Projet de recherche NO/B/007 (Action de recherche NO)
Contexte
Les services de Time-stamping sont un composant important pour la protection des services de télécommunication modernes, par exemple pour la conclusion de contrats électroniques, EDI (Electronic Data Interchange), la protection de IPR (Intellectual Property Rights), les services multimédia interactifs, etc. Les instances pour la standardisation travaillent actuellement à des solutions à cette problématique.
Le projet
Le but de ce projet était le développement d'un système complet pour le time-stamping digital, ainsi qu'une méthodologie pour évaluer les primitifs de protection. Un autre objectif était de contribuer au développement de nouvelles solutions concernant la standardisation des services de time-stamping digital.
Le time-stamping digital est une technique cryptographique qui permet de relier l'information de temps aux documents électroniques. Ainsi, on peut par exemple déterminer quand un document donné a été créé et contrôler qu'il n'a plus été modifié entre temps.
En pratique, une telle technique est basée sur le concept d'un troisième parti de confiance (trusted third party ou TTP) qui exploite le service de manière impartiale. Par ailleurs, on utilise également les primitifs de protection, comme les signatures digitales et les fonctions de hashage cryptographiques, pour garantir que le time-stamp ne peut être falsifié. La recherche actuelle cherche principalement des techniques sûres et efficientes qui exigent une confiance minimale dans le TTP. Cela se fait, entre autres, en couplant des time-stamps élaborés successifs , grâce à quoi on reçoit une séquence chronologique infalsifiable de time-stamps
Des problèmes liés, qui ont également été étudiés dans le projet, sont le problème d'un temps digital sûr, la notarisation électronique de documents et la relation de ces problèmes avec le concept plus général des TTP’s, qui forment un composant essentiel dans beaucoup de systèmes de protection. Le TTP peut fonctionner comme un centre de certification, qui promulgue entre autres des certificats de time-stamp pour les clients qui envoient une demande pour un document électronique en leur possession. Le fonctionnement d'un tel centre de certification a été démontré par le développement et l'implémentation de deux services concrets de time-stamping.
En grandes lignes, le travail s'est déroulé selon les phases suivantes:
- Elaboration d'un modèle informel, après identification des solutions techniques existantes pour le problème de time-stamping digital.
- Développement d'une méthodologie pour l'évaluation des primitifs de protection qui sont nécessaires pour la technologie du time-stamping digital (mais qui sont également utilisés dans beaucoup d'autres systèmes de protection de l'information).
- Projet d'un système complet pour le time-stamping digital. La sélection des primitifs de protection s'est déroulée dans ce cas-ci selon la méthodologie développée dans la phase précédente.
- Evaluation du projet (analyse de la sécurité du centre de certification). Ceci comportait aussi une évaluation de la faisabilité de l'implémentation.
- Evaluation de la méthodologie, par l'évaluation de sa performance pour différents primitifs de protection.
- Développement d'un montage de démonstration. Le protocole pour le time-stamping digital a été implémenté sur un ordinateur. Ceci était aussi un outil d'aide pour l'évaluation de la performance du service de time-stamping digital.
Ensuite, le projet comportait une collaboration avec les instances pour la standardisation, plus précisément ISO/IEC, en particulier la commission JTC1/SC27 (Security Techniques), qui travaille au document WD 18014 (Time stamping services), et IETF, en particulier le groupe de travail PKIX (Public Key Infrastructure X.509). Cela comportait la participation aux réunions de ces groupes et l'apport de commentaires sur le travail de standardisation. Les partenaires représentent également la Belgique au groupe ISO/IEC JTC1/SC27.
Les partenaires
Les partenaires concernés dans ce projet étaient d'une part, le groupe de recherche COSIC de la K.U.Leuven et d'autre part, le Crypto Team de l' U.C.L. Ils ont tous les deux livré des contributions sur base de leur expertise spécifique, ainsi le COSIC s'est concentré sur le développement d'une méthodologie sur les fonctions de hashage cryptographiques, et le Crypto Team sur les signatures digitales. Les deux groupes ont également chacun développé un service séparé pour le time-stamping digital. Le travail du projet comportait également une interaction entre les deux groupes, ainsi les parties développées par l'une des équipes ont été présentées à l'autre équipe (pour évaluation), comme cela se passe souvent dans le domaine de la protection.
Produits et résultats attendus
Un premier résultat du projet est les deux montages de démonstrations pour le time-stamping digital qui ont été développés par les partenaires, et l'expertise qui a été obtenue dans ce domaine. Ceci a permis également aux partenaires de participer activement aux procédures des services de time-stamping qui sont actuellement en route au sein de l'ISO/IEC et l' IETF. Ce travail de standardisation va se prolonger et à l'avenir optimaliser les systèmes existants et mieux les adapter aux besoins industriels. L'expertise acquise dans l'évaluation des primitifs de protection est également utile. La méthodologie développée dans ce projet sera utilisée pour améliorer les évaluations à l'avenir, et va jouer ainsi un rôle dans la standardisation ou la normalisation des systèmes futurs pour la protection de l'information.
TIMESEC - Digitale Time-Stamping and the evaluation of Security primitives : final report
Brussels : Belgian Scientific Policy, 2003 (SP1169)
[Pour télécharger]
