Bonjour, je bosse dans l'IT et même si les certificat n'est pas mon cœur de métier je m'y intéresse.
J'avais une simple question dans le cas de la signature numérique :
Je connais le principe de la signature et son mécanisme, hors j'ai un question.
Dans le cas d'un envoie A vers B.
Le seule moyen pour moi d'usurper l’identité d'une personne A envoyant un message signé et une attaque type "man in the middle" par C.
A -> C -> B
C'est à dire intercepter le message de A, C en change le certificat (usurpé) et la signature publique, puis le renvoyer à son destinataire B. B croit donc avoir affaire à A alors que c'est C.
J'avais donc une question, qu'est ce qui empêche C d'usurper l'identité de A ?
Qu'est ce qui empêche C de réclamer un certificat à un CA quelconque avec les informations de A et donc avoir un certificat valide usurpant l'identité de A ?
Il y a plusieurs CA dans le monde, est-ce qu'elles se parlent entre-elles ? Qu'est ce qui empêche certaines d’émettre des doublons ?
J'avoue ne pas comprendre.
Sur un infra informatique on a pas se problème, le CA est local et privé, il fourni un certificat par machine/user, mais là on est sur des organismes publiques, n'y a-t-il par risque de couacs ?
Merci pour votre éclairage
Message édité par Industriality le 22-11-2016 à 15:05:56