Internet et Sécurité: Certificats

Internet et Sécurité - Université de Genève, CUI ©

Certificats

Un certificat est une structure de donnée contenant un certain nombre d'informations associées à une clé publique:

version de la norme X.509 utilisée
numéro de série attribué par l'autorité certificatrice (AC)
algorithme utilisé par la signature de l'AC
le nom de l'AC
la période de validité du certificat
algorithme à utiliser avec la clé publique
la clé publique
algorithme utilisé par la signature de l'AC
signature apposée par l'AC

Les certificats devant être stockés dans des fichiers et transmis par courrier électronique, il existe plusieurs formats pour les certificats. Le tableau ci-dessous résume les différents types de fichiers que l'on peut rencontrer dans le cadre d'une gestion de certificats

Type MIME Extension de fichier utilisation

application/x-x509-ca-cert .der
.cer certificat d'une AC permettant à un client de vérifier l'authenticité d'un certificat émis par cette autorité.
Les butineurs t.q. Netscape et IExplorer reconnaissent automatiquement ce type MIME et proposent à l'utilisateur d'accepter ou de refuser cette AC. L'AC de l'université de Genève a un tel certificat. C'est donc un moyen pratique pour diffuser le certificat d'une AC via le Web.

?? text/plain .pem encodage d'un certifcat en base64 pour en faire une représentation sous forme de texte ASCII qui peut facilement être transmise par courrier électronique. Ce format est souvent utilisé pour transmettre un certificat dans le corp d'un mesage de courrier électronique.

application/pkcs12 .p12
.pfx enveloppe encryptée permettant d'envoyer des informations qui doivent rester confidentielles (p.ex. message contenant un certificat personnel). Un mot de passe sera nécessaire pour décrypter le contenu.
Ce mécanisme est souvent utilisé par une AC pour envoyer un certificat personnel plus la clé privée correspondante à un utilisateur de façon que l'information ne "circule" pas en clair. L'utilisateur pour lequel le certificat est généré devant connaître le mot de passe permettant d'ouvrir l'enveloppe, les ACs demandent souvent à l'utilisateur de fournir ce mot de passe dans la requête de certificat.

application/pkcs7-signature .p7s signature d'une certaine information par une personne à l'aide de sa clé secrète. Cette signature est souvent placée dans une pièce jointe au message dans lequel l'information signée est envoyée.

application/pkcs7-mime .p7m contenu encrypté et/ou signé

application/pkcs7-mime
smime-type="certs-only" .p7c simple certificat

Type MIME	Extension de fichier	utilisation
application/x-x509-ca-cert	.der .cer	certificat d'une AC permettant à un client de vérifier l'authenticité d'un certificat émis par cette autorité. Les butineurs t.q. Netscape et IExplorer reconnaissent automatiquement ce type MIME et proposent à l'utilisateur d'accepter ou de refuser cette AC. L'AC de l'université de Genève a un tel certificat. C'est donc un moyen pratique pour diffuser le certificat d'une AC via le Web.
?? text/plain	.pem	encodage d'un certifcat en base64 pour en faire une représentation sous forme de texte ASCII qui peut facilement être transmise par courrier électronique. Ce format est souvent utilisé pour transmettre un certificat dans le corp d'un mesage de courrier électronique.
application/pkcs12	.p12 .pfx	enveloppe encryptée permettant d'envoyer des informations qui doivent rester confidentielles (p.ex. message contenant un certificat personnel). Un mot de passe sera nécessaire pour décrypter le contenu. Ce mécanisme est souvent utilisé par une AC pour envoyer un certificat personnel plus la clé privée correspondante à un utilisateur de façon que l'information ne "circule" pas en clair. L'utilisateur pour lequel le certificat est généré devant connaître le mot de passe permettant d'ouvrir l'enveloppe, les ACs demandent souvent à l'utilisateur de fournir ce mot de passe dans la requête de certificat.
application/pkcs7-signature	.p7s	signature d'une certaine information par une personne à l'aide de sa clé secrète. Cette signature est souvent placée dans une pièce jointe au message dans lequel l'information signée est envoyée.
application/pkcs7-mime	.p7m	contenu encrypté et/ou signé
application/pkcs7-mime smime-type="certs-only"	.p7c	simple certificat

Empreintes numériques

Il y a actuellement deux principaux algorithmes de calcul d'empreintes numériques (parfois appelées "fingerprint" ou "thumbprint"): SHA-1 (utilisé par Internet Explorer) et MD5 (utilisé par PGP et Netscape). Lorsque vous communiquez l'empreinte du certificat contenant votre clé publique à quelqu'un, noubliez pas de mentionner quel algorithme a été utilisé.

Si vous disposez de Netscape et d'Internet Explorer, vous pouvez utiliser le premier pour déterminer l'empreinte MD5 de votre certificat et le second pour l'empreinte SHA-1. Vous pouvez alors communiquer les deux à votre correspondant.

Pour déterminer l'empreinte d'un certificat

dans Netscape:
- cliquez sur le petit cadenas (dans le coin en bas à gauche de la fenêtre) pour faire apparaître le panneau d'informations de sécurité,
- dans la colonne de gauche cliquez sur la catégorie de certificats correspondant au certificat en question,
- dans la partie de droite, cliquez sur le certificat qui vous intéresse pour le sélectionner,
- cliquez sur le bouton "View", cela fera apparaître un panneau donnant toutes les informations sur le certificat sélectionné. La rubrique Certificate Fingerprint fait référence à l'empreinte MD5.
dans Internet Explorer:
- cliquez sur le menu Outils/Options_Internet,
- sélectionnez l'onglet Contenu,
- cliquez sur le bouton Certificats,
- cliquez sur l'onglet correspondant à la catégorie de certificats correspondant au certificat en question,
- cliquez sur le certificat qui vous intéresse pour le sélectionner,
- cliquez sur le bouton Affichage,
- cliquez sur l'onglet détails, la rubrique thumbprint fait référence à l'empreinte SAH-1.

Listes de révocation (CRL=Certificate Revocation List)

...

RFC 1421: Privacy Enhancement for Internet Electronic Mail: Part I: Message Encryption and Authentication Procedures
RFC 1422: Privacy Enhancement for Internet Electronic Mail: Part II: Certificate-Based Key Management
RFC 1423: Privacy Enhancement for Internet Electronic Mail: Part III: Algorithms, Modes, and Identifiers
RFC 1424: Privacy Enhancement for Internet Electronic Mail: Part IV: Key Certification and Related Services
RFC 2459: Internet X.509 Public Key Infrastructure Certificate and CRL Profile
RFC 2630: Cryptographic Message Syntax (CMS)
RFC 2631: Diffie-Hellman Key Agreement Method
RFC 2632: S/MIME Version 3 Certificate Handling
RFC 2633: S/MIME Version 3 Message Specification
RFC 2634: Enhanced Security Services for S/MIME
Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure, par C. Ellison et B. Schneier, Computer Security Journal, v 16, n 1, 2000, pp. 1-7.

Bertrand Ibrahim

Dernière modification: 19.04.01

Site Hosting: Bronco