This file is indexed.

/usr/share/doc/HOWTO/fr-html/SSL-Certificates-HOWTO.html is in doc-linux-fr-html 2013.01-2.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below.

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux/x86 (vers 25 March 2009), see www.w3.org">
<title>Guide pratique des certificats SSL</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="BOOK" bgcolor="#FFFFFF" text="#000000" link="#0000FF"
vlink="#840084" alink="#0000FF">
<div class="BOOK"><a name="AEN1" id="AEN1"></a>
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Guide pratique des
certificats SSL</a></h1>
<h2 class="SUBTITLE">Version fran&ccedil;aise du <i class=
"FOREIGNPHRASE">SSL Certificates HOWTO</i></h2>
<h3 class="AUTHOR"><a name="AEN8" id="AEN8"></a>Franck Martin</h3>
<div>
<div class="ABSTRACT"><a name="AEN58" id="AEN58"></a>
<p>Une exp&eacute;rience de gestion d'une autorit&eacute; de
certification. La cr&eacute;ation et la signature de certificats
destin&eacute;s &agrave; la s&eacute;curisation des transactions
web, au courrier, &agrave; la signature du code et &agrave;
d'autres usages.</p>
</div>
</div>
<hr></div>
<div class="TOC">
<dl>
<dt><b>Table des mati&egrave;res</b></dt>
<dt>1. <a href="#AEN60">Principes g&eacute;n&eacute;raux</a></dt>
<dd>
<dl>
<dt><a href="#AEN62">Introduction</a></dt>
<dd>
<dl>
<dt><a href="#copyright">Droits d'utilisation et limitation de
responsabilit&eacute;</a></dt>
<dt><a href="#AEN91">Disclaimer and Licence</a></dt>
<dt><a href="#AEN108">Pr&eacute;-requis</a></dt>
</dl>
</dd>
<dt><a href="#AEN111">Que sont SSL et les certificats?</a></dt>
<dd>
<dl>
<dt><a href="#AEN132">Clef publique/ clef priv&eacute;e</a></dt>
<dt><a href="#AEN137">Le certificat</a></dt>
<dt><a href="#AEN144">La clef sym&eacute;trique</a></dt>
<dt><a href="#AEN148">Les algorithmes de chiffrement</a></dt>
<dt><a href="#AEN151"></a></dt>
</dl>
</dd>
</dl>
</dd>
</dl>
</div>
<div class="CHAPTER">
<hr>
<h1><a name="AEN60" id="AEN60"></a>Chapitre 1. Principes
g&eacute;n&eacute;raux</h1>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN62" id="AEN62">Introduction</a></h2>
<p>Comme moi, vous avez s&ucirc;rement lu avec attention les pages
de manuel des applications fournies par le projet <a href=
"http://www.openssl.org/" target="_top">OpenSSL</a> et, comme moi
autrefois, vous ne voyez pas trop par o&ugrave; commencer ni
comment travailler de fa&ccedil;on s&eacute;curis&eacute;e avec des
certificats. Ce document r&eacute;pond &agrave; l'essentiel de vos
questions.</p>
<p>Ce guide pratique traite aussi d'applications hors du monde
Linux. Il ne sert &agrave; rien d'&eacute;mettre des certificats
qu'on ne peut pas utiliser Toutes les applications ne figurent pas
ici. Envoyez moi donc s'il vous pla&icirc;t vos ajouts et
corrections. On peut me contacter en anglais &agrave; l'adresse
suivante: <code class="EMAIL">&lt;<a href=
"mailto:franck@sopac.org">franck@sopac.org</a>&gt;</code>.</p>
<p>La version originale de ce guide pratique est publi&eacute; via
le <a href="http://www.tldp.org/" target="_top">Projet de
documentation Linux</a>. Vous y trouverez la derni&egrave;re
version originale de ce document.</p>
<p>La version fran&ccedil;aise de ce document est publi&eacute;e
par le projet de traduction <a href="http://www.traduc.org" target=
"_top">traduc.org</a>. Vous y trouverez notamment la
derni&egrave;re <a href=
"http://www.traduc.org/docs/HOWTO/lecture/SSL-Certificates-HOWTO.html"
