Jump to content

Chiffrement avec Kleopatra et certificat CACERT


JocelynM
 Share

Recommended Posts

Bonjour,

je vois régulièrement des articles de NextInpact sur la signature numérique et j'ai essayé de creuser pour comprendre le b.a.ba de ce qui se passe en pratique (c'est pas que je suis curieux mais j'aime savoir).

J'ai donc créé une paire de clé avec son certificat X.509 sur le site cacert.org.

Tout fonctionne bien, je retrouve mes petits avec Kleopatra (le gestionnaire graphique de clés et de certificats).

Mais si je crois avoir bien appréhendé la théorie des clés (Alice et Bob...) et des certificats, je reste un peu déboussolé face à la pratique.

De ce que j'ai compris, un certificat est seulement une clé publique associé à une identité (qui peut être une simple adresse email), accessoirement avec des dates de validités, le tout signé (reste à faire confiance à celui qui a signé).

Les dates de validités font qu'un renouvellement est nécessaire. Un nouveau certificat est alors émis, il contient la même clé publique.

Partant de là, j'ai testé quelque chose :
1 - J'ai fait un renouvellement de certificat quelques jours après l'émission du premier. Je dispose de deux certificats différents mais avec une période de validité similaire.
2 - Je chiffre un fichier avec mon premier certificat et Kleopatra.
3 - Je supprime le premier certificat de Kleopatra (tout en conservant le deuxième avec sa clé privé).
4 - Je tente de déchiffrer le fichier certificat et Kleopatra me le refuse sous le prétexte que je n'ai pas la clé privé correspondante. Pourtant j'ai bien un certificat avec la clé publique utilisé (le deuxième) relié à une clé privé.

(si j'importe le premier certificat - un .pem-, cela devient possible de déchiffrer, la clé privé n'avait pas été supprimée)

La question ne se pose pas pour les signatures : lors d'une vérification, Kleopatra ajoute le certificat automatiquement (j'imagine à partir de la signature).

Ma question est : est-ce un fonctionnement spécifique à Kleopatra ou bien le chiffrement en général est fait non seulement à partir de la clé publique mais aussi au reste du certificat ?

Est ce que conserver tout les certificats d'une même paire de clé fait partie des pratiques de l'art du chiffrement ?

Jocelyn.

 

Link to comment
Share on other sites

Bonjour,

La clé n'est qu'un des deux éléments nécessaire au déchiffrement. il faut aussi avoir le certificat pour pouvoir vérifier les périodes de validité et s'il n'est pas révoqué manuellement.

Par défaut, j'imagine que la règle de sécurité est de ne pas faire confiance à un message chiffré avec un certificat non connu même si la clé est bonne, pour éviter des faux qui aurait été émis avec un certificat compromis ou falsifié.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...