9 min de lecture

Cles, chiffrement et authentification - 07 - Glossaire complet

Tous les termes de cryptographie et sécurité expliques : AES, RSA, Ed25519, SSH, GPG, TLS, HMAC, salt, hash, et plus.

sécurité chiffrement glossaire apprentissage
Cles, chiffrement et authentification 8 / 8
  1. 01 Cles, chiffrement et authentification - 00 - Pourquoi chaque dev devrait comprendre la crypto
  2. 02 Cles, chiffrement et authentification - 01 - Chiffrement symetrique vs asymetrique
  3. 03 Cles, chiffrement et authentification - 02 - Les clés SSH de A a Z
  4. 04 Cles, chiffrement et authentification - 03 - GPG : signer, chiffrer, prouver son identité
  5. 05 Cles, chiffrement et authentification - 04 - Signer ses commits Git (GPG et SSH)
  6. 06 Cles, chiffrement et authentification - 05 - TLS, HTTPS et certificats : comment ca marche
  7. 07 Cles, chiffrement et authentification - 06 - Gerer ses clés : rotation, backup et hardware keys
  8. 08 Cles, chiffrement et authentification - 07 - Glossaire complet
← Precedent

07 - Glossaire complet

Ce glossaire rassemble tous les termes utilises dans cette serie sur les clés, le chiffrement et l'authentification. Chaque définition est concise, avec un exemple concret quand c'est possible.

Prerequisites

Aucun. Tu peux utiliser ce glossaire comme référencé independante ou comme complement aux autres articles de la serie.

AES (Advanced Encryption Standard)

Algorithme de chiffrement symetrique adopte par le NIST en 2001. Utilise des clés de 128, 192 ou 256 bits. C'est le standard de facto pour le chiffrement de donnees : HTTPS, VPN, chiffrement de disque. Exemple : openssl enc -aes-256-cbc -in fichier.txt -out fichier.enc -pbkdf2 Voir : Article 01 - Symetrique vs asymetrique

ACME (Automatic Certificate Management Environment)

Protocole défini par le RFC 8555 qui permet d'obtenir et renouveler des certificats TLS automatiquement. Let's Encrypt utilise ACME. Le client le plus connu est Certbot. Voir : Article 05 - TLS et certificats

Asymetrique (chiffrement)

Système de chiffrement a deux clés : une publique (pour chiffrer ou vérifier) et une privee (pour dechiffrer ou signer). RSA et Ed25519 sont des algorithmes asymetriques. Plus lent que le symetrique, utilise principalement pour l'échange de clés et les signatures. Voir : Article 01

Authorized Keys

Fichier ~/.ssh/authorized_keys sur un serveur. Contient la liste des clés publiques autorisees a se connecter. Une clé par ligne. Les permissions doivent etre 600. Voir : Article 02 - Cles SSH

CA (Certificate Authority)

Organisme qui emet et signe des certificats numériques. Ton navigateur fait confiance a environ 150 CAs racines. Let's Encrypt est la plus grande CA gratuite. DigiCert, Sectigo et GlobalSign sont des CAs commerciales. Voir : Article 05

Certificat (numérique)

Document electronique qui lie une clé publique a une identité (nom de domaine, organisation). Signe par une CA. Format standard : X.509. Un certificat TLS contient le nom de domaine, la clé publique, la date d'expiration et la signature de la CA.

ChaCha20

Algorithme de chiffrement symetrique par flux, alternative a AES. Concu par Daniel J. Bernstein. Utilise dans TLS 1.3, WireGuard et SSH. Performant sur les machines sans instructions AES materielles (smartphones, par exemple).

Cle privee

La moitie secrete d'une paire de clés asymetriques. Sert a dechiffrer des messages et a signer. Ne doit jamais etre partagee. Protegee par une passphrase. Exemple : ~/.ssh/id_ed25519 (SSH) ou la clé secrete dans le trousseau GPG.

Cle publique

La moitie partageable d'une paire de clés. Sert a chiffrer des messages (que seul le detenteur de la clé privee pourra lire) et a vérifier des signatures. Exemple : ~/.ssh/id_ed25519.pub (SSH).

Curve25519

Courbe elliptique conçue par Daniel J. Bernstein en 2006. Base de l'algorithme Ed25519 (signature) et X25519 (échange de clés). Cle de 256 bits, sécurité équivalente a RSA-3072.

