http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

CHAPITRE 10

La cryptographie
Mireille CAMPANA

Le principe historique de la cryptographie, qui est dfinie comme l'art d'crire en lments secrets, est la dissimulation du contenu d'une information au moyen d'un procd connu de ses seuls utilisateurs. Elle fournit deux grands types de services : 1 / ceux lis la confidentialit des informations stockes ou changes qui s'appuient sur la mise en uvre de procdures de chiffrement ; 2 / ceux lis l'authenticit des informations : intgrit du contenu et identification sre de l'origine, qui recourent des mcanismes dits de signature lectronique . La signature numrique permet galement d'assurer la non-rpudiation de l'mission d'un message. Les annes 1990 ont t marques par l'explosion des systmes de communication, qui ont permis le dveloppement des changes lectroniques, tant dans le domaine industriel et bancaire que dans celui du commerce en ligne et rcemment celui des relations entre les citoyens et les administrations. Si, jusqu' prsent, l'ouverture et l' interoprabilit des rseaux et systmes, ainsi que leurs performances, ont t privilgies aux dpens de la scurit, on assiste maintenant une prise de conscience des problmes par les acteurs de ces nouveaux rseaux, qui ont engag des rflexions sur la scurit et sur la cryptographie qui en constitue une brique fondamentale. Longtemps rserve au domaine diplomatique et militaire, s'appuyant alors sur des principes mathmatiques lmentaires, la, cryptographie a commenc voluer vers le milieu du sicle avec le dbut des tlcommunications en intgrant essentiellement des techniques de codage de l'information ; mais il a fallu attendre les annes 1970 pour qu'elle passe du secret des laboratoires militaires au domaine public, et s'institue comme une vritable science dans le domaine universitaire. Beaucoup d'articles ont alors t publis et des confrences publiques ont t institues. . Des liens avec d'autres disciplines des mathmatiques telles que codage et probabilits, arithmtique et gomtrie algbrique, ont t tablis. Cette volution a t rendue ncessaire par le dveloppement de l'informatique et des
54

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

tlcommunications qui entranait des besoins de protection pour tous; elle s'est accompagne, dans certains pays, de la mise en place de lgislations et de rglementations qui pouvaient restreindre l'usage des procds cryptographiques, dans le but de ne pas contrevenir aux besoins de la scurit nationale et de la sret publique. Ces lgislations, quand elles taient explicites, ont pris des formes diffrentes, mais trois grandes tendances se sont dgages : les pays qui n'effectuent en pratique aucun contrle, comme l'Australie ou la Norvge ; les pays, les plus nombreux, parmi lesquels les tats-Unis et la plupart des Etats europens, qui contrlent uniquement l'exportation1 des dispositifs cryptographiques et laissent la commercialisation et l'usage libres sur leur territoire ; enfin, les pays qui contrlent l'usage et la commercialisation de ces dispositifs cryptographiques. La position amricaine, qui s'appuyait sur le respect et la garantie de la protection individuelle mais aussi sur la libre entreprise, est en cours d'volution ; mme les contrles portant sur les exportations sont actuellement remis en cause sous la pression des industriels exportateurs, et cet assouplissement sera vraisemblablement suivi par les autres pays. Jusqu' janvier 1999, la France a appartenu la troisime tendance avec un systme lgislatif et rglementaire trs labor et frquemment rvis, qui visait obtenir un quilibre entre la protection des entreprises et des individus, d'une part, les obligations lies la scurit de l'tat, d'autre part. La dernire lgislation (loi de rglementation des tlcommunications de 1996 complte par des dcrets de 1998) mettait en place un systme reposant sur un emploi libre des produits de force limite2 ou utilisant des cls qui pouvaient permettre l'administration la rcupration des donnes a posteriori dans certaines conditions. Cet ensemble complexe de dcrets et d'arrts tait prvu non seulement pour pouvoir facilement s'adapter aux besoins du march et aux progrs de la technologie, mais aussi pour permettre un changement de position politique sur le contrle ; il a permis la France de passer trs rapidement, et sans avoir lgifrer, de la troisime la deuxime tendance (dans la pratique, sinon formellement dans les textes) en relevant de 40 128 bits la longueur de cl des produits de cryptographie, par deux dcrets simples (nos 99-199 et 99-200 du 17 mars 1999). Ces dcisions revenaient accorder la libert d'utilisation la quasi-totalit des dispositifs cryptographiques (en particulier des produits dits
1

