FR2821220A1 - Procede de messagerie securisee - Google Patents
Procede de messagerie securisee Download PDFInfo
- Publication number
- FR2821220A1 FR2821220A1 FR0102351A FR0102351A FR2821220A1 FR 2821220 A1 FR2821220 A1 FR 2821220A1 FR 0102351 A FR0102351 A FR 0102351A FR 0102351 A FR0102351 A FR 0102351A FR 2821220 A1 FR2821220 A1 FR 2821220A1
- Authority
- FR
- France
- Prior art keywords
- user
- server
- key
- message
- channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
La présente invention concerne un procédé de messagerie sécurisée, comportant une étape d'exploitation avec une opération d'authentification de l'utilisateur et de validation de l'authenticité de l'utilisateur par comparaison entre la valeur dérivée d'une chaîne de caractère secrète transmise par l'utilisateur, et d'une valeur dérivée stockée dans une base de données, en relation avec l'identifiant de l'utilisateur considéré, et une opération de transmission par le serveur vers le poste utilisateur de ladite bi-clé, puis consistant à chiffrer et/ ou signer le message préparé sur le poste client avec respectivement les clés privées des destinataires du message, et/ ou la clé privée dudit utilisateur, l'opération de transmission du message étant réalisée par l'établissement de canaux virtuels [VPN] pour le chiffrement et/ ou la signature, la compression et la transmission du message " en flux continu " [streaming] sans stockage temporaire en mémoire sur le poste client, ni sur le serveur, ni sur un poste périphérique.
Description
<Desc/Clms Page number 1>
PROCEDE DE MESSAGERIE SECURISEE La présente invention concerne un procédé de messagerie sécurisée. Les solutions de messagerie sécurisée permettent de garantir la confidentialité et optionnellement l'intégrité et l'identité de l'émetteur du message. De façon générale, de tels procédés permettent de réduire les risques en terme de sécurité, notamment l'interception par un attaquant d'un message électronique pour en lire le contenu, l'usurpation d'identité d'un correspondant ou encore l'altération du contenu par un attaquant pendant la phase de transport du message.
Il est connu dans l'art antérieur de procéder à la sécurisation de l'envoi de message par le recours à des solutions basées sur la cryptographie, notamment par le recours à des solutions à clé publique et clé privée.
L'état de la technique le plus proche est décrit par le brevet américain US6154543. Ce brevet concerne un cryptosystème à clé publique permettant à un utilisateur itinérant l'accès à un réseau pour établir des communications sûres entre les utilisateurs du système, les machines clientes, et les serveurs de chiffrement. Selon cette solution de l'art antérieur, la machine cliente génère et mémorise une clé privée chiffrée dans un serveur de chiffrement. Un utilisateur peut alors accéder à cette clé privée chiffrée depuis n'importe quelle machine cliente située dans le réseau et la déchiffrer en utilisant une phrase passe, jouissant ainsi de l'accès intersystème. La clé privée peut être utilisée pour déchiffrer et chiffrer les messages reçus. Un utilisateur peut générer un message numérique, le chiffrer avec la clé publique du destinataire
<Desc/Clms Page number 2>
d'un client, et le transmettre au serveur de chiffrement depuis n'importe quelle machine cliente du serveur.
Cette solution de l'état de la technique est certes acceptable pour des messages électroniques de quelques kilo-octets. Par contre, pour l'utilisation pour des envois plus importants, notamment de fichiers correspondant à des données multimédias, une telle solution nécessite des ressources informatiques très importantes, notamment en terme de mémoire vive. Le but de la présente invention est de remédier à cet inconvénient en proposant un procédé permettant de sécuriser l'envoi de messages quel que soit leur volume, avec des postes clients ne nécessitant pas de ressources informatiques importantes.