Diffie-Hellman (échange de clés)

Protocole qui permet a deux parties de générer un secret partage sur un canal non sécurisé. Ni Alice ni Bob n'envoient le secret : ils echangent des valeurs publiques et calculent le meme secret chacun de leur cote. La variante ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) est utilisee dans TLS 1.3.

Ed25519

Algorithme de signature numérique base sur la courbe elliptique Curve25519. Cles de 256 bits, rapide et sur. Mon choix recommande pour les clés SSH et la signature de commits git. Exemple : ssh-keygen -t ed25519 Voir : Article 02

Empreinte (Fingerprint)

Hash court d'une clé publique, utilise pour l'identifier visuellement. Plus facile a vérifier que la clé complète. Exemple : SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 (c'est l'empreinte de la clé SSH de GitHub). Commande : ssh-keygen -lf ~/.ssh/id_ed25519.pub

Forward Secrecy

Propriété d'un protocole ou la compromission d'une clé a long terme ne permet pas de dechiffrer les sessions passees. Obtenue en utilisant des clés éphémères (ECDHE) pour chaque session TLS.

GPG / GnuPG (GNU Privacy Guard)

Implementation libre du standard OpenPGP. Permet de chiffrer, dechiffrer, signer et vérifier des fichiers et des messages. Utilise aussi pour signer des commits git. Voir : Article 03 - GPG

Hash (fonction de hachage)

Fonction qui transforme des donnees de taille quelconque en une empreinte de taille fixe. Irreversible : on ne peut pas retrouver les donnees originales à partir du hash. SHA-256 produit un hash de 256 bits (64 caractères hexadecimaux). Exemple : sha256sum fichier.txt donne e3b0c44298fc1c149afbf4c8996fb924...

HMAC (Hash-based Message Authentication Code)

Code d'authentification de message base sur une fonction de hachage et une clé secrete. Prouve a la fois l'intégrité du message et l'identité de l'expediteur. Utilise dans les APIs (signature de requêtes), les JWT et TLS. Exemple : HMAC-SHA256 combine SHA-256 avec une clé pour produire un MAC de 256 bits.

HTTPS

HTTP sur TLS. Le navigateur etablit une connexion TLS avec le serveur avant d'envoyer les requêtes HTTP. Le cadenas dans la barre d'adresse indique que la connexion est chiffree et que le certificat est valide. Voir : Article 05

Keyserver

Serveur qui stocke et distribue des clés publiques GPG. Le principal en 2026 est keys.openpgp.org, qui vérifié les adresses email. Commande : gpg --keyserver keys.openpgp.org --send-keys ID_CLE

Let's Encrypt

CA (autorite de certification) gratuite et automatisee, lancee en 2016 par l'ISRG. Emet des certificats TLS valides 90 jours via le protocole ACME. Plus d'un milliard de certificats actifs. Voir : Article 05

mTLS (mutual TLS)

TLS ou le client et le serveur presentent chacun un certificat. Utilise dans les architectures microservices (service mesh) et certaines APIs B2B. Voir : Article 05

OCSP (Online Certificate Status Protocol)

Protocole qui permet de vérifier en temps réel si un certificat a ete revoque. L'OCSP stapling est une optimisation ou le serveur fournit directement la réponse OCSP au client, evitant une requête supplementaire.

OpenPGP

Standard ouvert (RFC 4880) pour le chiffrement et la signature. PGP est l'implementation originale (proprietaire), GPG est l'implementation libre.

Paire de clés (Key Pair)

L'ensemble clé publique + clé privee. Generee par un algorithme asymetrique (RSA, Ed25519). Les deux clés sont mathematiquement liees : ce qui est chiffre avec l'une ne peut etre dechiffre qu'avec l'autre.

Passphrase

Mot de passe qui protégé une clé privee. La clé est chiffree avec AES derive de la passphrase. Sans passphrase, quiconque copie le fichier de clé a un acces complet. Voir : Article 06 - Gestion des clés

PEM (Privacy-Enhanced Mail)

Format de fichier texte pour les clés et certificats. Commence par -----BEGIN ...----- et se termine par -----END ...-----. Le contenu est en Base64. C'est le format le plus courant pour les certificats TLS et les clés RSA.