Les rgles applicables l'exportation des cryptographiques qui sont considrs comme des biens double usage (usage civil et usage militaire) sont dfinies dans le cadre des arrangements de Wassenaar de juillet 1996, plusieurs fois rviss par la suite ; ils concernent la plupart des pays industrialiss. Ces rgles sont appliques plus ou moins svrement selon les pays. 2 Bien que les ralits techniques puissent tre parfois diffrentes, il est souvent d'usage d'valuer l'efficacit de la protection que procure un dispositif en fonction de la taille de sa cl. On verra la signification de ce paramtre dans la description des techniques.

55

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

forts ). En outre, les formalits administratives sont allges pour les utilisateurs ; elles ne psent plus que sur les fournisseurs qui doivent, pour commercialiser leurs produits, effectuer une dclaration auprs du SCSSI3 laquelle est jointe un dossier technique dcrivant le produit. Une nouvelle lgislation est en cours d'laboration ; elle devrait prendre en compte de nouveaux besoins apparus avec le dveloppement du commerce lectronique, comme les signatures dmatrialises.

LES TECHNIQUES Des procds secrets, on a volu vers des algorithmes mathmatiques connus utilisant des paramtres secrets que l'on a nomms cls . Actuellement, la cryptographie classique (dite symtrique ou cl secrte) repose sur ce principe. Pour chiffrer un message, on utilise un algorithme rpertori ou correspondant un standard4 s'appuyant sur un paramtre secret, la cl, qui est un nombre connu des diffrents interlocuteurs. Il est relativement facile de construire de tels algorithmes et seuls les besoins d'interoprabilit des systmes de cryptographie limitent leur nombre. Les tats-Unis, dans les annes 1970, ont tent d'imposer un algorithme, unique, baptis DES (Data Encryption Standard), en insistant sur les problmes d'interoprabilit et aussi de scurit et d'conomie. Pour cela, le dpartement du Commerce a fait raliser par la Socit IBM un algorithme qui devait tre publi, de manire permettre son valuation par tous, et qui devait tre libre de tous droits d'usage. Plus de vingt ans aprs, la seule faiblesse rvle de cet algorithme est la longueur de la cl (56 bits), juge trop courte pour les moyens de calcul actuels (6). Mme si le DES n'a jamais obtenu le statut de norme internationale, essentiellement pour des raisons politiques car certains tats s'opposaient alors la prolifration de dispositifs cryptographiques, il a t pendant des annes l'algorithme employ de faon systmatique dans le domaine commercial et reste aujourd'hui le plus employ. Il a quelques concurrents, essentiellement dans le domaine des produits logiciels, comme le RC4 ou IDEA, qui sont mieux adapts des implantations logicielles. Les applications gouvernementales utilisent pour des raisons de scurit des algorithmes non publis; il en va de mme dans le domaine des tlcommunications o les oprateurs ont en gnral prfr dfinir leurs propres normes5.
3

Service central de la scurit des systmes d'information charg de l'application de la rglementation. Avant mars 1999, la commercialisation et l'utilisation de tout dispositif cryptographique taient soumises autorisation de ce service. C'est toujours le cas pour les dispositifs dont la taille des cls servant au chiffrement d'information dpasse 128 bits. 4 La fonction est a priori connue de tous; on verra plus loin les exceptions cette rgle. 5 Ces normes ne sont pas toujours publies ; cependant, dans la mesure o elles ont vocation tre fournies aux diffrents constructeurs dans tous les pays, leur caractre confidentiel peut tre considr comme relatif.

