La plupart du temps, les approches de gestion et les délais diffèrent pour l'utilisation des clés de signature et de chiffrement.

Pour la non-répudiation, vous ne voulez jamais que quelqu'un d'autre contrôle votre clé de signature car il pourrait usurper l'identité tu. Mais votre lieu de travail voudra peut-être déposer votre clé de chiffrement afin que les autres personnes qui en ont besoin puissent accéder aux informations que vous avez chiffrées.

Vous pouvez également souhaiter qu'une clé de signature soit valide pendant une longue période afin que les gens autour le monde peut vérifier les signatures du passé, mais avec une clé de chiffrement, vous voulez souvent la remettre plus tôt et pouvoir en révoquer les anciennes sans autant de tracas.

Il est potentiellement non sécurisé d'utiliser la même paire de clés pour la signature et le chiffrement. Cela peut activer des attaques, selon le schéma de clé publique que vous utilisez. Ce type d'utilisation n'est pas ce pour quoi le système a été conçu, donc utiliser le système d'une manière qui n'a pas été conçue "annule la garantie".

Ne le faites pas. Cela pose des problèmes.

Il y a certaines raisons pour lesquelles nous ne devrions pas utiliser la même clé pour le chiffrement et la signature.

1. Nous devons sauvegarder notre clé secrète pour les données chiffrées. Plus tard, nous voulons déchiffrer certains anciens messages chiffrés, mais nous n'avons pas besoin de sauvegarder notre clé secrète pour la signature. Si l'attaquant trouve la clé, nous pouvons dire à notre autorité de certification de la révoquer et d'obtenir une nouvelle clé secrète pour la signature sans avoir besoin de sauvegarde.

2. Plus important encore: Si nous utilisons la même clé pour le chiffrement et la signature, l'attaquant peut l'utiliser pour déchiffrer notre message chiffré. Voici ce qu'il ferait:

   L'attaquant doit choisir un nombre aléatoire r , où

   r doit avoir GDC (N, r) = 1 ,
   et N est le numéro utilisé pour créer la clé privée et publique ( N = pq )

   Ensuite, l'attaquant choisit un nouveau message ( m ′ ) et l'envoie pour signature à l'expéditeur:

   m ′ = m ^ er ^ e … (ici (e, n) est la clé publique)

   Lorsque l'expéditeur signe m ′ nous obtenons

   m ′ ^ d ≡ (m ^ er ^ e) ^ d ≡ mr (mod N)

   Désormais l'attaquant uniquement doit le "diviser" par r pour obtenir m (le message secret).

Raisons de l'utilisation de clés distinctes pour la signature et le chiffrement:

1. Utile dans l'organisation lorsque la clé de chiffrement doit être sauvegardée ou conservée sous séquestre afin de déchiffrer les données une fois qu'un employé / utilisateur de l'organisation n'est pas est plus disponible. Contrairement à la clé de chiffrement, la clé de signature ne doit jamais être utilisée par personne d'autre que l'employé / l'utilisateur et n'a pas et ne devrait pas avoir besoin d'être conservée sous séquestre.
2. Permet d'avoir des délais d'expiration différents pour signer une clé de chiffrement.
3. Étant donné que les mathématiques sous-jacentes sont les mêmes pour le chiffrement et la signature, seulement à l'inverse, si un attaquant peut convaincre / tromper un détenteur de clé de signer un message chiffré non formaté en utilisant la même clé, l'attaquant obtient l'original.

Références

1. https://www.entrust.com/what-is -pki /

2. https://www.gnupg.org/gph/en/manual/c235.html

3. http://www.di-mgt.com.au/rsa_alg.html

Pour moi, les principales raisons sont liées à la gestion des clés, plutôt qu'à la sécurité cryptographique en soi.

Pour la crypto asymétrique, en particulier la période pendant laquelle vous voulez qu'une clé publique soit valide peut fortement dépendre de l'utilisation prévue de cette clé. Par exemple, considérons un système dans lequel un composant doit s'authentifier auprès d'autres composants. En plus de cela, ce composant doit également créer régulièrement une signature sur certaines données. En théorie, une seule clé privée pourrait être utilisée aux deux fins. Cependant, supposons que l'autorité de certification PKI, pour des raisons de sécurité, souhaite limiter à deux ans la période pendant laquelle une authentification réussie peut avoir lieu sur la base d'un seul certificat. Dans le même temps, les lois sur la conservation des données peuvent exiger que les données soient conservées pendant cinq ans et que la signature de ces données soit vérifiable pendant toute cette période. Le seul moyen (sain) de résoudre ce problème est de donner au composant deux clés privées: une pour l'authentification et une pour la signature. Le certificat de la première clé expirera au bout de deux ans, le certificat de signature expirera au bout de cinq ans.

Des raisonnements similaires peuvent être appliqués à la cryptographie symétrique: si vous utilisez des clés différentes à des fins différentes, vous pouvez décider sur toutes les questions de gestion des clés (par exemple, la fréquence de renouvellement de la clé principale, la période de sauvegarde des clés, etc.) en fonction des exigences d'un seul objectif. Si vous utilisez une seule clé (principale) à des fins multiples, vous risquez de vous retrouver avec des exigences contradictoires.