target="_top">version fran&ccedil;aise</a> de ce document.</p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="copyright" id="copyright">Droits
d'utilisation et limitation de responsabilit&eacute;</a></h3>
<p>Ce document est distribu&eacute; dans l'espoir qu'il se
r&eacute;v&eacute;lera utile, mais SANS AUCUNE GARANTIE sans
m&ecirc;me la garantie implicite qu'il soit PROPRE &Agrave; LA
VENTE ou ADAPT&Eacute; &Agrave; UN BESOIN PARTICULIER.</p>
<p>En r&eacute;sum&eacute;, si les conseils qui vous sont
prodigu&eacute;s ici annihilent la s&eacute;curit&eacute; de votre
application de commerce &eacute;lectronique, eh bien, tant pis pour
vous ce n'est jamais de notre faute. D&eacute;sol&eacute;.</p>
<p>Copyright 2001 Franck Martin et divers membres de la liste de
diffusion openssl-users. Ce document est diffus&eacute; selon les
termes de la licence de documentation libre <a href=
"http://www.gnu.org/" target="_top">GNU</a> (GFDL). Une version
fran&ccedil;aise officieuse de la version 1.1 de cette licence est
disponible sur <a href=
"http://www.linux-france.org/prj/jargonf/general/gfdl.html" target=
"_top">http://www.linux-france.org/prj/jargonf/general/gfdl.html</a>.</p>
<p>Vous pouvez librement copier et distribuer (commercialement ou
gratuitement) ce document dans n'importe quel format. Il vous est
demand&eacute; de faire parvenir vos corrections et commentaires au
responsable actuel de ce document. Vous pouvez cr&eacute;er des
travaux d&eacute;riv&eacute;s de celui-ci et les distribuer si vous
respectez les conditions suivantes:</p>
<ol type="1">
<li>
<p>Faire parvenir vos travaux d&eacute;riv&eacute;s (dans le format
le plus appropri&eacute; tel que SGML) au Projet de documentation
Linux (<a href="http://www.tldp.org" target="_top">LDP</a>), ou
&agrave; un projet du m&ecirc;me type pour qu'il soit
diffus&eacute; sur internet. Si vous n'envoyez pas votre document
au LDP, informez le LDP de l'endroit o&ugrave; votre document est
disponible.</p>
</li>
<li>
<p>Diffuser vos travaux d&eacute;riv&eacute;s sous la m&ecirc;me
licence, ou sous la licence publique GNU (GPL). Inclure la notice
pr&eacute;cisant les droits d'utilisation, et au moins un pointeur
sur la licence utilis&eacute;e.</p>
</li>
<li>
<p>Reconna&icirc;tre la contribution des pr&eacute;c&eacute;dents
auteurs et contributeurs principaux. Si vous envisagez de
r&eacute;aliser un travail d&eacute;riv&eacute; autre qu'une
traduction, il vous est demand&eacute; d'en discuter au
pr&eacute;alable avec le responsable actuel de ce document.</p>
</li>
</ol>
<p>Il vous est &eacute;galement demand&eacute; que si vous publiez
ce guide pratique dans un format papier, vous envoyiez &agrave; ses
auteurs quelques exemplaires &agrave; des fins d'<span class=
"emphasis"><i class="EMPHASIS">&eacute;valuation</i></span>:-).
Vous voudrez peut-&ecirc;tre &eacute;galement m'envoyer quelque
chose pour assaisonner mes &eacute;pinards;-)</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN91" id="AEN91">Disclaimer and
Licence</a></h3>
<div class="NOTE">
<blockquote class="NOTE">
<p><b>Note&nbsp;:</b> La licence de ce document nous oblige
&agrave; inclure une copie en anglais de ce texte. La version
fran&ccedil;aise de ce texte se trouve &agrave; la section
pr&eacute;c&eacute;dente.</p>
</blockquote>
</div>
<p>This document is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.</p>
<p>In short, if the advises given here break the security of your
e-commerce application, then tough luck- it's never our fault.