56

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

Il existe deux systmes de chiffrement.

Les systmes de chiffrement cl secrte, ou systmes symtriques Ils reposent sur le partage entre deux interlocuteurs en communication, d'une mme cl secrte S qui sert paramtrer un algorithme la fois pour le chiffrement d'un message et pour son dchiffrement. La cl S doit faire l'objet d'un change physique pralablement toute communication. Pour le stockage de messages, le principe est le mme avec un seul interlocuteur. Cette cl prend en gnral la forme d'un ensemble de bits de taille limite. Un procd, connu sous le nom d' attaque par force brute , utilis pour retrouver le contenu des communications, consiste essayer toutes les cls possibles6. Leur nombre dpend de la taille de ces cls : pour une cl de n bits, il y a 2n cls possibles ; la complexit d'un produit est donc borne par la taille de cet ensemble. En gnral, la cl secrte commune S n'est pas utilise directement pour chiffrer les messages, mais pour chiffrer une autre cl K qui est un nombre tir au hasard par l'metteur chaque session et qui sert comme cl secrte pour chiffrer les messages. Cette cl K chiffre est envoye en dbut de session ou de message ou, dans le cas de stockage, conserve avec le message.

Les systmes cl publique ou systmes asymtriques Les algorithmes cl publique servent chiffrer des messages, mais aussi calculer des signatures numriques. Une signature numrique est une valeur qui dpend du message, considr alors sous sa forme numrise comme un nombre, et de l'identit du signataire, qui doit tre le seul pouvoir calculer cette signature. Un message sign est compos du message en clair et de cette signature numrique. Vrifier une signature consiste, en appliquant la fonction inverse de la signature, retrouver le message en clair. Chaque utilisateur possde son propre couple de cls diffrentes S et P : La cl S est garde secrte par son propritaire qui l'utilise pour dchiffrer des messages reus ou signer des messages.
6

La complexit de cette attaque par force brute dpend de la vitesse d'excution de l'algorithme et de la puissance de calcul utilise ; titre indicatif, pour certains algorithmes courants type DES, il est possible de retrouver une cl de 40 bits en quelques heures ou dizaines d'heures de PC. Cette complexit est multiplie par un facteur 65 000 si l'on passe 56 bits ; pour 128 bits, effectuer ce type de recherche exigerait des ressources trs largement non disponibles l'heure actuelle.

57

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

La cl P est rendue publique. Elle dpend de la cl S par une fonction sens unique : la fonction est facilement calculable, mais son inversion est extrmement difficile (on ne sait pas dduire S de P). Elle sert quiconque pour chiffrer les messages destins au propritaire du couple de cls, ou vrifier les signatures. Pour chiffrer un message destin une personne A, le correspondant B applique la fonction dfinie par PA, la cl publique de A. A le dchiffrera avec sa cl secrte SA qu'elle est seule dtenir. Pour signer un message, B lui applique la fonction dfinie par sa cl secrte SB pour calculer une signature. Pour vrifier cette signature, A lui applique la fonction inverse de la fonction de signature, dfinie par la cl publique PB de B, ce qui lui permet de retrouver en clair le message initial. Seul B, qui dtient SB, a pu calculer cette signature.

B envoie un message chiffr et/ou sign A B chiffre avec PA B signe avec SB A dchiffre avec SA A vrifie avec PB

Comme les algorithmes cl publique sont lents excuter, on chiffre toujours les messages avec des algorithmes cl symtrique, et on utilise le dispositif cl asymtrique pour chiffrer la cl de session gnre alatoirement, comme dans le cas des systmes cl secrte.

