| Home | Certificats | Astuces | Documentation | Stats : cacti - mrtg |  04 Jul 2008

Menu principal

· Home
· Certificats
· Astuces
· Documentation
· Back Office


PKI

· Certificat Root
· Liste de Révocation
· Certificat Utilisateur
· Certificat Serveur
· Test Authentification
· Administration 


LDAP

· Demo LDAP


Get Firefox

Comprendre la PKI

Introduction

De nouveaux besoins liés à la sécurité des communications sont apparus avec le développement de l'Internet et en particulier celui du commerce électronique. En effet, son développement dépend de l’établissement de relations de confiance entre les parties de l’échange. Le manque de sécurité est souvent indiqué par les médias comme le principal obstacle au développement du commerce électronique. De fait, les données circulant sur le réseau Internet peuvent être interceptées.

La confiance des utilisateurs passe donc par la sécurisation des transactions, par exemple au moyen d’une procédure de certification, et la reconnaissance des signatures électroniques.

Les composantes de la sécurité des échanges de données sont les suivantes :

  1. L’intégrité La première composante de la sécurité est l’intégrité des données transmises sur le réseau. Elle signifie que les données n’ont pas été altérées, copiées ou détournées, accidentellement ou frauduleusement. Le contrôle de l’intégrité des données passe par la signature électronique qui dépend du contenu du message lui-même. Ainsi, si un bit change, la signature n’est plus la même. De cette manière, toute altération du message est automatiquement repérée.
  2. L’authentification La deuxième composante de la sécurité des échanges est l’authentification des parties. Il s’agit pour le récepteur du message de s’assurer que le signataire est bien l’émetteur, et pour l’émetteur de vérifier que le correspondant annoncé est bien le récepteur. Des solutions techniques, qui certifient l’identité des parties au moyen de clés lors de chaque communication, existent.
  3. La non-répudiation La troisième composante de la sécurité des échanges est la non-répudiation. En effet, l’authentification de l’acte vise à supprimer la possibilité de répudiation de l’émission d’une information. Ainsi, l’émetteur d’un message ne peut plus nier ni son émission, ni son contenu.
  4. La confidentialité Les informations transmises sur le réseau ne doivent pas être intelligibles par des tiers. Par exemple, un numéro de carte bleue est codé pour qu’il ne soit pas réutilisé par le commençant. C’est donc un chiffrement des messages transmis qui garantit la confidentialité des données. Le système mixte de clé publique et de clé privée utilisé assure à l’émetteur d’information que seul son correspondant pourra lire le message.

Dans ce document, je présenterai les certificats numériques et la façon dont, associés à une infrastructure à clés publiques, ils peuvent répondre aux conditions de sécurité des échanges énumérées ci-dessus. Je rappellerai, tout d’abord, les principes de la cryptographie symétrique et de la cryptographie asymétrique ainsi que le mécanisme de la signature numérique.

 

Chiffrement et signature électronique

  1. Cryptographie à clé secrète ou cryptographie symétrique

Dans le chiffrement à clé symétrique ou clé secrète, c'est la même clé qui sert à la fois à chiffrer et à déchiffrer un message. C'est exactement le même principe qu'une clé de porte : c'est la même qui sert à ouvrir et à fermer une serrure.

La difficulté est donc de transmettre cette clé secrète à la personne avec laquelle on désire établir des communications confidentielles. En effet :

Lorsque Alice souhaite envoyer des messages confidentiels à Bob, elle va suivre les étapes suivantes :

  • Alice envoie à Bob une copie de sa clé secrète "K" de façon sécurisée (par exemple, elle lui donne en mains propres lors d'une rencontre). Alice chiffre un message pour Bob à l'aide de la clé secrète "K"
  • Bob déchiffre le message reçu d'Alice avec la même clé "K"
  • Toutes les communications suivantes entre Bob et Alice peuvent se faire avec cette même clé "K"

Une seule clé est donc utilisée pour chiffrer et déchiffrer tous les messages entre Bob et Alice.

Cette méthode a de nombreux inconvénients :

  • Alice doit trouver un moyen sûr d'envoyer à Bob sa clé secrète "K", car si cette clé est interceptée, tous les échanges électroniques entre Bob et Alice sont compromis.
  • La clé "K" ne peut servir que pour les échanges entre Bob et Alice : il faut une autre clé pour les échanges entre Alice et Paul, car si Alice utilise encore la clé "K" pour ses échanges avec Paul, Bob sera en mesure de déchiffrer ces messages qui ne lui sont pas destinés, puisque Bob a aussi une copie de la clé "K".
  • Dès que l’on a besoin d'échanger des messages avec plusieurs personnes, vous devrez détenir autant de clés secrètes que de personnes avec qui l’on veut dialoguer, et conserver de façon très sécurisée toutes ces clés secrètes. Ainsi, la gestion de toutes ces clés devient rapidement très lourd.