A cet effet, l'invention concerne selon son acception la plus générale un procédé de messagerie sécurisée, comportant une première étape d'inscription d'un utilisateur, consistant à générer une bi-clé sur le poste client dudit utilisateur, à l'aide d'un algorithme de génération de clés [RSA par exemple], à chiffrer la clé privée par un algorithme symétrique exécuté sur le poste client, la clé de cet algorithme symétrique étant dérivée par une fonction de hachage fonction SHA1] d'une chaîne de caractères secrète [pass phrase] saisie au moyen d'un périphérique clavier par exemple], à transmettre au serveur un fichier comprenant ladite valeur cryptée ["hash"] de la clé privée cryptée avec la clé symétrique, la clé publique à un serveur comportant une base de données pour l'enregistrement desdites informations et d'un identifiant unique dudit
<Desc/Clms Page number 3>
utilisateur [par exemple son adresse de courrier électronique], et la valeur de hachage de la clé symétrique [dérivée de la pass phrase], l'étape d'inscription comportant en outre une opération de signature de ladite bi-clé de l'utilisateur par la clé privée du serveur [clé de certification ou de signature des clés], le procédé comportant une étape d'exploitation comportant une opération d'authentification de l'utilisateur par la transmission au serveur depuis un poste client quelconque de son identifiant et de ladite chaîne de caractères secrète [sa pass phrase ], et de validation de l'authenticité de l'utilisateur par comparaison entre la valeur dérivée de la dite chaîne de caractère secrète transmise par l'utilisateur, et la valeur dérivée stockée dans ladite base de données, en relation avec l'identifiant de l'utilisateur considéré, et une opération de transmission par le serveur vers le poste utilisateur de ladite bi-clé, puis à chiffrer et/ou signer le message préparé sur le poste client avec respectivement les clés privées des destinataires du message, et/ou la clé privée dudit utilisateur, et une opération de transmission dudit message entre le poste de l'utilisateur et le serveur, caractérisé en ce que ladite opération de transmission du message est réalisée par l'établissement de canaux virtuels [VPN] pour le chiffrement et/ou la signature, la compression et la transmission du message"en flux continu" [streaming] sans stockage temporaire en mémoire sur le poste client, ni sur le serveur, ni sur un poste périphérique.
<Desc/Clms Page number 4>
De préférence, l'opération de transmission du message consiste à ouvrir une pluralité de canaux virtuels emboîtés, le premier canal étant un canal de communication, englobé un canal de chiffrement et/ou de signature, englobé lui-même un canal de compression, permettant la transmission de messages sans limitation de taille.
Selon un mode de réalisation particulier, lesdits canaux virtuels comprennent un canal de chiffrement et un canal de signature en série.
Avantageusement, la pluralité de canaux virtuels comporte en outre un canal d'entrée-sortie (I/0) sur les périphériques du poste client.
Selon un mode de mise en oeuvre particulier, l'étape de transmission de message consiste à préparer un bloc comprenant un message en clair, composé de textes et de références à des fichiers du poste utilisateur fichiers attachés], à ouvrir lesdits canaux virtuels, à pointer chaque canal sur lesdits fichiers de façon séquentielle, et lire et traiter le flux pour réaliser les opérations de chiffrement et/ou de signature, de compression et de transmission.
Selon une variante, le procédé selon l'invention comporte une opération de chiffrement distincte de chacun des composants du message dudit flux avec la clé privée dudit utilisateur, afin de créer une signature numérique, pour permettre une vérification ultérieure de la signature de chacun desdits composants séparément.
L'invention concerne également une architecture pour le traitement de messages sécurisés, comprenant un serveur comportant une mémoire pour l'enregistrement chiffré et signé des informations relatives aux utilisateurs
<Desc/Clms Page number 5>
inscrits, des moyens d'envoi et de réception de messages et des moyens de connexion à un réseau public, et des postes clients comportant une application de navigation et des moyens de connexion audit réseau, caractérisé en ce que le serveur comporte des moyens de liaison sécurisée avec le réseau et des moyens de vérification de fichiers transmis par un utilisateur et signés avec une clé publique du serveur, et pour l'enregistrement, après vérification positive, dans une mémoire pour l'enregistrement d'une table comprenant, pour chaque utilisateur : la valeur cryptée ["hash"] de la clé privée cryptée avec la clé symétrique, la clé publique à un serveur comportant une base de données pour l'enregistrement desdites informations et d'un identifiant unique dudit utilisateur [par exemple son adresse de courrier électronique], et la valeur de hachage de la clé symétrique [dérivée de la pass phrase], l'architecture comprenant en outre des moyens pour l'établissement de canaux virtuels [VPN] pour le chiffrement et/ou la signature, la compression et la transmission du message"en flux continu" [streaming] sans stockage temporaire en mémoire sur le poste client, ni sur le serveur, ni sur un poste périphérique.