Relation entre la cl publique et son dtenteur Le problme fondamental que pose l'utilisation de la cl publique peut se dfinir ainsi: comment tablir un lien sr entre une cl publique PA et son dtenteur A ? Il est absolument fondamental pour l'metteur du message de pouvoir tre sr que la cl publique qu'il utilise pour chiffrer un message, destin A, est bien celle de A. De la mme faon, pour vrifier les messages signs par A, il faut tre sr du lien entre A et la cl publique P A qui sert vrifier les signatures. Les inventeurs7 du concept de cl publique prconisaient l'utilisation d'annuaires de cls publiques utilisant des supports non modifiables (papier ou support magntique non r-inscriptible ). Il est possible galement d'utiliser des certificats crs par des autorits de certification, et c'est la solution retenue l'heure actuelle. Un utilisateur A prsente sa cl publique PA une telle autorit, qui possde elle-mme un couple
7

Diffie et Helleman, qui ont formalis pour la premire fois en 1977 le concept de chiffrement asymtrique et propos un schma d'change de cls reposant sur ce concept.

58

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

(Paut, S aut) ; P aut, est suppose connue de tous. L'autorit vrifie l'identit de A et signe avec sa cl secrte l'ensemble constitu de l'identit et de la cl publique de A, savoir : Certificat = Signature Saut (IDA, PA) o IDA dsigne l'identit de A. Seule l'autorit peut calculer des certificats vrifiables avec Paut en signant des ensembles identit-cl publique. Les certificats peuvent tre placs dans un annuaire qui ne requiert pas de scurit particulire. Lorsque A met un message sign avec SA, il l'accompagne de son certificat (ou le destinataire retrouve celui-ci dans l'annuaire). Pour vrifier la signature mise par A, le destinataire B, qui dispose de la cl publique de l'autorit Paut, (suppose connue de tous), peut vrifier le certificat de A, c'est--dire retrouver l'ensemble (IDA, PA) et acqurir la certitude que PA correspond bien A ; il utilise ensuite PA pour vrifier la signature du message mis par A. Le concept de cl publique a remis en cause les architectures traditionnelles d'organisation de la cryptographie. L'utilisation de schmas cl secrte permet de dfinir des groupes d'utilisateurs appels gnralement rseaux qui partagent un mme secret et l'utilisent pour communiquer entre eux de manire scurise. L'utilisation de procds cl publique n'implique aucun partage de secret entre les utilisateurs mais implique l'existence d'une autorit de certification appele souvent tiers de confiance qui va forger les certificats, assurant le lien entre les identits des personnes et de leurs cls publiques. La scurit de tout le systme dpend du niveau de scurit offert par cette autorit, et il est fondamental que cette autorit s'assure de l'identit d'un utilisateur avant de lui dlivrer un certificat. Le niveau de confiance que l'on peut accorder au certificat est directement li au srieux avec lequel l'autorit de certification s'est assure de l'identit de la personne, et aussi de la scurit de la procdure de calcul des certificats. En particulier, la protection de la cl secrte de l'autorit est particulirement importante, puisque c'est elle qui permet de fabriquer les certificats. Elle ne doit donc pas tre accessible. Il est galement important de dfinir des dures de validit pour les certificats. Des profils de protection qui sont des politiques de scurit type ont t rdigs et valids par des groupes de travail impliquant tous les acteurs concerns (organismes institutionnels, bancaires, industriels). Le rle de l'autorit de certification peut ou non comprendre la gnration du couple de cls. Dans le premier cas, elle peut alors servir de tiers de recouvrement ou des cls ou mme du contenu en clair des messages chiffrs, c'est--dire que, tant galement dtenteur de la cl secrte, elle a la possibilit, pour certains types de dispositifs, de retrouver le contenu d'un message chiffr, par exemple pour rpondre une demande d'un juge (ce rle avait t envisag dans la lgislation mise en place en 1996).

