Récemment, on s'est demandé si les agences de services secrets avaient accès aux autorités de certification. Avant cela, plusieurs CA étaient confrontés à des problèmes de sécurité attaqués par des pirates informatiques. Compte tenu de cela, je me demande si S/MIME peut toujours être considéré comme sécurisé car les mêmes CA génèrent les clés privées.Est-ce que S/MIME peut toujours être considéré comme sécurisé?
S/MIME, SSL et toute autre technologie basée sur le cryptage à clé publique sont actuellement aussi sécurisés que la liste des certificats auxquels vous faites confiance. Cela a toujours été le cas et ce sera toujours le cas jusqu'à ce que la puissance de calcul atteigne le point de pouvoir forcer les algorithmes derrière elle. Si elles font les choses correctement, l'autorité de certification ne voit jamais votre clé privée. Vous devez générer une paire de clés sur votre machine, puis envoyer la partie publique à l'autorité de certification. L'autorité de certification renvoie une copie signée de la partie publique (le certificat). La clé privée ne doit jamais quitter votre appareil. La compromission d'une autorité de certification permet à l'attaquant de signer une clé publique arbitraire. Puisque le certificat inclut des choses comme un nom lisible par un humain, cela permettrait à quelqu'un de prétendre être vous en créant un certificat avec votre nom dessus. Cependant, ils n'auraient toujours pas votre clé privée, ce qui ne leur permet pas de déchiffrer tout ce qui vous a été envoyé.
Disons que je crée une clé S/MIME en utilisant une interface web d'un CA . Si cette autorité de certification est infiltrée par une agence, cette agence aurait accès à ma clé privée et pourrait déchiffrer les messages électroniques cryptés à l'aide de cette clé. Ou est-ce que je manque quelque chose? – user2683038
Non. Voir la réponse mise à jour. –
Bonjour Dark Falcon, merci pour la mise à jour. Pourquoi n'ont-ils pas accès à la clé privée? Je l'ai compris de cette façon que contrairement à PGP (où la clé privée est générée sur le propre ordinateur) pour S/MIME la clé privée est générée par l'AC (après avoir rempli le formulaire Web et appuyé sur OK ils m'enverront un email avec lien pour télécharger la clé privée); signifie, le privé est avec le CA, et donc aussi avec l'agence? – user2683038
Cette question semble être hors sujet car elle n'est pas liée à la programmation. En outre, il a déjà été reposté à http://crypto.stackexchange.com/questions/10232/can-s-mime-be-still-considered-secure – Gilles