SSL et Paiement en ligne (fonctionnement)

[invite78f958b1]

Bonjour à tous et à toutes !

J'espère ne pas me tromper de section (elle semblait la mieux convenir pour mon problème).

Voilà, je fais des recherches sur le principe de paiement par internet, le fonctionnement d'un point de vue cryptologique.

Bien sûr, j'ai fais des recherches dans des livres et sur internet. J'ai pris la décision d'étudier du protocole SSL pour le commerce électronique.

J'ai beaucoup de mal, en faite, à trouver des sites qui en parle du mécanisme. Si, il l'explique mais seulement en cas d'un simple échange d'information.
Mais je veux parler par rapport aux achats sur internet (et donc comment le SSL protège le code de notre carte bancaire, la vérication du site auprès de la société crédit...)

1)Connaîtriez vous des sites qui expliquent le processus de manière assez détaillé? (hormis Bibmaths)

Mon livre présente le SSL, un peu comme ce site:
http://www.maje.biz/doc-technique/te...47162-104.html

Il y a certains points que je ne comprends pas sur le fonctionnement
Le client génère une clé aléatoire "clé maître préliminaire" qui est envoyé au serveur, chiffré avec la clé publique du serveur. Jusque là, c'est compris je pense.

2)Mais après il est qu'en réalité, on utilise 6 clés secrètes. D'où viennent elles ? de la clé maitre ? Comment ?

3)Il est ajouté qu'il y a des clés de client vers serveur et de serveur vers client. Pourquoi ? Quel est l'intérêt Ce sont des clés secrètes (donc cryptographie symétrie, une clé chiffre/déchiffre). Donc il ne devrait pas avoir d'importance de sens, non ?

4)A quoi sert la clé pour initialiser le chiffrement ? Pourquoi avoir besoin d'initialiser, d'habitude, le chiffrement se fait directment par la clé.

5)Pourquoi compresser dans ce cas ?

6)HMAC d'après wikipedia est une combinaison d'une clé secrète et d'une fonction de hachage. Est ce que la clé secrète est haché ?
Citation : undefined
4.hachage du message et de la clé secrète HMAC pour créer un code HMAC
5.chiffrement des données compressées et du code HMAC à l'aide de la clé de chiffrement

Donc, d'après 4. si je comprends code HMAC est hachage du message compressé et hachage de clé secrète.
Et d'après 5.,chiffrement est appliqué au donnée compressé et au code HMAC. Donc ça veut dire, qu'il ont réussi à dupliqué les données compressées du code de HMAC. C'est possible ?

Que se passe t-il à la réception ? HMAC a le même rôle qu'une fonction de hachage donc il faut calculer la hash de quelque chose mais quoi ? Car logiquement à la réception, on a déchiffré,il reste donc le hash des données compressés et le hash du HMAC.
Que se passe t-il

Pourquoi utiliser un HMAC et pas une simple fonction de hachage traditionnelle ?

Merci pour vos réponses !
-----

[invitee840409b]

Bonjour,

J'espère ne pas me tromper de section (elle semblait la mieux convenir pour mon problème).

C'est la bonne.

Voilà, je fais des recherches sur le principe de paiement par internet, le fonctionnement d'un point de vue cryptologique.

Bien sûr, j'ai fais des recherches dans des livres et sur internet. J'ai pris la décision d'étudier du protocole SSL pour le commerce électronique.

Le protocole SSL est le même partout, mais, pour le grand public, il ne sert que pour les sites Web invoquant l'argent.

J'ai beaucoup de mal, en faite, à trouver des sites qui en parle du mécanisme. Si, il l'explique mais seulement en cas d'un simple échange d'information.

L'article de Wikipedia sur SSL et TLS a l'air assez complet.

Mais je veux parler par rapport aux achats sur internet (et donc comment le SSL protège le code de notre carte bancaire, la vérication du site auprès de la société crédit...)

Ce n'est pas seulement le code de la carte bancaire qu'il protège. C'est toutes les communications entre le site Web et toi.

3)Il est ajouté qu'il y a des clés de client vers serveur et de serveur vers client. Pourquoi ? Quel est l'intérêt Ce sont des clés secrètes (donc cryptographie symétrie, une clé chiffre/déchiffre). Donc il ne devrait pas avoir d'importance de sens, non ?

Imaginons qu'on a une clef A, utilisée par le serveur et le client pour chiffrer, et une clef B utilisée pour déchiffrer.
Si je chiffre avec la clef A, et que la clef B est publique, n'importe qui pourra déchiffrer.

Il faut donc : une clef publique (car donnée par le serveur) pour que le client puisse chiffrer et la clef privée au serveur pour déchiffrer. Et pour communiquer dans l'autre sens, il faut une clef que le serveur utilise pour chiffrer (donnée par le client), et une clef privée que le client utilise pour déchiffrer.

4)A quoi sert la clé pour initialiser le chiffrement ? Pourquoi avoir besoin d'initialiser, d'habitude, le chiffrement se fait directment par la clé.

Comme je l'ai dit ci-dessus, il faut faire passer des clefs, et l'idéal, c'est quand même d'éviter que n'importe qui les lise

5)Pourquoi compresser dans ce cas ?

Ça n'a rien à voir. C'est juste qu'en général, les gros sites Web sont assez lent à télécharger ; comme en plus le chiffrage alourdit la taille des fichiers, il est pratique de compresser.

Pour le reste, je n'ai pas de réponse.

ProgVal