La présente invention sera mieux comprise à la lecture de la description d'un exemple non limitatif de réalisation qui suit, ce référant aux dessins annexés où : la figure 1 représente le schéma d'une architecture de messagerie sécurisée selon l'invention ;
<Desc/Clms Page number 6>
- la figure 2 représente le schéma fonctionnel du procédé de messagerie.
Le système de messagerie sécurisée selon l'invention met en oeuvre un serveur (1) relié à un réseau de télécommunication, notamment le réseau Internet.
L'utilisateur du service de messagerie conforme à l'invention dispose d'un poste de travail (2) également relié au même réseau de télécommunication.
Le serveur (1) comporte un espace de mémoire pour l'enregistrement d'une base de données (3) destinée au stockage de façon sécurisée des clés des utilisateurs, ainsi que les références des messages, et de leurs pièces jointes cryptées sur le disque dur du serveur.
Le serveur comporte en outre un applicatif (4) réalisant l'interface entre les requêtes des utilisateurs, adressées sous forme de formulaires HTML, et l'accès aux données enregistrées dans la base de données (3).
Lors de l'utilisation, le poste client (2) établit un lien HTTP avec le serveur (1).
Il établit ensuite une requête, par exemple une requête de récupération de sa clé privée cryptée en mémoire du poste client.
Lors de la consultation d'un message, la requête de consultation ouvre un lien TCP/IP (HTTP) qui va ouvrir un premier canal technique (5) encapsulé par deux canaux techniques en série respectivement de déchiffrement (6) et de vérification de la signature (7), ces deux canaux (6,7) étant eux-mêmes encapsulés par un canal technique de décompression (8), par exemple au format ZIP.
<Desc/Clms Page number 7>
Ces canaux permettent d'établir un lien persistant et synchrone entre le pointeur de lecture sur la base de données (3) et un fichier ouvert en mode écriture qui enregistre progressivement, et sans stockage intermédiaire dans une mémoire tampon, le flux déchiffré, vérifier et décompressé.
De la même façon, pour transmettre un message, le poste client (2) procède à l'ouverture d'une série de canaux (5 à 8) pour la transmission en continu d'un flux chiffré, signé et compressé à partir du fichier du poste client vers la base de données (3) du serveur (1).
Claims (7)
1-Procédé de messagerie sécurisée, comportant une première étape d'inscription d'un utilisateur, consistant à générer une bi-clé sur le poste client dudit utilisateur, à l'aide d'un algorithme de génération de clés [RSA par exemple], à chiffrer la clé privée par un algorithme symétrique exécuté sur le poste client, la clé de cet algorithme symétrique étant dérivée par une fonction de hachage fonction SHA1] d'une chaîne de caractères secrète [pass phrase] saisie au moyen d'un périphérique clavier par exemple], à transmettre au serveur un fichier comprenant ladite valeur cryptée ["hash"] de la clé privée cryptée avec la clé symétrique, la clé publique à un serveur comportant une base de données pour l'enregistrement desdites informations et d'un identifiant unique dudit utilisateur [par exemple son adresse de courrier électronique], et la valeur de hachage de la clé symétrique [dérivée de la pass phrase], l'étape d'inscription comportant en outre une opération de signature de ladite bi-clé de l'utilisateur par la clé privée du serveur [clé de certification ou de signature des clés], le procédé comportant une étape d'exploitation comportant une opération d'authentification de l'utilisateur par la transmission au serveur depuis un poste client quelconque de son identifiant et de ladite chaîne de caractères secrète [sa pass phrase dz et de validation de l'authenticité de l'utilisateur par comparaison entre la valeur dérivée de la dite chaîne de caractère secrète transmise par l'utilisateur,
<Desc/Clms Page number 9>
et la valeur dérivée stockée dans ladite base de données, en relation avec l'identifiant de l'utilisateur considéré, et une opération de transmission par le serveur vers le poste utilisateur de ladite bi-clé, puis à chiffrer et/ou signer le message préparé sur le poste client avec respectivement les clés privées des destinataires du message, et/ou la clé privée dudit utilisateur, et une opération de transmission dudit message entre le poste de l'utilisateur et le serveur caractérisé en ce que ladite opération de transmission du message est réalisée par l'établissement de canaux virtuels [VPN] pour le chiffrement et/ou la signature, la compression et la transmission du message"en flux continu" [streaming] sans stockage temporaire en mémoire sur le poste client, ni sur le serveur, ni sur un poste périphérique.