59

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

Il est galement possible d'envisager des hirarchies d'autorits ou des croisements lorsqu'elles se certifient entre elles afin de permettre des utilisateurs dpendant d'autorits diffrentes de communiquer entre eux.

LES APPLICATIONS EXISTANTES l'exception de quelques secteurs comme le secteur bancaire8 en France ou plus rcemment le secteur de la Sant, la cryptographie n'est pas l'heure actuelle largement rpandue dans les applications ; les lgislations restrictives ont souvent t mises en cause mais il ne faut pas mconnatre les difficults lies la mise en uvre. Mme dans les pays o il n'y a pas de contrle la fourniture et l'utilisation des produits de cryptographie comme les tats-Unis, il existe bien une offre de tels produits, surtout dans le domaine de l'Internet9. Mais ceux-ci ne sont gnralement pas massivement employs. Il existe galement des actions pour dfinir des standards d'algorithmes (comme le DES, mais aussi son remplaant en cours de dfinition, l'AES pour Advanced Encryption Standard), ou plus rcemment des standards de protocoles (comme IPSEC, norme de chiffrement au niveau IP ou S/MIME pour le chiffrement de la messagerie). Mais le caractre non obligatoire et souvent non dfinitif de ces standards (gnralement prsents sous forme de Request for Comments par l' IETF ) rend les industriels circonspects, et les produits ne sont pas toujours disponibles. Par ailleurs, une fois un produit choisi, les difficults lies l'administration de la cryptographie, en particulier la gestion des cls secrtes ou publiques, deviennent vite considrables ds que le nombre d'utilisateurs augmente ou que l'on veut toucher des populations diverses ou disperses. Il n'est pas non plus vident de dfinir des supports protgs pour stocker les cls secrtes, en dehors des cartes microprocesseur qui ne s'adaptent d'ailleurs pas tous les postes de travail. Enfin, s'il est possible de placer des mcanismes cryptographiques divers niveaux (sur les liens physiques, dans le rseau ou dans les couches logicielles applicatives), ceux-ci ne sont pas forcment transparents. La mise en place de services de chiffrement peut gner certains
8

L'ensemble du secteur bancaire franais regroup au sein du GIE Cartes bancaires a mis en place des procdures de retrait et de paiement scurises s'appuyant sur le choix de dispositifs scuriss (cartes microprocesseur) et l'utilisation de protocoles cryptographiques, ce qui a permis d'obtenir un taux de fraude trs largement infrieur ceux des autres pays, tout en assurant l'interoprabilit du dispositif. 9 S'il est relativement facile d'intgrer des services de chiffrement pour les changes de donnes, en particulier quand cette intgration se fait dans les couches logicielles, chiffrer la voix est beaucoup plus dlicat, et l'offre dans ce domaine est particulirement restreinte et coteuse. La tlphonie sur IP permettra peut-tre de rgler le problme, mais l'offre n'est pas encore mre dans ce domaine.

