Sécurité et certificats

Comment sécuriser mes transactions?

Une des caractéristiques fortes d'Internet est sa dispersion; au lieu de s'adresser à un serveur central, un utilisateur se trouve en permanence en train de changer de serveur. Cela pose deux problèmes:

1. la confidentialité de l'information échangée;
2. l'authentification du serveur ou de l'utilisateur.

Le second problème existe également dans le cas où deux utilisateurs d'Internet souhaitent échanger de l'information, par courrier électronique par exemple.

La cryptographie à clé publique permet à la fois de signer des documents, afin d'en garantir la provenance et l'intégrité, et de chiffrer des documents qui ne seront déchiffrable que par le tiers possédant une clé donnée. Se pose ensuite le problème de la validité d'une clé: comment garantir qu'une clé appartient bien à qui l'on pense?

Deux mécanismes sont disponibles:

1. on peut s'adresser à une autorité de certification telle que Thawte pour garantir l'identité d'une personne grâce à l'utilisation de certificats X.509;
2. on utilise un anneau de confiance (web of trust en anglais) pour garantir, de proche en proche, l'identité du correspondant; c'est la technique adoptée par OpenPGP (et notamment le logiciel libre GnuPG implémentant cette norme).

Comment progresser?

Je peux certifier votre identité, que ce soit par le biais d'un certificat X.509 ou d'une clé OpenPGP.

Signature de clé OpenPGP

Je me ferai un plaisir de signer votre clé OpenPGP à l'aide de la mienne (disponible depuis cette page) en procédant de la manière suivante:

1. Vous me contactez (voir mes coordonnées) pour prendre rendez-vous.
2. Au rendez-vous, vous apportez une pièce d'identité officielle avec photo, ainsi qu'une empreinte (fingerprint) de votre clé OpenPGP.
3. Lors du rendez-vous, je vous remettrai l'empreinte de ma clé et vous ferai voir une pièce d'identité officielle avec photo, afin que vous puissiez également signer ma clé OpenPGP.

À partir de ce moment là, les gens qui ont décide de me faire confiance croiront (à raison) que la clé que j'ai signée vous appartient bien.

Certification X.509

Thawte a mis en place son propre anneau de confiance, présentant ainsi un modèle mixte: certains utilisateurs voient leur identité validée par Thawte, et deviennent ainsi tiers certificateurs pour le compte de cette société. Ils peuvent, à leur tour, accorder un certain nombre de points à d'autres utilisateurs après avoir vérifié leur identité. Ceux-ci, une fois qu'ils ont accumulé assez de points, voient leur identité à leur tour validée par Thawte. A partir d'un grand nombre de points, ces personnes peuvent à leur tour devenir tiers certificateur.

C'est exactement ce qui s'est passé dans mon cas: ayant fait physiquement vérifier mon identité par quatre personnes, tiers certificateurs de Thawte, j'ai accumulé plus de 100 points; cela me permet, à mon tour, de certifier d'autres personnes.
Si vous êtes physiquement situé sur Paris et souhaitez que je participe (gratuitement) à votre certification, n'hésitez pas à me contacter. Lisez d'abord la liste des pièces à fournir. Consultez également la liste des notaires Thawte sur Paris.

Comment vérifier un certificat?

Un certificat accordé par Thawte sera automatiquement vérifié par la plupart des clients de courrier électronique et des navigateurs WWW. En effet, Thawte fait partie des autorités de certification considérées comme sûres par les fabricants de navigateurs et de clients de messagerie, et tous les certificats qu'ils génèrent sont considérés comme valides.

Dans le cas d'une signature OpenPGP, le programme que vous utiliserez (par exemple GnuPG) tentera d'établir une chaîne entre des clés en lesquelles vous faîtes confiance et la clé de destination.

Liens

• Les joies de la cryptographie