PKCS (Public-Key Cryptography Standards)

Famille de standards définis par RSA Laboratories. PKCS#1 definit le format RSA, PKCS#8 definit le format de clé privee, PKCS#12 (.p12/.pfx) combine clé privee et certificat dans un seul fichier protégé par mot de passe.

RSA

Algorithme asymetrique créé en 1977 par Rivest, Shamir et Adleman. Repose sur la difficulte de factoriser de grands nombres premiers. Cles de 2048 a 4096 bits. Encore tres utilise, mais progressivement remplace par Ed25519 pour les nouvelles installations. Voir : Article 01

Salt

Valeur aleatoire ajoutee a une donnee avant le hachage. Empeche les attaques par tables arc-en-ciel (rainbow tables). Chaque mot de passe stocke doit avoir son propre salt unique. Exemple : bcrypt et argon2 integrent un salt automatiquement.

SHA-256

Fonction de hachage de la famille SHA-2 (Secure Hash Algorithm). Produit un hash de 256 bits. Utilisee dans les certificats TLS, les signatures GPG, les empreintes de clés SSH, et Bitcoin.

Signature numérique

Preuve cryptographique qu'un message ou fichier a ete créé par le detenteur d'une clé privee spécifique. Le signataire utilise sa clé privee pour signer, n'importe qui peut vérifier avec la clé publique. Voir : Article 03, Article 04

SSH (Secure Shell)

Protocole réseau chiffre pour se connecter a un serveur distant. Utilise le chiffrement asymetrique pour l'authentification et le symetrique pour les donnees. Port par défaut : 22. Voir : Article 02

SSH Agent

Programme qui garde les clés SSH dechiffrees en mémoire pour éviter de retaper la passphrase. Demarre avec eval "$(ssh-agent -s)", les clés sont ajoutees avec ssh-add. Voir : Article 02

SSH Config

Fichier ~/.ssh/config qui definit des alias et des paramètres par hote. Permet de spécifier la clé, le port, l'utilisateur et d'autres options pour chaque serveur. Voir : Article 02

Symetrique (chiffrement)

Système de chiffrement qui utilise la meme clé pour chiffrer et dechiffrer. AES et ChaCha20 sont des algorithmes symetriques. Rapide, utilise pour le chiffrement en masse. Voir : Article 01

TLS (Transport Layer Security)

Protocole de chiffrement des communications réseau. Successeur de SSL. TLS 1.3 (RFC 8446, 2018) est la version actuelle. Utilise dans HTTPS, SMTPS, IMAPS et d'autres protocoles. Voir : Article 05

Trust Model (modèle de confiance)

Méthode pour déterminer si une clé publique est authentique. Deux modèles principaux : les CAs (TLS, hiérarchique) et le Web of Trust (GPG, decentralise). Le TOFU (Trust On First Use) est un troisieme modèle, utilise par SSH.

Web of Trust

Modèle de confiance decentralise de PGP/GPG. Les utilisateurs signent les clés des autres pour attester de leur authenticite. En pratique, peu utilise en dehors des communautés du logiciel libre. Voir : Article 03

X.509

Standard qui definit le format des certificats numériques. Un certificat X.509 contient la clé publique, l'identité du sujet, la periode de validite, la signature de la CA emettrice. C'est le format utilise par TLS/HTTPS.

YubiKey

Cle materielle de sécurité fabriquee par Yubico. Stocke des clés privees dans une puce sécurisée. Supporte FIDO2, GPG, PIV, TOTP. La clé privee ne sort jamais du dispositif. Exemple : ssh-keygen -t ed25519-sk généré une clé residente sur la YubiKey. Voir : Article 06

Pour aller plus loin

Cette serie couvre les bases pratiques de la cryptographie pour les développeurs. Si tu veux approfondir, voici quelques ressources :

  • Crypto 101 par Laurens Van Houtven : un livre gratuit et accessible sur la cryptographie
  • Serious Cryptography par Jean-Philippe Aumasson : pour aller un cran plus loin, avec les maths
  • Applied Cryptography par Bruce Schneier : le classique, un peu date mais toujours pertinent sur les concepts

Navigation : Precedent : 06 - Gestion des clés | Retour a l'introduction

Sources

Retrouve d'autres articles techniques sur paltemps.fr.

Publie le · Mis a jour le

Articles liés

Réservez un audit gratuit de 30 minutes. Je vous montre concrètement ce qu'on peut automatiser.

Découvrir Pal'Temps