Commerce électronique

L'utilisation de l'Internet pour du commerce électronique soulève les mêmes problèmes que ce que nous avons vu pour le courrier électronique, avec d'autres problèmes plus spécifiques:

• non-répudiation d'envoi: il faut pouvoir prouver que seule la personne indiquée comme source de l'information peut avoir envoyé cette information
• non-répudiation de réception: il faut pouvoir prouver que la personne indiquée comme récipiendaire de l'information a bien reçu cette information
• intégrité: il faut empécher qu'une modification de l'information puisse passer inaperçue
• anonymat de la monnaie électronique: il faut pouvoir préserver l'anonymat de l'acheteur tout comme avec de l'argent liquide dans le monde réel

Non-répudiation d'envoi

• même mécanisme que l'authentification à l'aide de clés assymétriques (clé publique + clé secrète)
• l'auteur utilise sa clé secrète pour encrypter l'information
• problème: si l'information est binaire et non pas du texte, comment reconnaître après le décryptage à l'aide de la clé publique de l'auteur que le résultat obtenu est bien ce que l'auteur a envoyé?
• solution: l'auteur n'utilise pas sa clé secrète sur l'information même, mais sur une valeur numérique calculée sur la base de l'information (checksum). A la réception, la valeur numérique est décryptée à l'aide de la clé publique de l'auteur et comparée au résultat du calcul du "checksum" de l'information reçue. En cas d'identité, on a la preuve que l'information envoyée a bien été produite par l'auteur.

  		Information binaire envoyée par A Calcul de "checksum" Information binaire envoyée par A checksum				valeur calculée=valeur décryptée signifie que l'information ne peut avoir été envoyée que par A calcul de checksum sur l'information binaire et comparaison avec checksum décrypté Information binaire utilisable par B checksum décrypté
  CSA		Programme d'encryption utilisé par A		CPA		Programme d'encryption utilisé par B
  		Information binaire checksum encrypté	envoyé à l'adresse électronique de B			Information binaire reçue par B checksum encrypté

Non-répudiation de réception

• à la réception de l'information, le récipiendaire doit utiliser sa propre clé privée pour envoyer un accusé de réception à l'auteur. En décryptant cet accusé de réception à l'aide de la clé publique du récipiendaire, l'auteur pourra prouver que l'information a bien été reçue.

Intégrité

• l'auteur calcule un "checksum" de l'information qu'il/elle envoie.
• Il/elle encrypte alors ce checksum à l'aide de sa clé secrète et joint le checksum encrypté en annexe à l'information.
• Quiconque le désirera pourra alors utiliser la clé publique de l'auteur pour décrypter le checksum et, en comparant la valeur ainsi obtenue au checksum calculé sur l'information reçue, pourra vérifier que l'information n'a pas subi de modification.

Anonymat de la monnaie électronique

• La banque "signe électroniquement" un document (une enveloppe) dont elle ne connaît pas le contenu ce qui rend impossible toute trace
• Le montant ne réside pas dans le document signé mais dans la signature elle-même
• Les coupures sont représentées par des signatures différentes
• La Banque doit garder une trace de toutes les enveloppes qu'elle signe ainsi que de tous les billets qui ont été dépensés pour éviter toute réutilisation

---

• Financial Transaction Models in the Electronic World, Hewlett-Packard Laboratories
• Electronic Commerce - An Introduction

---