 

2. Cryptographie à clé publique ou cryptographie asymétrique

La cryptographie à clé publique est une méthode utilisée pour transmettre et échanger des messages de façon sécurisée (authentification de l'émetteur, garantie d'intégrité et garantie de confidentialité). Cette technique repose sur le principe de "paire de clés asymétriques".

Chaque individu engagé dans une transaction est muni d'une "clé privée" et d'une "clé publique". La clé privée ne doit être communiquée à personne, tandis que la clé publique est transmise à tous nos interlocuteurs, sans aucune restriction.

Les principes généraux de la cryptographie à clé publique sont les suivants :

  • Un message codé avec une clé privée ne peut être décodé que par la clé publique associée,
  • De même, un message codé avec une clé publique ne peut être décodé que par la clé privée associée,
  • Une clé publique donnée n’est associée qu’une seule clé privée et réciproquement, à une clé privée n’est associée qu’une seule clé publique.

 

3. La signature numérique

La signature permet d’identifier de manière " sûre " l’émetteur d’un message reçu et de garantir l’intégrité du message. Cela permet donc de reproduire sur Internet l’environnement de confiance des échanges physiques, puisque lors, il devient impossible de répudier un document électronique (un bon de commande, une offre de bourse, ...).

L’envoi d’un message signé suit les étapes décrites dans le schéma ci-dessous :

  1. Une fonction de hachage (MD5 ou SHA-1) va calculer l’empreinte du message, qui est un condensé du message.
  2. L’empreinte du message est ensuite chiffrée ; l’empreinte chiffrée constitue la signature numérique du message.
  3. Alice enverra à Bob : <le message, la signature numérique, sa clé publique>

Une fonction de hachage (MD5 Message Digest v5 ou SHA-1 Secure Hash Algorithm v1) est une fonction qui calcule le condensé d’un message. Le résultat est unique : si un bit du message est modifié, le résultat n’est pas le même. Cette fonction est non-inversible. Par exemple, MD5 utilise des opérateurs bits à bits et de décalage de bits.

Ainsi, lorsque Bob recevra le message d’Alice voici les procédures qui vont suivre :

  1. Bob déchiffre la signature avec la clé publique d’Alice
  2. Bob calcule l’empreinte du message soi-disant d’Alice (avec la même fonction de hachage que celle employée par Alice)
  3. Bob compare les 2 empreintes : si elles sont identiques, cela signifierait que l’auteur du message est bien Alice.

En réalité, Bob ne peut pas être sûr que le message provient bien d’Alice. Tout ce dont il est certain, c’est qu’à la clé publique jointe au message correspond bien la clé privée qui a servi à signer le message. En effet, le nom d’Alice ne figure nulle part.

C’est pourquoi, il est nécessaire d’introduire les certificats numériques. Nous allons voir comment ces derniers vont permettre d’instaurer un état de confiance ; c’est-à-dire en prouvant l’identité de l’expéditeur.

 

Les certificats numériques

  1. Définition

Un certificat numérique est une pièce d'identité électronique. Le certificat est indissociable des fonctions de signature électronique (identification de l'émetteur, intégrité du message, garantissant ainsi la non-répudiation) et de chiffrement (confidentialité d'un message). Le certificat numérique peut également servir pour l'authentification lors de besoins de contrôle d'accès.

  1. Quels certificats pour quels besoins ?

Les certificats numériques permettent d’établir un environnement de confiance entre deux entités distantes (deux personnes physiques, une personne et un serveur web,...) qui ont besoins de communiquer entre elles, et de s’échanger des informations non répudiables (nécessité de signature électronique) et des informations confidentielles (application de chiffrement).

Les notions de signature et de confidentialité sont omniprésentes dans les échanges d'information sur support physique (courrier notamment) : une lettre confidentielle est mise sous enveloppe, une signature manuscrite est apposée au bas d'un document important. La logique est la même pour les échanges électroniques, et les besoins de certificats numériques concernent donc de larges populations : individus devant s'identifier sur des services en ligne, collaborateurs d'une entreprise (ou d'un groupe d'entreprises partenaires) échangeant des informations critiques, serveur web échangeant de l'information confidentielle avec la population qui s'y connecte (serveur marchand, par exemple), etc.

Il existe trois types de certificats :

  • Certificat Serveur : certificat hébergé sur un serveur, lié à une adresse Internet.
  • Certificat Personnel : certificat hébergé sur un ordinateur ou une carte à puce, lié à une personne physique (et éventuellement lié aussi à son entreprise, à sa banque, à son ISP)
  • Certificat IPSEC : certificat hébergé sur un routeur (et éventuellement sur un ordinateur isolé) pour permettre le chiffrement de l'ensemble des flux qui transitent entre deux points (Réseau Privé Virtuel, protocole IPSEC).

Le type de certificat à utiliser dépend du besoin :

  • Besoin de contrôle d'accès : un serveur nécessitant d'authentifier l'utilisateur qui se connecte à lui le reconnaîtra grâce à son certificat personnel (exemple : le serveur d'une banque et ses clients qui veulent consulter leur compte). L'utilisateur a besoin d'un Certificat Personnel.
  • Besoin de signature électronique : les messageries internes aux entreprises, ou partagées avec des partenaires (Intranet ou Extranet) ont besoin d'un espace de confiance pour dialoguer efficacement : l'échange d'un bon de commande de façon électronique permet d'économiser les saisies multiples dans les systèmes d'information de l'entreprise et de son fournisseur ; cet échange doit donc se faire dans des conditions aussi bonnes que l'échange sur papier : la signature électronique répond à cette exigence, puisque les risques d'usurpation d'identité et de répudiation disparaissent avec les infrastructures à clés publiques et l'usage des certificats. Les collaborateurs de l'entreprise (et de ses partenaires) ont chacun besoin d'un Certificat Personnel.
  • Besoin de confidentialité : là encore, la confidentialité est quotidienne dans le monde physique et les besoins sont les mêmes dans les environnements intranet, extranet ou internet : le centre de recherche d'une entreprise envoie le process de fabrication d'un nouveau produit à son usine au Brésil par sa messagerie interne à condition qu'elle puisse chiffrer ces informations confidentielles ; de même, un achat de livre sur Internet nécessite de chiffrer les informations relatives à votre carte bancaire qui transitent sur Internet. Enfin, une entreprise multi-sites souhaitant établir un Réseau Privé Virtuel (Virtual Private Network ou VPN) équipera ses routeurs d'extrémité (et ses postes isolés) de certificats IPSEC permettant ainsi le chiffrement de toutes les informations transitant entre ses sites. Les collaborateurs de l'entreprise (et de ses partenaires) ont chacun besoin d'un Certificat Personnel, le serveur web a besoin d'un Certificat Serveur, le routeur a besoin d'un Certificat IPSEC.

 

  1. Le processus de certification

  1. L’autorité de certification (CA)
  • Définition
    •

    Une Autorité de Certification (Certification Autority, ou CA) définit et fait appliquer une politique de délivrance, révocation et renouvellement de certificats numériques. Tous les certificats numériques émis par une CA sont signés avec la clé privée de cette CA afin d'assurer l'authenticité du certificat (la clé privée de la CA est une sorte de "tampon électronique" qui valide la pièce d'identité électronique).

    La crédibilité d'une carte d'identité électronique dépend donc de la CA qui l'a émise, et des procédures mises en œuvre pour établir avec certitude l'identité du demandeur : le "tampon électronique" doit en effet être celui d'une autorité reconnue, et doit être utilisé et protégé dans des conditions de sécurité et de contrôle extrêmes, pour empêcher la création de faux certificats.

    Quelques autorités de certification

    • La Poste et Sagem se sont associé pour créer le service CertiPost.
    • CertPlus réunit France Télécom, Gemplus, Matra Hautes Technologies et Verisign.
    • Thawte devenue récemment filiale de Verisign.
    1. Obtention d’un certificat

    Le processus de certification fait intervenir 3 acteurs : l’autorité de certification, l’autorité d’enregistrement et l’opérateur de certification. Il est représenté par le schéma suivant.

    Pour expliquer l’intervention de ces 3 autorités, je ferai un parallèle avec l’obtention d’une carte de crédit.

    En premier lieu, le siège social de la banque a défini des critères qui vont permettre l’attribution d’une carte de crédit. Dans l’infrastructure à clé publique, il s’agit de l’autorité de certification ; cette autorité définit le profil requis pour obtenir un certificat numérique.

    En pratique, le porteur d‘une carte de crédit n’a vu que son agence bancaire, qui s’est chargé de recueillir sa demande, de vérifier son identité et d’évaluer les critères d’attribution déterminés par le siège social. Puis elle a donné son attribution. Dans l’infrastructure à clé publique, ce rôle est dévolu à l’autorité d’enregistrement.

    Enfin, l’agence bancaire a demandé à un troisième acteur, le consortium de cartes de crédit, la fabrication de la carte. Dans l’infrastructure à clé publique, l’autorité d’enregistrement donne l’identité et la clé publique de l’individu à l’opérateur de certification qui génère un certificat.

    Exemple d’une demande d’un certificat de la CA Selso

    J’ai demandé un certificat personnel pour le cryptage et la signature de mails (gratuit).

    1. On remplit un formulaire ; Selso demande des informations personnelles dont certaines vont figurer dans le certificat.
    2. On choisit un login, mot de passe pour accéder à notre futur clé privée. La création d’une paire de clé s’effectue localement. Notre clé publique chiffrée avec la clé publique de Selso est ensuite transmise à Selso.
    3. Selso nous envoie par mail un code PIN.
    4. Enfin, on se connecte au site et on récupère notre certificat avec le code PIN.

    Toutes les transactions sont sécurisées avec le protocole SSL.

    Le certificat personnel est publique et doit être diffusée à nos correspondants.

    1. Composition d’un certificat personnel

    La forme standard d’un certificat est définie selon la norme X.509.

    Le certificat contient des informations relatives au certificat : son format, son numéro de série, la spécification de l’algorithme de chiffrement utilisé pour la signature et sa date de validité.

    Mais aussi, des informations relatives au porteur : son nom, un identifiant unique, sa clé publique et l’algorithme de chiffrement associé à sa clé publique.

    Et enfin, des informations relatives à l’autorité de certification : le nom de l’autorité, son identifiant unique et la signature numérique de l’autorité de certification. Cette signature peut être vue comme un cachet (ou un tampon) apposé par l’autorité de certification qui prouve sa validité. Une fonction de hachage (MD5 ou SHA-1) est appliquée sur les informations contenue dans le certificat. Le résultat est alors chiffré avec la clé privée de l’autorité de certification. On obtient ainsi la signature numérique de l’autorité de certification qui est concaténé aux informations. Le tout constitue le certificat.

    1. Utilisation d’un certificat numérique personnel

    Avec un certificat personnel, on peut envoyer des mails signés. Si l’on désire, en plus, chiffrer ses mails, il faut posséder le certificat du destinataire. La figure suivante décrit le mécanisme d’échange de mails signés et aussi de mails signés et chiffrés. Dans cette figure, Alice envoie à Bob un mail signé et chiffré. Le mécanisme lié au chiffrement est mis en bleu.

    REMARQUE :

    Si Alice veut chiffrer son mail, il faut qu’elle possède le certificat de Bob. Bob lui aura, par exemple, auparavant envoyé un mail signé (son certificat étant joint).Netscape se charge alors de stocker le certificat dans un annuaire.

    Description du schéma précédent : Alice envoie à Bob un mail signé et chiffré :  

    A.- Alice envoie un mail signé et chiffré :

    • Alice compose le message.
    • Une fonction de hachage va calculer l’empreinte du message [1]
    • Cette empreinte va être chiffrée avec la clé privée d’Alice [2] ; cette empreinte chiffrée correspond à la signature numérique du message.
    • Alice génère une clé symétrique ; son message est chiffrée avec cette clé [3]
    • La clé symétrique est chiffrée avec la clé publique de Bob [4]
    • Alice enverra à Bob : <le message chiffré, la signature numérique, son certificat, la clé symétrique chiffrée> [5]

    B.- Bob réceptionne le mail soi-disant d’Alice :

    • La validité du certificat va être vérifiée (mécanisme décrit page suivante) [6]
    • Il obtient alors la clé publique d’Alice qui est contenu dans le certificat ; on est sûr désormais que la clé publique est bien celle d’Alice.
    • Il déchiffre la signature numérique à l’aide de la clé publique d’Alice et obtient la soi-disant empreinte du message d’Alice [7]
    • Parallèlement, il va déchiffrer la clé symétrique avec sa clé privée [8]
    • Il déchiffre le message avec la clé symétrique [9]
    • Il va calculer l’empreinte du message en clair avec une fonction de hachage [10]
    • Enfin, il compare les 2 empreintes obtenues [11] : si elles sont identiques, le message est reconnu comme authentique.