Sorry.</p>
<p>Copyright 2001 by Franck Martin and others from the
openssl-users mailing list under GFDL (the <a href=
"http://www.gnu.org/" target="_top">GNU</a> Free Documentation
License).</p>
<p>Please freely copy and distribute (sell or give away) this
document in any format. It's requested that corrections and/or
comments be forwarded to the document maintainer. You may create a
derivative work and distribute it provided that you:</p>
<ol type="1">
<li>
<p>Send your derivative work (in the most suitable format such as
sgml) to the LDP (Linux Documentation Project) or the like for
posting on the Internet. If not the LDP, then let the LDP know
where it is available.</p>
</li>
<li>
<p>License the derivative work with this same license or use GPL.
Include a copyright notice and at least a pointer to the license
used.</p>
</li>
<li>
<p>Give due credit to previous authors and major contributors. If
you're considering making a derived work other than a translation,
it's requested that you discuss your plans with the current
maintainer.</p>
</li>
</ol>
<p>It is also requested that if you publish this HOWTO in hardcopy
that you send the authors some samples for 'review purposes' :-).
You may also want to send something to cook my noodles ;-)</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN108" id=
"AEN108">Pr&eacute;-requis</a></h3>
<p>Comme indiqu&eacute; dans l'introduction, ce document est un
aide-m&eacute;moire et vous devez donc consulter les pages de
manuel du paquet OpenSSL. La lecture de documents relatifs &agrave;
la s&eacute;curit&eacute; est vivement conseill&eacute;e afin de
comprendre comment votre s&eacute;curit&eacute; peut &ecirc;tre
compromise. Les certificats sont destin&eacute;s &agrave;
am&eacute;liorer la s&eacute;curit&eacute; des transactions et il
donc important que vous compreniez les implications de vos actes en
terme de s&eacute;curit&eacute; ainsi que les limitations
d'OpenSSL.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN111" id="AEN111">Que sont SSL et les
certificats?</a></h2>
<p>Le protocole SSL (<span class="emphasis"><i class=
"EMPHASIS">Secure Socket Layer</i></span>) a &eacute;t&eacute;
cr&eacute;&eacute; par Netscape pour s&eacute;curiser les
transactions entre les serveur web et les outils de navigation. Il
a recours &agrave; un tiers, l'autorit&eacute; de certification
(<span class="emphasis"><i class="EMPHASIS">CA/Certificate
Authority</i></span>) qui identifie n'importe laquelle des
extr&eacute;mit&eacute;s ou les deux. Il s'agit du fonctionnement
en tr&egrave;s r&eacute;sum&eacute;.</p>
<ol type="1">
<li>
<p>Un navigateur demande une page web s&eacute;curis&eacute;e (en
g&eacute;n&eacute;ral https://).</p>
</li>
<li>
<p>Le serveur web &eacute;met sa clef publique accompagn&eacute;e
de son certificat.</p>
</li>
<li>
<p>Le navigateur v&eacute;rifie que le certificat a
&eacute;t&eacute; &eacute;mis par un tiers fiable (en
g&eacute;n&eacute;ral une autorit&eacute; de certification racine),
qu'il est toujours valide et qu'il se rapporte bien au site en
cours.</p>
</li>
<li>
<p>Le navigateur emploie la clef publique du serveur pour chiffrer
une clef de chiffrement sym&eacute;trique al&eacute;atoire et
l'envoie au serveur web avec l'URL demand&eacute;e et diverses
donn&eacute;es HTTP chiffr&eacute;es.</p>
</li>
<li>
<p>Le serveur web d&eacute;chiffre la clef de chiffrement
sym&eacute;trique gr&acirc;ce &agrave; sa sa clef priv&eacute;e et
