Chiffrement avec certificat X.509 : Comment ça marche ?

Publié le 23/02/2025

PRINCIPE

Le chiffrement à clé publique utilisant les certificats X.509 permet de sécuriser les échanges de données sans nécessiter de secret partagé préalable. L'expéditeur utilise la clé publique du destinataire (disponible dans son certificat X.509) pour chiffrer un secret temporaire, qui sera ensuite utilisé pour chiffrer le contenu avec un algorithme symétrique performant.

DÉTAILS TECHNIQUES

Le chiffrement avec certificat X.509 combine deux types de cryptographie :

  1. Cryptographie asymétrique (ou à clé publique) : utilisée pour l'échange sécurisé de la clé de session
  2. Cryptographie symétrique : utilisée pour le chiffrement efficace des données

L'application offre deux algorithmes de chiffrement symétrique au choix :

  • AES-GCM (Advanced Encryption Standard en mode Galois/Counter avec AAD - Additional Authenticated Data)
  • ChaCha20-Poly1305 (Combinaison du chiffrement par flux ChaCha20 avec l'authentificateur Poly1305)

PROCESSUS DE CHIFFREMENT

  1. L'expéditeur récupère le certificat X.509 du destinataire contenant sa clé publique
  2. Une clé symétrique aléatoire (clé de session) est générée
  3. Cette clé de session est chiffrée avec la clé publique du certificat X.509 du destinataire
  4. La clé de session est utilisée avec l'algorithme choisi (AES-GCM ou ChaCha20-Poly1305) pour chiffrer les données
  5. Le message final contient :
  • La clé de session chiffrée
  • Les données chiffrées
  • Les informations sur l'algorithme utilisé
  • Les métadonnées d'authentification

CARACTÉRISTIQUES DES ALGORITHMES SYMÉTRIQUES

AES-GCM

  • Utilise l'algorithme AES avec une taille de clé de 256 bits
  • Mode GCM (Galois/Counter Mode) avec AAD qui assure à la fois confidentialité et authenticité
  • Nécessite un vecteur d'initialisation (IV) unique pour chaque message
  • Standard largement adopté et audité
  • Excellentes performances sur les processeurs disposant d'instructions AES-NI

ChaCha20-Poly1305

  • Combine le chiffrement par flux ChaCha20 (256 bits) avec l'authentificateur Poly1305
  • Nécessite un nonce unique pour chaque message
  • Excellentes performances sur les appareils mobiles et les processeurs sans instructions AES-NI
  • Adopté dans des protocoles modernes comme TLS 1.3

INDÉPENDANCE CRYPTOGRAPHIQUE

Les deux algorithmes (AES-GCM et ChaCha20-Poly1305) sont basés sur des principes cryptographiques différents :

  • AES-GCM utilise un chiffrement par blocs
  • ChaCha20-Poly1305 utilise un chiffrement par flux

Cette indépendance présente un avantage de sécurité important : si une vulnérabilité était découverte dans l'un des algorithmes, l'autre ne serait normalement pas affecté par la même vulnérabilité. Cela offre une sécurité supplémentaire à l'application, qui peut basculer d'un algorithme à l'autre en cas de besoin.

← Retour à la liste des articles