    Ainsi, grâce aux certificats numériques, on peut assurer les 4 besoins : l’intégrité, la l’authentification, la non-répudiation (grâce à la signature électronique) et la confidentialité (grâce au chiffrement).

    En pratique, il suffira à Alice de cocher les cases Encrypted et Signed pour envoyer un mail signé et crypté ; celle-ci possédant un certificat et celui de son correspondant.

    1. Netscape et la gestion des certificats 

    En cliquant sur l’icône " security " de la fenêtre principale de Netscape, on accède à une fenêtre qui permet la gestion des certificats : les nôtres, ceux des autres personnes, ceux des sites webs et ceux des CAs auxquelles on fait confiance (c’est-à-dire que l’on acceptera les certificats qu’ils auront signés).

    Pour insérer le certificat d’un correspondant dans la base, il suffit que celui-ci nous envoie un mail signé. Si le certificat est valide, Netscape l’insérera automatiquement.

    Comment le certificat est-il vérifié ?

    Le navigateur va vérifier l’intégrité du certificat, celui-ci étant signé par une autorité de certification (CA). Le navigateur va déchiffrer la signature présente dans le certificat avec la clé publique de la CA et parallèlement, il va calculer l’empreinte des données contenues dans le certificat. S’il obtient le même résultat, cela signifiera que le certificat est valide.

    On peut également y insérer des certificats d’autres CAs dont on a confiance ; par exemple, dans le cas d’une entreprise qui crée sa propre CA pour que les échanges de données puissent être authentifiés et sécurisés.

     

    Le Certificat Serveur

     

    1. Qu’est-ce qu’un certificat serveur ?

    Le certificat numérique d'un serveur qui héberge une page web est le passeport électronique de cette page web : il permet d'établir avec certitude le lien entre la page web hébergée (un nom de domaine, ou URL) et son propriétaire (une entreprise, un marchand, un individu), d'authentifier ce serveur, et de sécuriser les échanges électroniques entre ce serveur et les individus qui s'y connectent via Internet.

    Le Certificat Serveur contient les informations suivantes :

    • Le nom de domaine à certifier (ex : www.societe.fr)
    • Les coordonnées de l’entreprise
    • La clé publique (qui permet le chiffrement des informations)
    • Le nom de l'Autorité de Certification, qui émet ce passeport électronique
    • La date d'expiration de ce Certificat Serveur
    • La signature de l'Autorité de Certification

    Sa structure est semblable à celle d’un Certificat Personnel.

    1. L’intérêt d’un Certificat Serveur

    Le Certificat Serveur permet d'instaurer la confiance en authentifiant le site et en chiffrant l'ensemble des informations (personnelles, bancaires, etc.) entre ce site et la personne qui s'y connecte, afin de garantir la confidentialité des échanges.

    Les personnes venant visiter ce site Internet pourront formellement l’authentifier et laisser en toute sécurité et confiance leur numéro de carte bancaire ainsi que des informations personnelles. En effet, le Certificat Serveur permet de prouver l’identité du site aux utilisateurs qui s’y connectent, et ainsi d’empêcher un site malveillant d'usurper l’identité du site certifié et de détourner des clients. Ce Certificat Serveur permet également de sécuriser les transactions en ligne : on peut être sûr que les informations données par le client ne peuvent être interceptées, détournées ou déchiffrées par une autre personne. Il permet d’instaurer la confiance.

    La sécurité et la confiance que des clients peuvent attendre sont en plus garantis par l’établissement d’un canal sécurisé reposant sur la technologie SSL (Secure Sockets Layer).

    Un Certificat serveur apportera donc les assurances suivantes :

    La preuve de l’identité du site certifié : en authentifiant le site vis-à-vis des clients, en permettant le chiffrement

    Une forte sécurité : en reposant sur le modèle de chiffrement à "clé publique" : la technologie de chiffrement SSL.

    Les Certificats serveurs sont déjà utilisé principalement pour les sites de commerce électronique qui font de la vente sécurisée sur Internet, les banques qui offrent à leurs clients un accès sécurisé à leur compte bancaire, etc.

