocation de clés, signature électronique des messages, chiffrement des messages. Puis nous décrirons les différentes méthodes d’échange de clés publiques entre utilisateurs et montrerons qu’il est nécessaire, pour obtenir un niveau de sécurité suffisant, de valider les clés publiques obtenues. L’une des différences principales entre PGP et S/MIME vient du modèle de sécurité utilisé pour valider les clés publiques : un modèle décentralisé pour PGP, où chaque utilisateur est chargé de faire certifier lui-même sa propre clé publique, et un modèle centralisé pour S/MIME, où la certification est à la charge d’autorités de certification dûment accréditées. Nous décrirons successivement ces deux modèles de sécurité. Enfin, nous présenterons les différents formats de messages utilisés par PGP et S/MIME, ainsi que les principales implémentations disponibles actuellement. Nous conclurons par une comparaison entre les deux technologies.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5330


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

4. Échange et vérification des clés publiques dans le cas de S/MIME

Avec PGP, les utilisateurs sont chargés de la création de leurs propres certificats, établissant ainsi des relations de confiance de proche en proche sous la forme d’une toile de confiance. Avec S/MIME, les certificats sont établis par des autorités de certification, qui en assurent également la diffusion. La confiance dans les clés publiques repose alors intégralement sur ces autorités de certification, sans mettre en jeu les utilisateurs eux-mêmes.

4.1 Certificats S/MIME

Un utilisateur souhaitant utiliser une application S/MIME doit au préalable obtenir un certificat S/MIME de la part d’une autorité de certification, notée CA (Certificate Authority). Il existe des dizaines de CA publiques dans le monde, tels que VeriSign (le leader du marché), Thawte ou Certplus en France. Les grandes entreprises peuvent également mettre en œuvre une CA privée, interne au groupe.

Chaque CA délivre des certificats signés avec sa propre clé privée. Comme avec PGP, un certificat permet d’établir une corrélation entre une clé publique et l’identité du propriétaire de la clé. Il peut exister plusieurs niveaux de certification, correspondant à différents moyens de vérification de l’identité de la personne demandant le certificat (vérification de l’adresse électronique, de l’adresse postale, présentation de documents officiels...). Les processus de vérification d’identité doivent être précisément décrits par chaque CA, de manière à ce que tout utilisateur puisse avoir une idée précise du niveau de sécurité associé aux certificats qu’il obtient. Une fois l’identité vérifiée par une CA, l’ensemble de la clé publique et de l’identification du propriétaire est signé avec la clé privée de la CA.

Exemple

la société VeriSign délivre des certificats S/MIME sous le nom commercial Digital ID. Ces certificats peuvent être de classe 1, 2 ou 3. Les certificats de classe 1 et 2 sont réservés aux particuliers, ceux de classe 3 peuvent être attribués à la fois à des particuliers et à des entreprises.

Encadré 2 – Format des certificats S/MIME

1. Numéro de version de la recommandation X.509 (3 en 2003)

2. Clé publique du propriétaire du certificat

3. Numéro de série...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Échange et vérification des clés publiques dans le cas de S/MIME
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - ATKINS (D.), STALLINGS (W.), ZIMMERMANN (P.) -   PGP Message Exchange Formats  -  . RFC 1991, IETF (août 1996).

  • (2) - CALLAS (J.), DONNERHACKE (L.), FINNEY (H.), THAYER (R.) -   OpenPGP Message Format  -  . RFC 2440, IETF (nov. 1998).

  • (3) - DUSSE (S.), HOFFMAN (P.), RAMSDELL (B.), LUNDBLADE (L.), REPKA (L.) -   S/MIME Version 2 Message Specification  -  . RFC 2311, IETF (mars 1998).

  • (4) - DUSSE (S.), HOFFMAN (P.), RAMSDELL (B.), WEINSTEIN (J.) -   S/MIME Version 2 Certificate Handling  -  . RFC 2312, IETF (mars 1998).

  • (5) - RAMSDELL (B.) (éd.) -   S/MIME Version 3 Certificate Handling  -  . RFC 2632, IETF (juin 1999).

  • (6) - RAMSDELL (B.) (éd.) -   S/MIME Version 3 Message Specification  -  . RFC 2633, IETF (juin 1999).

  • ...

1 Sites Internet

PGP Corporation http://www.pgp.com

The International PGP Home Page http://www.pgpi.org

The GNU Privacy Guard http://www.gnupg.org

GPA - The GNU Privacy Assistant http://www.gnupg.org/related_software/gpa

PGP Key Servers http://www.pgp.net

OpenPGP Public Key Server http://www.keyserver.net

The comp.security.pgp FAQ http://www.pgp.net/pgp-faq

OpenPGP en français http://www.openpgp.fr.st

RSA Security, S/MIME Central https://www.rsa.com/fr-fr

VeriSign, Digital IDs for Secure E-mail http://www.verisign.com/products/class1

Thawte France https://www.fr.thawte.com

Certplus http://www.certplus.com

IETF, S/MIME Mail Security Working Group http://www.ietf.org/html.charters/smime-charter.html

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS