• [^] # Re: Toujours pas clair pour un néophyte

    Posté par . En réponse au journal Scandale de la NSA et cryptographie, le vrai du faux. Évalué à 4.

    Salut,

    Pour la première partie :

    l'attaque la plus connue contre ce que tu décris est l'attaque de l'homme du milieu. Au moment où le destinataire met à disposition sa clé publique, tu l'interceptes et tu refiles ta clé publique aux autres. Quand ces derniers vont renvoyer des messages chiffrés avec ta clé, tu déchiffres, et tu rechiffres avec la clé publique du destinataire original.

    Il est donc indispensable de définir des mécanismes qui prouvent que le destinataire est authentique.

    Et pour la partie sur l'authentification :

    avec une paire de clé publique/privée, on va plus loin que chiffrer/déchiffrer, on peut aussi vérifier une signature/signer un message . La clé privée servant à signer, et la clé publique mise à disposition permet de vérifier la validité d'une signature.

    Quand un site web te montre un certificat, ce n'est que la première étape. S'il proclame être authentique, ça veut dire qu'il possède la clé privée associée au certificat et qu'il est alors capable de signer des messages.

    S'ensuit alors une authentification par challenge : tu lui envoies un message aléatoire, et il te le renvoie signé. Grâce à la clé publique contenue dans le certificat, tu vérifies la validité de la signature. Une fois tout ceci fait, tu es sûr de l'authenticité du destinataire, à moins bien sûr qu'un homme du milieu possédait lui aussi la clé privée, ou pire la clé privée d'une autorité de certification avec lequel il t'aura délivré un faux vrai certificat :) .