utilise la clef de chiffrement sym&eacute;trique pour
r&eacute;cup&eacute;rer l'URL et les donn&eacute;es HTTP.</p>
</li>
<li>
<p>Le serveur renvoie le document html et les donn&eacute;es HTTP
chiffr&eacute;es avec la clef sym&eacute;trique.</p>
</li>
<li>
<p>Le navigateur d&eacute;chiffre l'ensemble avec la clef
sym&eacute;trique et affiche les informations.</p>
</li>
</ol>
<p>Plusieurs concepts m&eacute;ritent d'&ecirc;tre
assimil&eacute;s.</p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN132" id="AEN132">Clef publique/ clef
priv&eacute;e</a></h3>
<p>Le chiffrement &agrave; base de clef publique garantit qu'une
donn&eacute;e chiffr&eacute;e par une clef, publique ou
priv&eacute;e, ne peut &ecirc;tre d&eacute;chiffr&eacute;e que par
la clef associ&eacute;e. Cela peut para&icirc;tre surprenant mais
croyez moi, &ccedil;a fonctionne. Les clefs sont de m&ecirc;me
nature et leurs r&ocirc;les peuvent &ecirc;tre invers&eacute;s: ce
que l'une chiffre est d&eacute;chiffrable par l'autre. La paire de
clef repose sur des nombres premiers et leur longueur,
exprim&eacute;e en digits binaires, traduit la difficult&eacute;
qu'il y a &agrave; d&eacute;chiffrer un message sans connaissance
&agrave; priori de la clef n&eacute;cessaire. L'astuce consiste
&agrave; conserver une clef secr&egrave;te (la clef priv&eacute;e)
et &agrave; distribuer l'autre clef (la clef publique) &agrave;
tout le monde. N'importe qui peut vous envoyer un message
chiffr&eacute; mais personne d'autre que vous ne peut le
d&eacute;chiffrer tant que vous &ecirc;tes le seul &agrave;
conserver un des deux membres de la paire de clefs. On peut
&eacute;galement prouver qu'un message provient de vous en le
chiffrant avec votre clef priv&eacute;e: seule la clef publique
correspondante le d&eacute;chiffrera. Notez que le message n'est
pas prot&eacute;g&eacute; parce que vous le signez. Tout le monde a
acc&egrave;s &agrave; la clef de d&eacute;chiffrement, ne l'oubliez
pas.</p>
<p>Le probl&egrave;me consiste &agrave; obtenir la clef publique du
correspondant. En g&eacute;n&eacute;ral, vous lui demanderez de la
transmettre via un message sign&eacute; qui la contiendra
accompagn&eacute;e d'un certificat.</p>
<pre class="PROGRAMLISTING">
Message--&gt;[Clef publique]--&gt;Message chiffr&eacute;--&gt;[Clef priv&eacute;e]--&gt;Message
</pre></div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN137" id="AEN137">Le
certificat</a></h3>
<p>Qu'est-ce qui vous garantit que vous dialoguez bien avec la
bonne personne ou le bon site web? En principe, quelqu'un aura fait
l'effort (s'il est s&eacute;rieux) de v&eacute;rifier que les
propri&eacute;taires du site sont bien ceux qu'ils affirment
&ecirc;tre. On fait naturellement confiance &agrave; ce quelqu'un:
son certificat, un certificat racine, est incorpor&eacute; &agrave;
votre navigateur. Un certificat contient des informations relatives
&agrave; son propri&eacute;taire comme une adresse
&eacute;lectronique, un nom, l'usage pr&eacute;vu du certificat,
une dur&eacute;e de validit&eacute;, un identifiant de localisation
ou un nom qualifi&eacute; (<span class="emphasis"><i class=
"EMPHASIS">DN/Distinguished Name</i></span>) qui comprend le nom
d'usage (<span class="emphasis"><i class="EMPHASIS">CN/Common
Name</i></span>) et l'identifiant du signataire du certificat. Le
certificat comprend &eacute;galement la clef publique et un
hach&eacute; pour garantir l'int&eacute;grit&eacute; du message.