60

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

services d'administration du rseau, voire le fonctionnement de protocoles de communications lorsqu'il s'agit de tlphonie. Il y a cependant des domaines o la mise en place d'une protection du contenu des informations changes conditionne celle des applications (les rcentes rvlations sur le systme chelon ont montr la ralit des menaces lies aux interceptions sur les rseaux publics). La confidentialit n'est pas le seul service ncessaire : c'est le cas en particulier du commerce lectronique o l'on recherche l'authenticit d'une transaction mais aussi des procdures dmatrialises entre le citoyen et l'tat ou les organismes sociaux. Dans le cas d'une dclaration de revenus dmatrialise, par exemple, il est indispensable de pouvoir garantir l'identit de l'metteur et l'intgrit des donnes transmises. Le secteur de la Sant a t le premier se lancer dans la mise en place d'une telle procdure grande chelle, savoir la transmission lectronique des feuilles de soin qui a fait intervenir une multiplicit d'intervenants (ministre, caisses d'assurance maladie, Ordre des mdecins). Le volume des transactions, les enjeux financiers, les problmes lis l'thique et au secret mdical ont induit de trs fortes contraintes de scurit sur le rseau, les logiciels applicatifs et les dispositifs (carte de professionnel de sant et carte patient). Le ministre a fait le choix d'une architecture cl publique et a mis en place une infrastructure de gestion de cls trs complexe, qui est la plus importante application dploye l'heure actuelle. Ce dispositif permet galement de scuriser les transactions entre professionnels de sant. Au-del de ces grands dploiements, l'entreprise qui veut scuriser son systme d'information, ou les particuliers qui dsirent scuriser leurs donnes et leurs changes, peuvent maintenant disposer de produits ergonomiques intgrs dans des logiciels grand public, comme les navigateurs, ou s'en procurer sur le Web, comme le clbre PGP (Pretty Good Privacy). Ce logiciel, dvelopp l'origine par un chercheur amricain, Phil Zimmerman, avait pour but de mettre la disposition de chacun les sources d'un systme entier de chiffrement. Il s'est enrichi au cours des annes en conservant cet esprit d'ouverture (libre disponibilit des sources) que l'on retrouve dans Linux. Il est cependant plus adapt un fonctionnement de proximit (on reconnat les cls de ses amis et des amis de ses amis) qu' des applications d'achat et de paiement impulsifs sur Internet. Enfin, si la cryptographie est l'une des briques de base de la scurit, la plus mdiatise eu gard au secret qui a longtemps dissimul son dveloppement et la mieux construite, puisqu'on peut l'apparenter une branche des mathmatiques, elle ne peut elle seule rsoudre tous les problmes de scurit. Quelle que soit la force d'un algorithme ou la longueur des cls employes, il peut y avoir des problmes d'implantation (voulus ou non) dans un dispositif, qui font qu'il est possible de retrouver les informations protges par un moyen dtourn (lorsque ces problmes sont volontaires, on les dsigne sous le nom de backdoors). Une

61

http://asmp.fr - Groupe dtudes Socit dinformation et vie prive.

dmarche d'valuation des produits cryptographiques, prenant en compte non seulement la complexit cryptographique mais aussi les modes d'implantation, vient de dmarrer sous l'gide du Secrtariat gnral de la Dfense nationale (SGDN), mais c'est une tche trs lourde, en raison du volume et de la complexit des logiciels. Par ailleurs, la cryptographie ne protge pas les systmes: lorsqu'un poste de travail situ sur un rseau local tablit une connexion avec le monde extrieur, mme si cette connexion est protge, elle peut tre utilise depuis l'extrieur pour effectuer des intrusions sur les machines de ce rseau local, en extraire des informations ou en dtruire. Il faut mettre en place des barrires (en gnral dsignes sous le nom de firewalls) comportant des filtres et des antivirus. Enfin, le problme de la connexion l'Internet d'un poste comportant sur son disque des donnes confidentielles, mme stockes chiffres, est extrmement difficile rsoudre.

ANNEXE. - Exemples de logiciels de protection couramment utiliss Jacques Roure Commerceserver/400 - Serveur SHTTP Pour IBM AS/400, scurisation des transactions sur Internet. Fols-Security Gestion serveur,SEMA-GROUP. d'accs d'un client aux services d'un

Raptor Firewall - Constitue une solution firewall pour rseaux corporate, LAN2 LAN, l'interconnexion Intranet ou l'accs Internet. Security Box SHL - Solution de scurit globale pour Internet Intranet Extranet, confidentialit, authentification, intgrit. Websentry - Autorise un accs scuris au Web (contrle d'accs, chiffrement), aux applications mainframe (Bull, IBM, Unix) et multimdia. Webaccess & Webcontrol - Accs scuris et contrl aux ressources d'Internet sans y raccorder le rseau de l'entreprise. Webcard - Contrle des accs Internet. Gestion des temps de connexion. Pilotage de carte puce.

62