2. Le cryptage de jeton signé :
La signature des données n'est pas suffisante, en cas
ou les données sont volés par un espion, même s'il ne peut
pas les utiliser pour accéder aux services web, parce qu'elles sont
signées, il peut lire facilement le contenu du jeton comme le
pseudonyme, la validation des données et le temps de création du
jeton, cela peut introduire un grande risque sur la vie personnelle
d'autrui.
Pour couvrir cette défaillance de
sécurité, nous avons ajouté une phase de cryptage des
données après la procédure de signature, en utilisant une
clé de session. Le cryptage se fait au niveau du fournisseur
d'identité, le décryptage se fait par le fournisseur de service
avant la vérification de la validité de la signature.
Avant d'expliquer la procédure de cryptage
symétrique à base des clés de session, on mentionne qu'il
y a des moyens plus sécurisées que cette méthode, par
exemple l'utilisation de Blind Signature
[21], qui offre des moyens de
sécurité de haut niveau, le service permet aux utilisateurs de
génère un pseudonyme utilisé pour se connecter au
fournisseur de services sans être chainable avec l'identité
réelle de l'utilisateur. Il existe d'autres techniques telles que les
protocoles zero-knowledg proof [21], qui
supportent la divulgation sélective des propriétés des
utilisateurs.
Nous avons adopté une méthode de cryptographie
symétrique à base des clés de session pour chiffrer les
jetons. Par un algorithme de cryptage et de chiffrement symétrique
moderne comme DES, IDES, AES... qui protège le contenue du jeton en cas
si il est capturé par un espion.
61
Figure III.7 : Opération de chiffrement
de données signées.
Chapitre III Conception et
implémentation
62
La Figure III.7 présente les déférentes
étapes de chiffrement à clé symétrique, le
chiffrement ce fait au niveau de fournisseur d'identité, et le
déchiffrement au niveau de fournisseur de services. Cette étape a
pour but d'augmenter et assurer l'intégrité des données
d'une façon discrète et confidentielle.
III.2.2.2. Le fournisseur des services
Le même principe que le fournisseur d'identité,
sauf que le FS s'adresse à l'étape de déchiffrement des
données, et de vérification de signature.
En premier lieu, le fournisseur de services, met un cookie
temporaire sur le poste utilisateur. Le cookie contient la liste des
fournisseurs d'identité dont le fournisseur de services fait
confiance.
Après que l'utilisateur s'authentifie au FI, le FS
analyse le cookie généré par le FI. Les étapes
d'analyse de cookie sont :
· le déchiffrement des données à
l'aide de la clé de session,
· la vérification de signature
électronique,
· si les deux étapes précédentes
sont bien passées, il passe à l'étape de
vérification de jeton. :
· La procédure de vérification du jeton
prend en compte les éléments suivants :
La validité : si le variable de
validité est NO, le fournisseur de service va afficher
une page d'erreur d'authentification, si cette variable est à OK
il passe à la vérification du temps.
Le temps : est une variable qui contient le
temps de création de jeton par le fournisseur d'
identité. la différence
entre le temps de réception de jeton et le temps de sa création
doit être inférieur à une certaine valeur (30 seconde par
exemple) sinon l'authentification échoue.
| 