Comme vous avez d&eacute;cid&eacute; de faire confiance au
signataire du certificat, vous accordez du cr&eacute;dit &agrave;
son contenu. On parle d'arbre de confiance de certification ou de
chemin de certification. En g&eacute;n&eacute;ral, le navigateur et
les applications incluent d'office le certificat racine
d'autorit&eacute;s de certification bien connues. L'autorit&eacute;
de certification tient &agrave; jour une liste des certificats
sign&eacute;s ainsi qu'une liste des certificats
r&eacute;voqu&eacute;s. Un certificat n'est pas fiable tant qu'il
n'est pas sign&eacute; puisque seul un certificat sign&eacute; ne
peut pas &ecirc;tre modifi&eacute;. Un certificat peut se signer
lui-m&ecirc;me. On parle alors de certificat auto-sign&eacute;.
Tous les certificats de CA racines sont ce type.</p>
<pre class="PROGRAMLISTING">
Certificate:
    Data: 
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=SOPAC Root CA/Email=administrator@sopac.org
        Validity
            Not Before: Nov 20 05:47:44 2001 GMT
            Not After : Nov 20 05:47:44 2002 GMT
        Subject: C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=www.sopac.org/Email=administrator@sopac.org
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption 
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:ba:54:2c:ab:88:74:aa:6b:35:a5:a9:c1:d0:5a:
                    9b:fb:6b:b5:71:bc:ef:d3:ab:15:cc:5b:75:73:36:
                    b8:01:d1:59:3f:c1:88:c0:33:91:04:f1:bf:1a:b4:
                    7a:c8:39:c2:89:1f:87:0f:91:19:81:09:46:0c:86:
                    08:d8:75:c4:6f:5a:98:4a:f9:f8:f7:38:24:fc:bd:
                    94:24:37:ab:f1:1c:d8:91:ee:fb:1b:9f:88:ba:25:
                    da:f6:21:7f:04:32:35:17:3d:36:1c:fb:b7:32:9e:
                    42:af:77:b6:25:1c:59:69:af:be:00:a1:f8:b0:1a:
                    6c:14:e2:ae:62:e7:6b:30:e9
                Exponent: 65537 (0x10001)
         X509v3 extensions:
             X509v3 Basic Constraints:
                 CA:FALSE
             Netscape Comment:
                 OpenSSL Generated Certificate
             X509v3 Subject Key Identifier:
                 FE:04:46:ED:A0:15:BE:C1:4B:59:03:F8:2D:0D:ED:2A:E0:ED:F9:2F
             X509v3 Authority Key Identifier:
                 keyid:E6:12:7C:3D:A1:02:E5:BA:1F:DA:9E:37:BE:E3:45:3E:9B:AE:E5:A6 

                 DirName:/C=FJ/ST=Fiji/L=Suva/O=SOPAC/OU=ICT/CN=SOPAC Root CA/Email=administrator@sopac.org
                 serial:00

    Signature Algorithm: md5WithRSAEncryption
        34:8d:fb:65:0b:85:5b:e2:44:09:f0:55:31:3b:29:2b:f4:fd:
        aa:5f:db:b8:11:1a:c6:ab:33:67:59:c1:04:de:34:df:08:57:
        2e:c6:60:dc:f7:d4:e2:f1:73:97:57:23:50:02:63:fc:78:96:
        34:b3:ca:c4:1b:c5:4c:c8:16:69:bb:9c:4a:7e:00:19:48:62:
        e2:51:ab:3a:fa:fd:88:cd:e0:9d:ef:67:50:da:fe:4b:13:c5:
        0c:8c:fc:ad:6e:b5:ee:40:e3:fd:34:10:9f:ad:34:bd:db:06:
        ed:09:3d:f2:a6:81:22:63:16:dc:ae:33:0c:70:fd:0a:6c:af:
        bc:5a
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</pre>
<p>Comme vous avez pu le remarquer, le certificat mentionne son
&eacute;metteur, contient la clef publique de son
propri&eacute;taire, la p&eacute;riode de validit&eacute; du
certificat et une signature pour v&eacute;rifier qu'il n'a pas
