Principes généraux pour les utilisateurs internes

En mode Gestion des clés intégrée, lorsqu'un utilisateur crée un compte, SDS Encryption Portal lui génère les clés suivantes :

  • Sa clé master (clé violette sur le schéma),
  • Sa clé privée (clé rouge sur le schéma),
  • Sa clé publique (clé bleue sur le schéma),
  • La clé de son mot de passe, à partir d'un hash du mot de passe (clé grise sur le schéma).

 

Schéma de la gestion des clés

Un utilisateur SDS Encryption Portal (Alice sur le schéma) possède une clé publique stockée dans le service Cloud SDS et ainsi accessible par tous les utilisateurs du compte d'entreprise. La clé publique permet à ceux-ci de protéger des documents pour Alice. C'est la seule clé stockée en clair car elle ne contient aucune information sensible et n'est donc pas confidentielle.

Pour pouvoir lire des documents protégés pour elle, Alice a besoin de sa clé privée. Celle-ci est chiffrée par une clé asymétrique intermédiaire, elle-même chiffrée par la clé master. De son côté la clé master est chiffrée de deux manières différentes :

  • Par la clé du mot de passe d'Alice, connue d'elle seule (cadenas gris sur le schéma),
  • Par la clé publique de recouvrement (cadenas vert sur le schéma). La clé privée de recouvrement est stockée dans le compte de l'utilisateur de recouvrement et est protégée par la clé master de ce compte, elle-même protégée par un mot de passe.

Par conséquent, Stormshield ne peut en aucun cas lire vos informations et aucune donnée sensible n'est stockée dans le service Cloud SDS.

La clé du mot de passe est produite à partir du mot de passe de l'utilisateur et ne quitte jamais l'appareil de l'utilisateur. Elle sert à chiffrer la clé master du compte de l'utilisateur. Cette clé master sera ensuite envoyée vers la base de données du service Cloud SDS : le mot de passe lui-même n'est jamais stocké. Ce double niveau de protection permet de limiter au maximum les possibilités d'attaquants potentiels.

La clé du mot de passe de l'utilisateur est le point de départ pour déchiffrer un document : elle permet de retrouver la clé master qui elle-même permet de retrouver les clés privées indispensables au déchiffrement de données.

SDS Encryption Portal n'utilise jamais le mot de passe lui-même mais seulement des dérivés : la clé du mot de passe et ou cette même clé chiffrée par la clé master.

Le mot de passe permet de :

  • Retrouver la clé master pour accéder aux données sensibles du compte utilisateur,

  • Authentifier l'utilisateur sur SDS Encryption Portal.

Le magasin de clés de l'utilisateur, qui sera utilisé lors du déchiffrement de documents, contient ses données confidentielles. Il est composé des clés suivantes :

  • La clé master chiffrée par la clé du mot de passe,

  • La clé master chiffrée par la clé publique de recouvrement,

  • La clé privée chiffrée par une clé asymétrique intermédiaire, elle-même chiffrée par la clé master.