Signature par certificat
Signature par certificat
Notre service technique nous propose aujourd'hui de s'intéresser à la signature et au chiffrement des emails par « Certificat ».
A quoi ça sert ?
La signature d'un email par certificat identifie de manière certaine l'émetteur d'un mail. Elle confère à vos courriels une authenticité dont ne dispose pas un email simple dont il est toujours possible de contester l'origine.
Elle responsabilise l'émetteur du mail qui n'est plus anonyme.
Elle permet de lutter contre le SPAM (emails non désirés) en authentifiant l'émetteur des courriels.
Le chiffrement d'un message par certificat assure la confidentialité du message et des pièces jointes.
Comment ça marche ?
Le certificats ICP (Infrastructure à Clés Publiques) ou PKI (Public Key Infrastructures) repose sur un double principe :
- technique : le principe des clés de chiffrement asymétriques
- organisationnel : le principe d'une hiérarchie par tiers de certification
Le principe des clés asymétrique est de créer par algorithme mathématique, selon le Théorème d'Euler, une paire de clés : une secrète (S) et une publique (P) de telle manière qu'un message chiffré avec «P» ne peut être déchiffré que par «S» et vice versa et qu'il soit impossible de calculer une des clés avec l'autre.
Donc un message signé par la clé «S» de Paul peut-être lu par toute personne possédant la clé «P» de Paul. Par ce moyen on s'assure de l'identité de l'émetteur ainsi que de l'intégrité du contenu : le message est «signé» électroniquement.
Un message chiffré de Paul avec la clé «P» de Pierre ne peut-être déchiffré que par Pierre grâce à sa clé «S». Par ce moyen on s'assure de la confidentialité du message.
La norme X509 définit le format des certificats, la norme X500 celui des annuaires contenant ces certificats et les clés publiques associées et LDAP (Lightweight Directory Access Protocol) les modalités d'utilisation de ces répertoires.
Le message étant chiffré, reste maintenant à s'assurer que la clé «P» est bien celle de Paul. C'est là qu'intervient le 2ème principe, celui de la hiérarchie par tiers de certification.
L'Autorité de Certification délivre un certificat, signé par sa clé «S» attestant, pour une durée de validité limitée, de l'identité correspondant à une clé publique. Elle assure la conservation des clés publiques de ses abonnés. Son rôle est alors de permettre à 2 personnes qui ne se connaissent pas mais sont toutes deux connues par elle, d'effectuer une transaction en toute confiance : c'est un tiers de certification. Il existe aussi des autorités d'enregistrement dont le rôle est de contrôler l'identité du demandeur d'un certificat et des autorités d'horodatage et d'archivage. Toutes ces autorités peuvent s'exercer au sein d'une même organisation.
Compte tenu du nombre important d'autorités de certification, il a été établi le principe de l'architecture de confiance ICP ou PKI basé sur la reconnaissance mutuelle des certificats délivré par les autorités de certification et par la hiérarchisation des autorités de certification, seules celles de niveau supérieur se reconnaissant mutuellement.
Tout cela paraît bien complexe ! Heureusement, dans la pratique quelques clics suffisent pour obtenir et installer un certificat et paramétrer votre logiciel de messagerie.
Dans la pratique ?
En premier lieu, il convient de souscrire un abonnement auprès d'un « registrar » comme FIDIT® du nombre de certificats de votre choix pour 1, 2 ou 3 ans.
Au sein de votre organisation, un administrateur est alors habilité à délivrer des certificats. Attention, il s'agit là d'une responsabilité légale.
Pour chaque collaborateur autorisé, une demande individuelle de certificat est effectuée.
A réception, le certificat alloué est installé sur chaque client de messagerie du collaborateur.
Précautions :
Le déploiement de certificats de messagerie doit être sécurisé afin d'assurer la confidentialité de chaque certificat.
Les clés de chiffrement sont stockées sur les postes clients. Il convient donc de s'assurer que ces postes ne pourront pas être corrompus par des intrusions, virus ou chevaux de Troie. La protection du réseau interne par une solution type AXE one® est d'autant plus nécessaire.
Il est indispensable de prévoir une procédure de sauvegarde des certificats. En effet la perte du certificat, réinstallation du système du poste client par exemple, provoque de fait la perte des emails chiffrés par ce certificat.
La signature d'un email par certificat confère à son auteur une responsabilité équivalente à la signature physique d'un courrier papier Loi du 13 mars 2000.
Si vous souhaitez de plus amples informations sur notre prestation de certification des emails, n'hésitez pas à nous consulter.