Accueil > La cryptographie est-elle notre ennemie ?

La cryptographie est-elle notre ennemie ?

Publie le vendredi 16 décembre 2005 par Open-Publishing
4 commentaires

Jean-Yves Denis

A priori, la cryptographie est un instrument permettant uniquement de limiter l’accès à l’information.

En effet, elle est actuellement utilisée dans les domaines industriels comme les cartes bancaires ou les accès informatiques pour empêcher les non-payants d’investir un espace qu’il leur revient pourtant de droit.

Pourtant, dans cet article, un peu rébarbatif mais pas trop, je vais essayer de montrer que l’usage de la cryptographie, dans certains cas précis - hors de la logique marchande - peut être un allié pour ceux qui veulent ne pas être écouté par de grandes oreilles.

RSA (Des noms des inventeurs Rivest/Shamir/Adleman) est un procédé de cryptographie inventé en 1977.

Les systèmes de cryptographie usuels utilisent une clé qui permet de décrypter un message si on possède la connaissance de la clé secrête.
En fait, une clé est une suite de chiffres, utilisé par un algorithme pour chiffrer un message.
Avec cette suite de chiffres, on crypte puis decrypte un message en utilisant la clé.
Si la clé est découverte, le secret est découvert (Le message crypté peut être lu par celui qui a découvert la clé).
C’est un système totalitaire : une clé , un cryptage, un message .
La connaissance de cette clé secrête est le fait d’une minorité d’élus, qui ne doivent jamais communiquer sa valeur à quiconque.

RSA, c’est différent. Il n’y a pas une clé mais deux.
Une clé publique et une clé privée. Il s’agit également d’une série de chiffres.
Elles sont liées par une troisième information (modulo).
Cela veut dire qu’un message crypté avec la clé privé ne pourra être décryptée que par la clé publique associée.
la clé publique peut être communiquée à pleins de gens sans jamais trahir le secret initial de la clé privée.

Le principe est le suivant : Une personne désire envoyer un message à ses amis, mais il n’a pas envie que des ennemis connaissent le contenu du message.
Pour ce faire, dans un premier temps, il crypte son message avec sa clé privé.
Ensuite, il envoie à ses amis la clé publique associée, avec le modulo.
Eux seuls, connaissants cette clé publique, pourront lire le message chiffré.

mais il y a une faille : si l’ennemi intercepte la clé publique, il est capable de lire le message.

Cette faille peut être résolue par ce moyen :
Si tous les amis sont aussi des cryptographes, ils savent aussi manier RSA et les clés publiques et privées.
Ils peuvent alors s’authentifier de manière certaine grâce à des algorithmes basés sur RSA.
Dans ce cas, aucune interception ne sera possible, grâce à l’usage croisé des clés privées/publiques des deux parties.
Mais bien sûr, une maitrise minimale des techniques cryptographique est necessaire pour ce type d’échanges.
Cela peut être simplifié pour devenir opérationnel.

Je ne veux pas rentrer dans les détails.
Je voulais juste montrer que les techniques de cryptographies pouvaient aussi bien servir à controler la population qu’à nous permettre de communiquer d’une manière quasi-secrête, en dehors de tout controle.

Donc il y a un espoir de contrer big-brother. Au cas où ...

Si vous êtes comme moi du côté rouge, et que vous ne souhaitez pas un controle libéral-capitaliste total, j’espère que cette nouvelle vous donnera du courage. techniquement, le totalitarisme sera perdant, j’en suis sûr.

