Questions sur la PKI

**celine_tr** · 01/08/2006, 19h27

salut tout le monde
bon, j'ai commence par l'installation d'une CA racine d'entreprise,puis j'ai installe exchange server 2003.mon objectif c'etait d'envoyer des emails cryptés et signés.
le deroulement est comme suit :
supposons qu'un client veuille envoyer un email crypté et signé a un autre client, il doit alors demander un certificat auprés de l'autorité CA puis il peut signer son email. Au niveau du destinataire, comment celui-ci pourrai recuperer la clé public de l'émetteur pour pouvoir verifier la signature?
meme chose pour l'émetteur, lorsqu'il a voulu crypter l'email, comment il a pu recuperer la clé public du destinataire?
quelle est la difference entre CA racine d'entreprise et CA autonome, qu'elle est la meilleur a employer?
merci bien

**Tuxy1** · 03/08/2006, 11h07

Euh je fais erreur certainement, mais je ne vois pas trop le rapport ave PKI ???

Le certificat est scindé en deux :
Une partie publique (comme son nom l'indique visible de tous) et une partie privée ...

Il y a échange de message entre les deux destinataires, ce qui fait que, avec la partie privée ET la partie publique, on peut régénérer une clé. Ca tombe bien, les deux côtés possèdent un "shared key" ou clé partagée, ce qui aide grandement.

Pour simplifier ce propos, imaginons un exemple HYPER simple (donc absolument pas proche de la réalité, mais c'est juste pour comprendre).

Je prends comme clé publique 2.

Si je te dis que 2 <opération> ? = ? (tu ne connais ni ma clé privée, ni le résultat que tu dois trouver, ni l'opération à faire), tu ne peux pas décrypter !!

Si je te donne une seule autre information (exemple opération = +) idem :
2+? = ? on est bien avancé !!

Si maintenant on est convenu du résultat (exemple 4), tu trouves immédiatement la partie qui te manque :

2+?=4, alors ? = 2 !!

Imaginons que l'on décide que ce résultat définit un décallage de lettres de l'alphabet OK ?
Donc, décallage de 2 (A=C, B=D ...)

Si je crypte SALUT, tu reçois UCNWV.

Donc pour un lecteur "normal", clé publique 2, shared key = ? clé privée = ?

Il lira UCNWV et ne pourra pas le décrypter

**David.Schris** · 04/08/2006, 00h58

Envoyé par Tuxy1

Euh je fais erreur certainement

Je n'osais pas le dire.

**Tuxy1** · 04/08/2006, 10h18

OUPS

Désolé ..; euh humm, oui enfin bref, le baratin qui va derrière est bon lui ....

Ouh là là, j'étais vraiment Zombie hier moi (et aujourd'hui c'est pire !)

**David.Schris** · 04/08/2006, 11h11

Envoyé par Tuxy1

le baratin qui va derrière est bon lui ....

Non.

Envoyé par Tuxy1

Ouh là là, j'étais vraiment Zombie hier moi (et aujourd'hui c'est pire !)

Je vois ça...

**celine_tr** · 05/08/2006, 18h08

sinon vous avez des reponses a mes questions????

**David.Schris** · 05/08/2006, 19h46

Envoyé par celine_tr

sinon vous avez des reponses a mes questions????

Bonjour,

Je ne connais pas MS Exchange, donc je ne peux te donner de réponse : c'est pour cette raison que je n'ai même pas essayé.

Envoyé par celine_tr

Au niveau du destinataire, comment celui-ci pourrai recuperer la clé public de l'émetteur pour pouvoir verifier la signature?
meme chose pour l'émetteur, lorsqu'il a voulu crypter l'email, comment il a pu recuperer la clé public du destinataire?

A mon humble avis de non connaisseur, cela doit passer par l'AD (Active Directory). Le destinataire reçoit un message, son client envoie une requête AD pour récupérer la clé publique de l'émetteur, etc.

Envoyé par celine_tr

quelle est la difference entre CA racine d'entreprise et CA autonome, qu'elle est la meilleur a employer?

Je ne sais pas, mais étant donné qu'il y a de fortes chances que la terminologie employée soit spécifique à Microsoft, j'irai voir dans l'aide.
D'ailleurs, quand tu installes les "Certificate Services" et que tu es devant la fenêtre te permettant de choisir le type de CA, tu dois avoir un bouton "Help" en bas à droite : que dit l'aide au sujet de ces deux types de CA ?
...
Je viens d'aller voir un document intitulé "Installing and configuring a certification authority" sur TechNet et apparemment, je n'avais pas tort concernant la publication des certificats dans l'AD.
Dans ton cas, je dirais que tu as a priori besoin d'une Enterprise certification authority. A toi de vérifier les descriptions données au sujet des autres types pour en être sûre.
Tu auras peut-être besoin d'autres types de CA si tu as besoin de plus d'une autorité (pour déléguer la création de certificats, par exemple) ou si tu veux générer des certificats sur une machine déconnectée du réseau ("standalone" dans ce cas).

Installer une solution de PKI n'est pas chose aisée : cela se prépare. J'espère que tu as fait ce travail de préparation avant (définition des besoins, dimensionnement, etc). Il y a pas mal de docs sur TechNet à ce sujet : n'hésite pas à aller les voir.

Enfin, deux liens vers deux articles qui pourraient t'intéreser :

.

En espérant t'avoir aidée malgré mon incompétence dans le domaine,
cordialement,
DS.