Aller au contenu

Chiffrement avec Kleopatra et certificat CACERT


JocelynM

Messages recommandés

Bonjour,

je vois régulièrement des articles de NextInpact sur la signature numérique et j'ai essayé de creuser pour comprendre le b.a.ba de ce qui se passe en pratique (c'est pas que je suis curieux mais j'aime savoir).

J'ai donc créé une paire de clé avec son certificat X.509 sur le site cacert.org.

Tout fonctionne bien, je retrouve mes petits avec Kleopatra (le gestionnaire graphique de clés et de certificats).

Mais si je crois avoir bien appréhendé la théorie des clés (Alice et Bob...) et des certificats, je reste un peu déboussolé face à la pratique.

De ce que j'ai compris, un certificat est seulement une clé publique associé à une identité (qui peut être une simple adresse email), accessoirement avec des dates de validités, le tout signé (reste à faire confiance à celui qui a signé).

Les dates de validités font qu'un renouvellement est nécessaire. Un nouveau certificat est alors émis, il contient la même clé publique.

Partant de là, j'ai testé quelque chose :
1 - J'ai fait un renouvellement de certificat quelques jours après l'émission du premier. Je dispose de deux certificats différents mais avec une période de validité similaire.
2 - Je chiffre un fichier avec mon premier certificat et Kleopatra.
3 - Je supprime le premier certificat de Kleopatra (tout en conservant le deuxième avec sa clé privé).
4 - Je tente de déchiffrer le fichier certificat et Kleopatra me le refuse sous le prétexte que je n'ai pas la clé privé correspondante. Pourtant j'ai bien un certificat avec la clé publique utilisé (le deuxième) relié à une clé privé.

(si j'importe le premier certificat - un .pem-, cela devient possible de déchiffrer, la clé privé n'avait pas été supprimée)

La question ne se pose pas pour les signatures : lors d'une vérification, Kleopatra ajoute le certificat automatiquement (j'imagine à partir de la signature).

Ma question est : est-ce un fonctionnement spécifique à Kleopatra ou bien le chiffrement en général est fait non seulement à partir de la clé publique mais aussi au reste du certificat ?

Est ce que conserver tout les certificats d'une même paire de clé fait partie des pratiques de l'art du chiffrement ?

Jocelyn.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

La clé n'est qu'un des deux éléments nécessaire au déchiffrement. il faut aussi avoir le certificat pour pouvoir vérifier les périodes de validité et s'il n'est pas révoqué manuellement.

Par défaut, j'imagine que la règle de sécurité est de ne pas faire confiance à un message chiffré avec un certificat non connu même si la clé est bonne, pour éviter des faux qui aurait été émis avec un certificat compromis ou falsifié.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...