2-Procédé de messagerie selon la revendication 1 caractérisé en ce que ladite opération de transmission du message consiste à ouvrir une pluralité de canaux virtuels emboîtés, le premier canal étant un canal de communication, englobé un canal de chiffrement et/ou de signature, englobé lui-même un canal de compression, permettant la transmission de messages sans limitation de taille.
3-Procédé de messagerie selon la revendication 2 caractérisé en ce que lesdits canaux virtuels comprennent un canal de chiffrement (6) et un canal de signature (7) en série.
<Desc/Clms Page number 10>
4-Procédé de messagerie selon la revendication 2 ou 3 caractérisé en ce que la pluralité de canaux virtuels comporte en outre un canal d'entrée-sortie (I/O) sur les périphériques du poste client.
5-Procédé de messagerie selon la revendication 4 caractérisé en ce que ladite étape de transmission de message consiste à préparer un bloc comprenant un message en clair, composé de textes et de références à des fichiers du poste utilisateur fichiers attachés], à ouvrir lesdits canaux virtuels, à pointer chaque canal sur lesdits fichiers de façon séquentielle, et lire et traiter le flux pour réaliser les opérations de chiffrement et/ou de signature, de compression et de transmission.
6-Procédé de messagerie selon l'une au moins des revendications précédentes caractérisé en ce qu'il comporte une opération de chiffrement distincte de chacun des composants du message dudit flux avec la clé privée dudit utilisateur, afin de créer une signature numérique, pour permettre une vérification ultérieure de la signature de chacun desdits composants séparément.
7-Architecture pour le traitement de messages sécurisés, comprenant un serveur comportant une mémoire pour l'enregistrement chiffré et signé des informations relatives aux utilisateurs inscrits, des moyens d'envoi et de réception de messages et des moyens de connexion à un réseau public, et des postes clients comportant une application de navigation et des moyens de connexion audit réseau, caractérisé en ce
<Desc/Clms Page number 11>
que le serveur comporte des moyens de liaison sécurisée avec le réseau et des moyens de vérification de fichiers transmis par un utilisateur et signés avec une clé publique du serveur, et pour l'enregistrement, après vérification positive, dans une mémoire pour l'enregistrement d'une table comprenant, pour chaque utilisateur : la valeur cryptée ["hash"] de la clé privée cryptée avec la clé symétrique, la clé publique à un serveur comportant une base de données pour l'enregistrement desdites informations et d'un identifiant unique dudit utilisateur [par exemple son adresse de courrier électronique], et la valeur de hachage de la clé symétrique [dérivée de la pass phrase], l'architecture comprenant en outre des moyens pour l'établissement de canaux virtuels [VPN] pour le chiffrement et/ou la signature, la compression et la transmission du message"en flux continu" [streaming] sans stockage temporaire en mémoire sur le poste client, ni sur le serveur, ni sur un poste périphérique.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0102351A FR2821220B1 (fr) | 2001-02-21 | 2001-02-21 | Procede de messagerie securisee |
| PCT/FR2002/000654 WO2002067535A2 (fr) | 2001-02-21 | 2002-02-21 | Procede de messagerie securisee |