    Techniquement, les Certificats Serveur servent à :

    • Chiffrer des informations confidentielles (informations client, numéro de carte bancaire, etc.) envoyées par un client vers un site marchand.
    • Chiffrer les informations confidentielles qu'une entreprise transmet à ses partenaires ou ses employés distants connectés à Internet.
    • Chiffrer les informations stratégiques présentes sur l'intranet d'une entreprise.
    • Permettre l'authentification des sites sur lesquels sont connectés les utilisateurs, pour leur donner toute confiance dans l'exactitude du contenu des informations présentes : serveur d'informations, de banque, d'administration, d'intranet ou d'extranet, de vente en ligne, etc.

     

    1. Le protocole SSL

    Ce protocole utilise le certificat serveur. Le schéma suivant illustre les transactions nécessaires à l’établissement d’une session SSL.

    En vérifiant le certificat serveur, le client est sûr qu’il communique avec le site authentique.

    De plus, toutes les échanges qui suivront seront chiffrés avec la clé de session.

     

    Le chaînage de CA

     

    1. Pour qui et pourquoi un chaînage ?

    Une entreprise peut désirer mettre en place une infrastructure de certificats de sorte que les besoins nécessaires à la sécurité d’échanges de données (authentification, intégrité, non-répudiation, confidentialité) soient satisfaits. Mais comment va-t-elle gérer l’émission de certificats pour ses employés ou bien encore comment s'assurer que les certificats auront une valeur reconnue à l'intérieur comme à l'extérieur de l'entreprise ?

    Voici les différentes solutions pour l'entreprise :

    1. Elle peut créer elle-même sa propre autorité de certification (CA), géré au sein de la société et qui répond à ses exigences de sécurité et de disponibilité.
    2. Elle peut sous traiter la gestion des certificats à une autorité
    3. Elle peut encourager ses utilisateur à obtenir des certificats personnels directement auprès de Cas

    Les études de marchés montrent que les grandes entreprises, plus particulièrement celles qui exigent un niveau de sécurité important et une nécessité d'émettre des certificats en grand nombre, préfèrent administrer leur propre autorité de certification interne.

    Exemple : l'usage des certificats peut intéresser les universités qui veulent fournir un certificat à chaque étudiant

    La démarche habituelle de l'entreprise sera de sélectionner ou d'acheter un matériel de gestion de clés cryptographiques (boîte noire). Elle choisira également un logiciel de gestion de CA. Ces technologies permettront à l'entreprise d'émettre des certificats contenant des informations personnalisées et correspondant au niveau de sécurité recherché.

    Cependant, les logiciels standards ne reconnaîtront pas automatiquement de tels certificats. Chacun des logiciels qui sera amené à utiliser ces certificats devront être modifiés de façon à contenir le clé racine de l'autorité interne qui les a produit. Cela signifie qu'il faudra rajouter la clé racine du CA de l'entreprise dans chaque copie de Netscape Communicator, Microsoft Outlook ou encore Outlook Express.

    Il est clair que dans un environnement restreint, ce problème ne se pose pas. Mais, dans une grande entreprise ou organisation (environnement hétérogène), il est probable que l'entité qui contrôle le CA interne ne pourra pas modifier tous les logiciels. C'est pourquoi, il est commode d'utiliser un chaînage de Cas.

    1. La technologie

    Le chaînage de CAs permet de certifier l'autorité interne de l'organisation, et ainsi, de lui conférer la confiance associée au CA d'une autorité mondialement reconnue. Tous les logiciels qui font confiance à ce CA reconnaîtront immédiatement les certificats émis par les CAs chaînées.

    La norme X509 intègre le mécanisme de chaînage de certificats. Quand un premier CA signe les clés d'un second CA, les certificats générés par ce dernier héritent de la confiance apportées par les 2 CAs. Tous les logiciels qui supportent les certificats personnels supportent ce mécanisme de chaînage. Le service de chaînage de CAs signifie que les certificats émis par une autorité interne seront reconnus si une CA reconnue mondialement accepte de certifier ses clés racines, leur apportant la même confiance qu’à leurs clés racines.

     

    Conclusion

     

    L’usage de certificats numériques permet de répondre aux 4 besoins de sécurité pour l’échange d’informations qui sont :

    • l’intégrité : les données n’ont pas été modifiées
    • la non-répudiation : l’expéditeur d’un message ne pourra pas nier son envoi et son contenu
    • la confidentialité 
    • l’authentification 

    Les certificats associés à une infrastructure à clé publique permettent d’instaurer des relations de confiance et ainsi favoriser le développement du commerce électronique.