Messages

  • Sachez qu’effectivement n’importe quel email est potentiellement lisible par une entité se plaçant entre votre ordinateur et le serveur auquel vous vous connectez pour l’envoyer. Il en va de même pour vos mots de passe de boîtes email, il passent en clair très régulièrement sur la toile ! Ce n’est donc pas être paranoïaque que de vouloir crypter ses données pour d’une part garder l’anonymat et, d’autre part, éviter que n’importe que vous place sur écoute. C’est tout simplement éviter le contrôle généralisé des moyens de communication par qui vous savez...
    Pensez donc à enclencher les options SSL dans vos clients mail lorsque votre provider le permet. Ce procédé est le même que celui utilisé pour les paiements en ligne par exemple (protocole https). Pas besoin de clés spécifiques pour celui là, il crypte mais ne garantie en rien l’identité des internautes.
    Comme l’explique bien cet article, on peut aller plus loin dans les procédés cryptographiques grâce aux clés GNUPG qui sont les versions libres des clés PGP. Elles permettent, par un échange de clés dites "publiques" entre 2 personnes, que le message de l’un ne soit lisible que par l’autre qui a donné sa clé publique, et inversement. Chacun garde par contre sa propre clé dite "privée" que *personne* ne doit obtenir. Il est donc conseillé que cette dernière n’existe que sur une seule machine sûre.

    Voici quelques outils très simple d’utilisation pour crypter vos messages :

    Tout sur GNUPG :
    http://www.gnupg.org

    En français et pour Window$ :
    http://openpgp.vie-privee.org/gnupg-win.htm

    Le plugin pour le meilleur client mail existant, j’ai nommé Mozilla Thunderbird :
    http://enigmail.mozdev.org/
    Ce dernier permet de signer et crypter votre message pour 1 correspondant dont vous avez la clé publique en un clic...

    Merci à Jean-Yves de soulever le fait que la cryptographie est aujourd’hui accessible et néccessaire au grand public !
    Yomguy

    http://jusquesaquand.org

  • Jean-Yves a fait un louable effort de simplification pour décrire le système de cryptage reposant sur des couples de clés privées et publiques, mais du fait de cette simplification forte, on serait tenté de croire qu’un groupe désirant communiquer en toute discrétion disposerait d’armes que les grandes oreilles ne saurait pas parer.

    La propriété du mécanisme décrit par Jean-Yves est en principe une double sécurité : seul le destinataire peut décoder le message, et ce dernier a la certitude que seul l’émeteur présumé l’a effectivement émis.

    Sauf si un ou des petits futés connaissent par exemple la clé secrète du destinataire, comme l’a souligné Jean-Yves. On imagine facilement le désastre que cela constitue pour le groupe.

    Comment peut-on éviter cela : tout d’abord, comme cela a été dit, en "cachant" parfaitement sa clé secrète. Ce n’est déjà pas si simple. Souvenons nous que dans le passé, que le "cassage" du code utilisé par la marine allemande a été l’une des clés du succès des Britaniques dans la guère sous-marine, l’autre étant la mise en oeuvre du radar par les avions de lutte anti sous-marine.

    Revenons à nos clés. Si on ne peut pas accéder, par la ruse ou la violence, à une clé secrète, il reste une autre issue : la découvrir par le calcul. Ceci est prévu par la théorie. Quand on choisit un code "au top", il est impossible "raisonnablement" à toute organisation de trouver la clé secrète connaissant la clé publique.

    Que signifie raisonnablement ? Hé bien, qu’il faudrait à une organisation qui disposerait d’un très grand nombre d’ordinateurs organisés en réseau, un temps réputé "infini", pour réussir cet exploit. Cependant, ce qui était considéré comme inatteignable hier ne l’est plus aujourd’hui, les ordinateurs multipliant leurs facultés de calcul, et les algorythmes progressant eux aussi. Et on a pu lire dans des revues comment des codes réputés incassables l’étaient devenus sans difficulté majeure, certes par des initiés, mais la connaissance se diffuse ensuite rapidement.

    Et dans cette lutte permanente de la défense contre l’attaque, les grandes organisations, disposant de moyens matériels et humains considérables, sont souvent mieux armées que les petits groupes, fussent-ils composés d’individus particulièrement doués.

    En résumé, j’ai voulu montrer ici deux choses :
     c’est une catastrophe pour un groupe que son code soit cassé sans que ce groupe le sache,
     dans la lutte pour casser les codes, les grandes organisations sont formidablement avantagées, et le mécanisme RSA ne suffit pas à rétablir l’équilibre entre les grands et les petits.

    Karol C