Publicité
7.3.1.7
Signatures
Création
L'émetteur d'un certificat génère une valeur de hachage (empreinte numérique) à partir des
données du certificat à l'aide d'un algorithme de hachage spécifique (p. ex. SHA-2, Secure
Hash Algorithm). Il crée ensuite une signature numérique à partir de la valeur de hachage et
de sa clé privée. La procédure de signature RSA est souvent utilisée à cet effet. La signature
numérique est enregistrée dans le certificat. Le certificat est ainsi signé.
Vérification
Le vérificateur d'un certificat se procure le certificat de l'émetteur et donc la clé publique. En
utilisant le même algorithme de hachage que celui utilisé lors de la signature (par exemple
SHA-2), il génère à nouveau une valeur de hachage à partir des données du certificat.
Il compare cette valeur de hachage à la valeur de hachage déterminée à l'aide de la clé
publique de l'émetteur du certificat et de l'algorithme de signature pour vérifier la signature.
Si la vérification de la signature donne un résultat positif, que les valeurs de hachage
concordent, l'identité du titulaire du certificat ainsi que l'intégrité, c'est-à-dire l'authenticité
et l'absence de falsification du contenu du certificat, sont prouvées. Toute personne en
possession de la clé publique, c'est-à-dire du certificat de l'autorité de certification, peut
vérifier la signature et voir ainsi que le certificat a effectivement été signé par l'autorité de
certification.
7.3.1.8
Emplacements de mémoire
SINEC OS définit les emplacements de mémoire suivants pour les clés et les certificats :
• Keystore
SINEC OS utilise les paires de clés enregistrées dans le Keystore comme suit :
– pour la mise à disposition d'un service de serveur (HTTPS p. ex.)
– pour l'authentification comme client (pour établir p. ex. une connexion sécurisée pour la
Un ou plusieurs certificats peuvent être enregistrés avec une paire de clés afin de signer la clé
publique.
• Truststore
Le Truststore sert à enregistrer des certificats utilisés par SINEC OS pour authentifier d'autres
appareils.
Une entrée peut contenir plusieurs certificats. Il est ainsi possible d'enregistrer tous les
certificats d'une autorité de certification fiable dans une même entrée.
L'emploi d'une autorité de certification fiable permet de réduire les efforts de configuration.
Un Truststore peut, avec un seul certificat, authentifier plusieurs serveurs distants.
Le Keystore et le Truststore sont des emplacements de mémoire centraux sous SINEC OS.
D'autres fonctions peuvent utiliser les paires de clés ou clés et certificats pulblics fiables,
contenus dans le Keystore et le Truststore.
Command Line Interface (CLI) SINEC OS V2.4
Manuel de configuration, 10/2023, C79000-G8977-C498-07
transmission de données)
Sécurité des données
7.3 Clés et certificats
217
Publicité
