JocelynM Posté(e) le 28 novembre 2021 Partager Posté(e) le 28 novembre 2021 Bonjour, je vois régulièrement des articles de NextInpact sur la signature numérique et j'ai essayé de creuser pour comprendre le b.a.ba de ce qui se passe en pratique (c'est pas que je suis curieux mais j'aime savoir). J'ai donc créé une paire de clé avec son certificat X.509 sur le site cacert.org. Tout fonctionne bien, je retrouve mes petits avec Kleopatra (le gestionnaire graphique de clés et de certificats). Mais si je crois avoir bien appréhendé la théorie des clés (Alice et Bob...) et des certificats, je reste un peu déboussolé face à la pratique. De ce que j'ai compris, un certificat est seulement une clé publique associé à une identité (qui peut être une simple adresse email), accessoirement avec des dates de validités, le tout signé (reste à faire confiance à celui qui a signé). Les dates de validités font qu'un renouvellement est nécessaire. Un nouveau certificat est alors émis, il contient la même clé publique. Partant de là, j'ai testé quelque chose : 1 - J'ai fait un renouvellement de certificat quelques jours après l'émission du premier. Je dispose de deux certificats différents mais avec une période de validité similaire. 2 - Je chiffre un fichier avec mon premier certificat et Kleopatra. 3 - Je supprime le premier certificat de Kleopatra (tout en conservant le deuxième avec sa clé privé). 4 - Je tente de déchiffrer le fichier certificat et Kleopatra me le refuse sous le prétexte que je n'ai pas la clé privé correspondante. Pourtant j'ai bien un certificat avec la clé publique utilisé (le deuxième) relié à une clé privé. (si j'importe le premier certificat - un .pem-, cela devient possible de déchiffrer, la clé privé n'avait pas été supprimée) La question ne se pose pas pour les signatures : lors d'une vérification, Kleopatra ajoute le certificat automatiquement (j'imagine à partir de la signature). Ma question est : est-ce un fonctionnement spécifique à Kleopatra ou bien le chiffrement en général est fait non seulement à partir de la clé publique mais aussi au reste du certificat ? Est ce que conserver tout les certificats d'une même paire de clé fait partie des pratiques de l'art du chiffrement ? Jocelyn. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Minikea Posté(e) le 6 décembre 2021 Partager Posté(e) le 6 décembre 2021 Bonjour, La clé n'est qu'un des deux éléments nécessaire au déchiffrement. il faut aussi avoir le certificat pour pouvoir vérifier les périodes de validité et s'il n'est pas révoqué manuellement. Par défaut, j'imagine que la règle de sécurité est de ne pas faire confiance à un message chiffré avec un certificat non connu même si la clé est bonne, pour éviter des faux qui aurait été émis avec un certificat compromis ou falsifié. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
JocelynM Posté(e) le 6 décembre 2021 Auteur Partager Posté(e) le 6 décembre 2021 D'accord, on ne cherche pas seulement à avoir la mécanique de base fonctionnelle mais aussi que tout soit cohérent. Merci pour l'éclairage. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.