----- Le 9 Juin 21, à 12:42, david vantyghem [email protected] a
écrit :
> Ne pas tenir compte du message précédent.
>
>
> Le 09/06/2021 à 12:04, Yves Agostini a écrit :
>> La signature de fichier est une simple empreinte : un hash
>> La comparaison des empreintes permet de s'assurer de l'intégrité du document.
>>
>> Si l'algorithme d'empreinte est suffisamment robuste : il n'y pas de
>> collision
>> et si le format des données ne permet pas de manipuler l'information en
>> conservant l'empreinte. C'était le cas de RTF (avec md5, de mémoire).
>>
>>
>> Pour garantir la non modification de cette empreinte il faut la signer
>> cryptographiquement.
>> La clé publique permet de vérifier l'intégrité de l'empreinte et
>> d'authentifier
>> le distributeur de cette empreinte.
> Par "distributeur de cette empreinte", je suppose que tu parles de la
> personne qui a généré l'empreinte.
Oui, l'empreinte initiale
> Je devrais alors comprendre "La clé
> publique permet de vérifier l'intégrité de l'empreinte et d'authentifier
> l'auteur de cette empreinte". En effet, je peux recevoir un fichier
> signé, son empreinte et sa signature et les redistribuer sur un autre
> site web par exemple, sans pour autant être l'auteur de la signature. Je
> coupe les cheveux en quatre mais c'est important pour ma compréhension
> car à force de lire sur le web pleins d'articles qui finissent par se
> contredire, j'ai besoin de ces éclaircissements pour bien cerner les
> (non)possibilités des signatures. C'est pour faire un résumé de cours et
> je ne veux pas marquer trop de bêtises.
en général la signature du fichier (ou de message) c'est souvent la signature
de l'empreinte. C'est plus rapide à générer et vérifier.
Il n'est alors pas utile d'y ajouter une empreinte supplémentaire.
(ou alors elle permet juste de s'assurer que le fichier est complet lors d'un
téléchargement)
Pour un fichier signé, il peut y avoir des signatures intégrées au fichier
(format PADES) ou associées (formats CADES, XADES) dans des fichiers séparés.
Donc pour un fichier signé en format PADES, il suffit juste d'avoir le fichier.
Mais il faut avoir accès aux clés publiques pour les vérifier.
C'est suffisant pour authentifier. Le fichier est alors forcément intègre.
Pour identifier, il faut connaître toute la politique de gestion/révocation,
...
Comme je le disais, le cas extrême est la signature de contrat : il faut un
niveau élevé de gestion + un niveau élevé d'horodatage + de l'archivage avec
vérification
Une technique simple de signature est la simple empreinte puis de diffuser
cette empreinte sur un site de confiance, ou par mail à un groupe de personne
ou dans une blockchain.
> Le fait de pouvoir authentifier l'auteur de l'empreinte et de la
> signature n'implique pas forcément qu'on l'a d'abord identifié et donc
> on ne peut pas affirmer que c'est l'expéditeur du message. D'où l'étape
> suivante, si j'ai bien compris :
>
>> Il faut ensuite s'assurer de la qualité de cette clé publique.
>> L'identification dépend alors des procédures de gestion des clés
>> publiques/privées.
>>
>> Il peut s'agir de systèmes distribués comme PGP : la confiance dans
>> l'identité
>> dépend des cercles de validation, ou de systèmes hiérarchiques comme X509
>>
> --
> Passez à Linux :https://infolib.re
>
> .--.
> |o_o |
> ||_/ |
> // \\ Envoyé depuis mon Linux
> (| |)
> / \_ _/ \
> \___)=(___/
_______________________________________________
libre mailing list
[email protected]
https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
