Qu'est-ce que la cryptographie ? | Le guide de confiance numérique

Introduction

En son cœur, la cryptographie est la pratique de convertir des informations lisibles (appelées texte en clair) en un format illisible (appelé texte chiffré) afin que seules les parties autorisées puissent y accéder. Le mot lui‑même vient du grec kryptós (caché) et graphein (écrire).

La cryptographie n'est pas nouvelle. Il y a plus de deux mille ans, Jules César utilisait un simple chiffre de substitution de lettres pour envoyer des ordres militaires : chaque lettre de son message était décalée de trois positions dans l'alphabet. Si intercepté, le message ressemblait à du charabia. Cette technique, maintenant appelée le chiffre de César, est l'une des premières méthodes de chiffrement documentées.

Avance rapide jusqu'au XXe siècle. Pendant la Seconde Guerre mondiale, la machine allemande Enigma utilisait des rotors électromécaniques pour produire un texte chiffré considéré comme incassable, jusqu'à ce qu'Alan Turing et son équipe à Bletchley Park trouvent un moyen de le percer. Cette percée a raccourci la guerre et a démontré une vérité qui tient toujours aujourd'hui : la force cryptographique est toujours relative à la puissance de calcul disponible pour un attaquant.

La cryptographie moderne repose sur des problèmes mathématiques faciles à calculer dans un sens mais pratiquement impossibles à inverser. Lorsque vous visitez un site web via HTTPS, envoyez un courriel chiffré ou signez une mise à jour logicielle, les algorithmes cryptographiques agissent en coulisses, authentifient les identités, protègent les données en transit et garantissent qu'aucune altération n'a eu lieu. Comprendre leur fonctionnement est la première étape pour comprendre certificats numériques, paires de clés, et l'ensemble de l'infrastructure à clé publique.

Symétrique vs Asymétrique Chiffrement

Le chiffrement moderne se divise en deux grandes catégories, chacune avec des forces et des compromis distincts. La plupart des systèmes réels, y compris TLS, utilisent les deux ensemble.

Chiffrement symétrique

Chiffrement symétrique utilise une clé partagée unique pour le chiffrement et le déchiffrement. Imaginez une boîte à verrou avec une seule clé : l'expéditeur et le destinataire doivent tous deux disposer d'une copie de la même clé pour verrouiller et déverrouiller les données.

Le principal avantage est vitesse. Les algorithmes symétriques comme AES peuvent traiter de gros volumes de données extrêmement rapidement, ce qui explique pourquoi ils sont utilisés pour chiffrer la majeure partie du trafic dans une session TLS. Le défi est distribution des clés: comment partager la clé en toute sécurité avec l'autre partie dès le départ ? Si la clé est interceptée pendant la transmission, toutes les données chiffrées sont compromises.

Algorithmes courants : AES-128, AES-256, ChaCha20

Chiffrement asymétrique

Le chiffrement asymétrique, également appelé cryptographie à clé publique, utilise une paire de clés liées mathématiquement: une clé publique que tout le monde peut connaître, et une clé privée qui doit rester secrète. Les données chiffrées avec la clé publique ne peuvent être déchiffrées qu'avec la clé privée correspondante, et vice-versa.

Cela résout le problème de distribution des clés. Vous pouvez partager librement votre clé publique (la publier sur un site web, l’inclure dans un certificat) et n’importe qui peut l’utiliser pour vous envoyer des messages chiffrés. Vous seul, détenant la clé privée, pouvez les lire. Le compromis est performance: les opérations asymétriques sont des ordres de grandeur plus lentes que les opérations symétriques.

Algorithmes courants : RSA, cryptographie à courbe elliptique (ECC), Diffie-Hellman

En pratique, les deux approches se complètent. Lors d’une poignée de main TLS, la cryptographie asymétrique est utilisée pour authentifier le serveur et échanger en toute sécurité une clé symétrique temporaire. Cette clé symétrique chiffre ensuite les données réelles circulant entre le client et le serveur, combinant les propriétés de confiance du chiffrement asymétrique avec la rapidité du chiffrement symétrique.

Fonctions de hachage & Numériques Signatures

Le chiffrement protège la confidentialité, en gardant les données secrètes. Mais la cryptographie résout également deux autres problèmes critiques : intégrité (les données ont‑elles été altérées ?) et authenticité (qui les a envoyées ?). C’est là que les fonctions de hachage et les signatures numériques interviennent.

Fonctions de hachage

Une fonction de hachage prend une entrée de n’importe quelle taille et produit une sortie de longueur fixe, le hachage ou empreinte. Même un changement d’un bit dans l’entrée produit un hachage complètement différent. Cette propriété rend les hachages idéaux pour vérifier l’intégrité des données.

Propriété à sens unique

Les hachages cryptographiques sont unidirectionnels: vous pouvez facilement calculer le hachage à partir de l'entrée, mais il est computationnellement impossible de reconstruire l'entrée originale à partir du hachage. C'est ce qui les rend utiles pour le stockage des mots de passe et la vérification des données.

Signatures numériques

Une signature numérique est créée par hachage un message puis en encryptant le hachage avec la clé privée. Toute personne disposant de la clé publique du signataire peut vérifier la signature, confirmant à la fois l'identité du signataire et l'intégrité du message.

Non-répudiation

Parce que seul le détenteur de la clé privée peut produire une signature valide, les signatures numériques offrent non‑répudiation : le signataire ne peut pas plus tard nier avoir signé le document. Cette propriété est juridiquement importante dans de nombreuses juridictions.

Les signatures numériques sont au cœur de la façon dont les certificats numériques fonctionnent. Lorsqu’une autorité de certification délivre un certificat, elle signe les données du certificat avec sa propre clé privée. Tout système qui fait confiance à l’AC peut vérifier cette signature et, par extension, faire confiance au contenu du certificat'.