&eacute;t&eacute; modifi&eacute;. Le certificat ne contient PAS la
clef priv&eacute;e qui ne doit jamais &ecirc;tre
r&eacute;v&eacute;l&eacute;e. Ce certificat contient tous les
&eacute;l&eacute;ments n&eacute;cessaires pour envoyer un message
chiffr&eacute; &agrave; son propri&eacute;taire ou pour
v&eacute;rifier un message dont la signature lui est
attribu&eacute;e.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN144" id="AEN144">La clef
sym&eacute;trique</a></h3>
<p>Les algorithmes de chiffrement &agrave; paire de clefs
publique/priv&eacute;e sont int&eacute;ressants mais pas toujours
pratiques. Ils sont asym&eacute;triques parce que des clefs
diff&eacute;rentes sont requises au chiffrement et au
d&eacute;chiffrement. La m&ecirc;me clef ne peut remplir les deux
r&ocirc;les. Les algorithmes sym&eacute;triques actuels sont
nettement plus rapides que les algorithmes asym&eacute;triques. Une
clef sym&eacute;trique est toutefois potentiellement peu
s&ucirc;re. Il suffit qu'un individu nuisible se la procure et il
n'y a plus d'information prot&eacute;g&eacute;e. La clef
sym&eacute;trique doit donc &ecirc;tre transmise au correspondant
sans &ecirc;tre intercept&eacute;e. Rien n'est s&ucirc;r dans
l'Internet. La solution consiste &agrave; envelopper la clef
sym&eacute;trique dans un message chiffr&eacute; au moyen d'un
algorithme asym&eacute;trique. Comme personne d'autre que vous ne
conna&icirc;t la clef priv&eacute;e, le message chiffr&eacute; avec
la clef priv&eacute;e est s&ucirc;r (enfin, relativement, rien
n'est garanti en ce bas monde sinon la mort et les imp&ocirc;ts).
La clef de chiffrement sym&eacute;trique est choisie
al&eacute;atoirement de telle sorte qu'une compromission
accidentelle n'ait pas d'impact sur les transactions futures.</p>
<pre class="PROGRAMLISTING">
Clef sym&eacute;trique--&gt;[Clef publique]--&gt;Clef de session chiffr&eacute;e--&gt;[Clef priv&eacute;e]--&gt;Clef sym&eacute;trique
</pre></div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN148" id="AEN148">Les algorithmes de
chiffrement</a></h3>
<p>Diff&eacute;rents algorithmes existent, sym&eacute;triques ou
non, avec diverses longueurs de clef. En principe les algorithmes
ne peuvent pas &ecirc;tre brevet&eacute;s. Si Henri Poincar&eacute;
l'avait fait, il aurait pu poursuivre Albert Einstein Les
algorithmes ne peuvent donc pas &ecirc;tre brevet&eacute;s,
&agrave; l'exception toutefois des &Eacute;tats-Unis. OpenSSL est
mis au point dans des pays o&ugrave; les algorithmes ne sont pas
brevet&eacute;s et o&ugrave; l'usage de la cryptographie n'est pas
r&eacute;serv&eacute; &agrave; des agences d'&eacute;tat pour des
fins militaires ou d'espionnage. Lors de la n&eacute;gociation
entre le navigateur et le serveur web, les applications fournissent
l'une &agrave; l'autre une liste d'algorithmes qu'elles peuvent
traiter, class&eacute;s par ordre de pr&eacute;f&eacute;rence.
L'algorithme pr&eacute;f&eacute;r&eacute; en commun est choisi.
OpenSSL peut &ecirc;tre compil&eacute; sans inclure la gestion de
certains algorithmes de fa&ccedil;on &agrave; rester utilisable
dans des pays o&ugrave; l'usage de la cryptographie est
r&eacute;glement&eacute;.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN151" id="AEN151"></a></h3>
</div>
</div>
</div>
</div>
</body>
</html>