Admettons que Alice et Bernard veulent communiquer ensemble en chiffrant et en signant leurs mails. Pour cela, ils doivent chacun créer une paire de clés : une publique et l'autre privée.
Quand Bernard veut envoyer un mail chiffré à Alice, il le chiffre à l'aide de la clé publique d'Alice. Quand elle le reçoit, Alice peut le déchiffrer grâce à sa clé privé.
Si Alice veut signer un mail à destination de Bernard, elle le signe avec sa clé privée. Bernard utilise alors la clé publique d'Alice pour vérifier cette signature. Si la vérification est correcte, alors il peut être sûr que le mail a été signé avec la clé privée d'Alice, donc par Alice puisqu'elle est la seule personne à la détenir.
Le seul point faible de ce système réside dans l'échange des clés publiques. En effet, si Charles (une personne malveillante) crée une paire de clés qu'elle nomme Alice et qu'elle donne cette clé publique à Bernard, Bernard va utiliser cette clé pour chiffrer des mails qu'il veut envoyer à Alice mais Charles va pouvoir les déchiffrer car il possède la clé privée correspondante.
En conséquence, il est très important de vérifier que les clés publiques que l'on utilise appartiennent bien à leur propriétaire. Le plus simple est que Bernard et Alice se rencontrent pour échanger leur clé. Si ce n'est pas possible, par exemple pour des questions de distance, on peut envoyer la clé par mail (attention, dans ce cas elle peut être interceptée et modifiée). Dans ce dernier cas, il faudra vérifier (par exemple par téléphone) que l'on dispose bien de la bonne clé en vérifiant l'empreinte unique des clé.
Il est très important de bien vérifier ses clés ! Sinon, tous vos efforts pour protéger vos mails sont inutiles !
Comment obtenir une clé et être sur le réseau de confiance de l'ENST-Bretagne.
Page créée par Guillaume Duc, promo 2004, en Novembre 2002