Le chiffrement RSA est basé sur une fonction de trappe, c'est-à-dire une paire de fonctions. Je les appellerai D et E . Les fonctions sont conçues pour que D (E (x)) = x et E (D (x)) = x (pour tout x ). En d'autres termes, D et E sont des inverses. Ce qui en fait une fonction de trappe, c'est que si vous avez une clé publique, vous ne pouvez calculer que E (pratiquement). Si vous avez une clé privée, vous pouvez calculer à la fois D et E.

Le fonctionnement du cryptage est assez évident à partir de cette description. Si Bob veut envoyer un message chiffré à Alice, il calcule ciphertext: = E (texte en clair) . Puis Bob envoie texte chiffré à Alice. Alice calcule D (texte chiffré) , qui est D (E (texte clair)) , qui est simplement plaintext.

Maintenant, parlons du fonctionnement de la signature. Si Alice veut signer message , alors elle calcule signature: = D (message) . Elle envoie ensuite à la fois message et signature à Bob. Bob calcule ensuite validation: = E (signature) . Puisque signature est D (message) , alors validation = E (D (message)) = message .

In autrement dit: pour signer un message, vous agissez comme si vous le déchiffriez, et c'est votre signature. Pour vérifier votre signature, les gens peuvent crypter la signature et s'assurer de récupérer votre message d'origine.

Je le répète: la signature est la même opération que le décryptage.

Ceci est la préoccupation fondamentale concernant la séparation des clés de signature et de chiffrement. Si quelqu'un peut vous amener à signer quelque chose, c'est qu'il vous demande de le déchiffrer.

Supposons que vous dirigiez une entreprise notariale. Si quelqu'un vous donne 10 $ et un message (par exemple, les paroles d'une chanson), vous signerez ce message et vous le renverrez. Si quelqu'un copie plus tard les paroles de vos chansons, vous pouvez produire la signature de la société notariale de confiance pour démontrer que vous avez écrit ces paroles.

Supposons maintenant qu'Eve ait intercepté un message crypté à votre société notariale. Comment peut-elle renverser le cryptage? Elle vous envoie le même message pour la notarisation! Vous exécutez maintenant l'opération de signature (qui, rappelez-vous, est la même que l'opération de déchiffrement) et vous lui renvoyez le résultat. Elle a maintenant le message déchiffré.

En pratique, les protocoles comportent des étapes qui rendent cette attaque plus difficile. Par exemple, PGP (j'entends par là le protocole; gpg est l'implémentation la plus courante ici) ne signe pas le message d'origine; il signe un hachage du message. Mais les preuves de sécurité sont les meilleures dans des situations simples. Vous ne voulez pas que votre preuve sur la sécurité de RSA dépende de la fonction de hachage. (Par exemple, de nombreuses personnes ont utilisé MD5 comme hachage préféré pendant longtemps, mais aujourd'hui MD5 est considéré comme assez cassé.) Seule, la sécurité de RSA dépend de l'idée que vous ne signerez pas de messages arbitraires avec une clé utilisée pour le cryptage. Le maintien de cette exigence est le meilleur moyen de garantir la sécurité de PGP. (Si je me souviens bien, c'est l'avertissement le plus fréquemment répété sur le cryptage asymétrique dans le livre de Bruce Scheier Applied Cryptography .)

Parlons maintenant de une autre question que vous avez posée: "Cela ne signifie-t-il pas également que vous devez distribuer deux clés publiques à toutes les personnes avec lesquelles vous souhaitez communiquer?"

Une "clé" signifie une chose pour les utilisateurs, et une chose différente pour les implémentations cryptographiques. Vous n'avez besoin de communiquer qu'une seule "clé" au niveau de l'utilisateur, bien qu'elle puisse contenir plusieurs clés publiques RSA.

PGP a un concept de sous-clés. Ma clé principale est une clé de signature uniquement. J'ai une sous-clé de chiffrement distincte. Cette sous-clé est signée par ma clé principale. Si vous importez ma clé PGP à partir des serveurs de clés, ou la téléchargez à partir de mon site Web, vous obtiendrez ma clé principale et toutes mes sous-clés. Même si vous n'avez signé que ma clé principale, ma clé principale a signé ma sous-clé de chiffrement, vous savez donc qu'elle m'appartient également. Cela signifie qu'en téléchargeant ma clé PGP (qui englobe de nombreuses clés publiques RSA), vous avez maintenant tout ce dont vous avez besoin pour vérifier mes signatures et pour crypter mes messages.

Avec les sous-clés, la gestion des clés est plus complexe d'un point de vue cryptographique (il y a une étape de vérification de clé supplémentaire à passer), mais pas d'un point de vue pratique (ma clé PGP comprend ma clé principale, ainsi que toutes mes sous-clés). La complexité supplémentaire est cachée dans l'implémentation et n'est pas exposée à l'utilisateur.