| EP02706886A EP1362461A2 (fr) | 2001-02-21 | 2002-02-21 | Procede de messagerie securisee |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0102351A FR2821220B1 (fr) | 2001-02-21 | 2001-02-21 | Procede de messagerie securisee |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2821220A1 true FR2821220A1 (fr) | 2002-08-23 |
| FR2821220B1 FR2821220B1 (fr) | 2004-10-01 |
Family
ID=8860273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0102351A Expired - Fee Related FR2821220B1 (fr) | 2001-02-21 | 2001-02-21 | Procede de messagerie securisee |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1362461A2 (fr) |
| FR (1) | FR2821220B1 (fr) |
| WO (1) | WO2002067535A2 (fr) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6154543A (en) * | 1998-11-25 | 2000-11-28 | Hush Communications Anguilla, Inc. | Public key cryptosystem with roaming user capability |
-
2001
- 2001-02-21 FR FR0102351A patent/FR2821220B1/fr not_active Expired - Fee Related
-
2002
- 2002-02-21 WO PCT/FR2002/000654 patent/WO2002067535A2/fr not_active Application Discontinuation
- 2002-02-21 EP EP02706886A patent/EP1362461A2/fr not_active Withdrawn
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6154543A (en) * | 1998-11-25 | 2000-11-28 | Hush Communications Anguilla, Inc. | Public key cryptosystem with roaming user capability |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2002067535A2 (fr) | 2002-08-29 |
| FR2821220B1 (fr) | 2004-10-01 |
| WO2002067535A3 (fr) | 2002-12-12 |
| EP1362461A2 (fr) | 2003-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7680281B2 (en) | Method and apparatus for intercepting events in a communication system | |
| US7653815B2 (en) | System and method for processing encoded messages for exchange with a mobile data communication device | |
| US8499156B2 (en) | Method for implementing encryption and transmission of information and system thereof | |
| US6904521B1 (en) | Non-repudiation of e-mail messages | |
| US6978378B1 (en) | Secure file transfer system | |
| US20130046986A1 (en) | Electronic data communication system | |
| US20170317823A1 (en) | Zero Knowledge Encrypted File Transfer | |
| CN108090370A (zh) | 基于索引的即时通信加密方法和系统 | |
| CN115396177A (zh) | 一种基于WASM实现web端高效通信的加密通信方法 | |
| JP2005107935A (ja) | 電子メール処理装置用プログラム及び電子メール処理装置 | |
| CN112637230B (zh) | 一种即时通信方法及系统 | |
| Kılıç | Encryption methods and comparison of popular chat applications | |
| EP3568964B1 (fr) | Procédé de transmission d'une information numérique chiffrée de bout en bout et système mettant en oeuvre ce procédé | |
| CN103986640A (zh) | 一种可保障用户通讯内容安全的即时通讯方法及其系统 | |
| FR2821220A1 (fr) | Procede de messagerie securisee | |
| WO2001075559A2 (fr) | Gestion securisee, basee sur un agent, de donnees en-tetes de courriels | |
| US11968188B2 (en) | Secure email transmission via treasury portal | |
| CN108900535A (zh) | 邮件加密方法、装置及计算机可读存储介质 | |
| EP1300980A1 (fr) | Procès pour garantir la non-répudiation de la réception d'un message dans le contexte d'une transaction électronique | |
| CN108243198A (zh) | 一种数据分发、转发方法及装置 | |
| Wang et al. | A solution of mobile e-commerce security problems | |
| CN115567226A (zh) | 一种二进制端对端基于会话通信加密方法 | |
| CN115001871A (zh) | 基于区块链技术的文件加密共享的方法和系统 | |
| CN111741022A (zh) | 基于单向数据导入设备下的超大文件回传 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RN | Application for restoration | ||
| FC | Decision of inpi director general to approve request for restoration | ||
| ST | Notification of lapse |
Effective date: 20061031 |