Pourquoi la cryptographie est importante pour PKI

L’infrastructure à clé publique est, à sa base, une application organisée de la cryptographie. Chaque composant du PKI dépend des primitives cryptographiques décrites ci‑dessus :

Émission de certificat

Lorsqu'une autorité de certification (CA) délivre un certificat, elle utilise sa clé privée pour produire une signature numérique sur les données du certificat. Cette signature lie l'identité du sujet à sa clé publique de manière à détecter toute altération.

Validation du certificat

Les navigateurs et les systèmes d'exploitation vérifient les certificats en contrôlant la signature numérique de la CA à l'aide de la clé publique de la CA. Si la signature est valide et que la CA est fiable, le certificat, ainsi que l'identité qu'il représente, est accepté.

Communication sécurisée

TLS utilise la clé publique du certificat d'un serveur pour établir une session chiffrée. La cryptographie asymétrique négocie un secret partagé ; la cryptographie symétrique chiffre le flux de données. Sans cryptographie, il n'y a pas de TLS.

Chaînes de confiance

L'ensemble complet de la chaîne de confiance, du CA racine au CA intermédiaire jusqu'au certificat d'entité finale, est maintenu par des signatures numériques imbriquées. Chaque maillon de la chaîne est une assertion cryptographique de confiance.

C’est pourquoi les choix cryptographiques sont si importants dans un contexte PKI. L’algorithme utilisé pour signer un certificat, la longueur de clé choisie pour une paire de clés, et la fonction de hachage intégrée dans une signature numérique déterminent directement la durée pendant laquelle ce certificat reste sécurisé. À mesure que la puissance de calcul augmente, et surtout lorsque l’informatique quantique progresse, les organisations ont besoin de pouvoir migrer vers des algorithmes plus robustes sans perturber les opérations.

Courants Algorithmes

Vous n'avez pas besoin de comprendre les mathématiques sous-jacentes pour travailler avec PKI, mais la familiarité avec les algorithmes les plus courants vous aide à prendre des décisions éclairées concernant la longueur des clés, les politiques de certificats et la préparation future.

RSA

RSA (Rivest-Shamir-Adleman)

L'algorithme asymétrique le plus largement déployé. La sécurité de RSA repose sur la difficulté de factoriser des nombres très grands. Les tailles de clé de 2048 bits sont le minimum actuel ; 4096 bits offrent une plus grande marge. RSA est utilisé pour les signatures numériques et l'échange de clés dans les certificats et TLS.

ECC

Cryptographie à courbe elliptique (ECC)

ECC atteint le même niveau de sécurité que RSA avec des longueurs de clé beaucoup plus courtes. Une clé ECC de 256 bits offre une sécurité approximativement équivalente à une clé RSA de 3072 bits. Cela signifie des certificats plus petits, des échanges de clés plus rapides et une charge computationnelle moindre, rendant ECC de plus en plus populaire pour les certificats TLS et IoT.

AES

AES (Standard de chiffrement avancé)

La norme mondiale pour le chiffrement symétrique, adoptée par le NIST en 2001. AES prend en charge des tailles de clé de 128, 192 et 256 bits. C’est l’algorithme qui chiffre la majeure partie des données dans une session TLS après la poignée de main initiale. AES-256 est largement considéré comme sécurisé face aux avancées prévisibles, y compris l’informatique quantique.

SHA

SHA-256 (Algorithme de hachage sécurisé)

Fait partie de la famille SHA-2, SHA-256 produit un hachage de 256 bits et est la fonction de hachage standard utilisée dans les certificats numériques aujourd'hui. Il a remplacé l'algorithme SHA-1 plus ancien, qui s'est avéré vulnérable aux attaques par collision. Lorsque vous voyez "SHA256withRSA" ou "SHA256withECDSA" dans le champ de l'algorithme de signature d'un certificat, SHA-256 est la fonction de hachage utilisée.

Le choix de l'algorithme n'est pas permanent. À mesure que les menaces évoluent, en particulier la menace imminente des ordinateurs quantiques capables de casser RSA et ECC, les organisations ont besoin crypto-agility: la capacité de passer à de nouveaux algorithmes (tels que les schémas post-quantiques basés sur les réseaux) sur l'ensemble de leur parc de certificats sans provoquer de pannes. C'est l'un des défis les plus pressants en PKI aujourd'hui, et il est traité en profondeur dans le chapitre sur crypto-agility and post-quantum cryptography.

Evertrust & Gouvernance cryptographique

Visibilité complète des algorithmes: Evertrust CLM découvre chaque certificat dans votre infrastructure et répertorie les algorithmes et les longueurs de clé utilisés, afin que vous sachiez exactement où RSA-2048, ECC P-256 ou les algorithmes hérités sont déployés.

Application de la politique: Définissez des règles organisationnelles sur les longueurs de clé minimales, les algorithmes approuvés et les fonctions de hachage. Evertrust signale automatiquement les certificats non conformes, empêchant la cryptographie faible d'atteindre la production.

Prêt à la crypto‑agilité: Lorsque le moment vient de migrer de RSA vers ECC, ou des algorithmes classiques vers les algorithmes post‑quantique, Evertrust PKI vous permet de réémettre des certificats à grande échelle avec de nouveaux algorithmes, dans tous vos AC et environnements.

Rapports de conformité: Générer des rapports prêts pour l’audit montrant quels standards cryptographiques sont utilisés dans votre parc de certificats, essentiel pour répondre aux exigences réglementaires telles que eIDAS, NIS2 et DORA.

PKI

CLM

Cas d’utilisation

Secteurs

Conformité

Apprendre

Outils & analyses

Événements & Communauté

Qu'est-ce que cryptographie?

Faits rapides