ISO/IEC 9798-3:1993

NORME ISO/CEI
9798-1
I NTERNATIONALE
Première édition
1991 -09-01
Technologies de l’information -
Techniques de sécurité - Mécanismes
d‘authentification d’entité -
Partie I:
Modèle général
Information technology - Security techniques - Entity authentication
mechanisms -
Part I: General model
Numéro de référence
ISO/CEI 9798-1 :I 991 (F)
ISO/CEI 9798-1:1991 (F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes natio-
naux membres de I'ISO ou de la CE1 participent au développement des Normes
internationales par l'intermédiaire des comités techniques créés par l'organisa-
tion concernée afin de s'occuper des différents domaines particuliers de l'acti-
vité technique. Les comités techniques de I'ISO et de la CE1 collaborent dans
des domaines d'intérêt commun. D'autres organisations internationales, gou-
vernementales ou non gouvernementales, en liaison avec I'ISO et la CE1 partici-
pent également aux travaux.
Dans le domaine des technologies de l'information, I'ISO et la CE1 ont créé un
comité technique mixte, I'ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux
pour approbation, avant leur acceptation comme Normes internationales. Les
Normes internationales sont approuvées conformément aux procédures qui
requièrent l'approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISO/CEI 9798-1 a été élaborée par le comité technique
ISO/CEI JTC 1, Technoiogies de l'information.
L'ISO/CEI 9798 comprend les parties suivantes présentées sous le titre général
Technologies de l'information - Techniques de sécurité - Mécanismes d'au-
thentification d'entité :
- Partie 1 : Modèle général
- Partie 2 : Authentification d'entité utilisant les techniques symétriques
- Partie 3 : Authentification d'entité utilisant un algorithme à clé publique
L'annexe A de la présente partie de I'ISO/CEI 9798 est donnée uniquement à
titre d'information.
0 ISOKEI 1991
Droits de reproduction réservés. Aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
ISOKEI Copyright Office Case Postale 56 CH-1 21 1 Genève 20 Suisse
Version française tirée en 1993
Imprimé en Suisse
ii
ISO/CEI 9798-1:1991 (F)
Introduction
Les mécanismes d'authentification d'entité permettent la vérification de I'iden-
tité déclarée par une entité, par une autre entité.
L'authenticité de l'entité ne peut être assurée que pendant la durée de
l'échange d'authentification. Pour garantir l'authenticité de données commu-
niquées par la suite, l'échange d'authentification doit être utilisé conjointe-
ment avec un moyen de communication sûr (par exemple un service
d'intégrité).
Un usurpateur d'identité peut rejouer, à une date ultérieure, un échange d'au-
thentification valide (il s'agit là d'une forme d'imposture). Pour éviter un tel
rejeu, on peut utiliser un paramètre variable dans le temps comme par exem-
ple un dateur, un numéro d'ordre ou une question (challenge).
En règle générale, à des fins d'authentification les entités génèrent et échan-
gent des messages normalisés appelés jetons. II faut procéder à l'échange
d'au moins un jeton pour que l'une des entités soit authentifiée par l'autre
entité et l'échange d'au moins deux jetons pour une authentification récipro-
que. Un jeton supplémentaire peut s'avérer nécessaire dans le cas où une
question (challenge) doit être envoyée pour engager l'échange d'authentifica-
tion. L'authentification unilatérale offre à une entité l'assurance de l'identité de
l'autre entité mais l'inverse n'est pas vrai. L'authentification mutuelle fournit à
chacune des deux entités l'assurance de l'identité de l'autre.
...
III
NORME INTERNATIONALE ISO/CEI 9798-1:1991 (F)
Technologies de l'information - Techniques de sécurité -
Mécanismes d'authentification d'entité -
Partie I :
Modèle général
1 Domaine d'application 3 Définitions
La présente partie de I'ISO/CEI 9798 spécifie les 3.1 La présente partie de i'iSO/CEi 9798 utilise les
mécanismes d'authentification d'entité qui utilisent termes généraux suivants relatifs à la sécurité tels
des techniques de sécurité. Ces mécanismes sont que définis dans la norme IS0 7498-2.
employés pour corroborer qu'une entité est bien celle
3.1.1 justificatifs d'identité.
qu'elle déclare &re. Une entité à authentifier prouve
son identité en montrant qu'elle connaît un secret.
3.1.2 clé.
Les mécanismes sont définis par des échanges d'in-
formation entre entités et, dans les cas olc cela
3.1.3 signature.
s'avère nécessaire, par des échanges avec une tierce
partie de confiance.
3.2 La présente partie de I'ISO/CEI 9798 utilise les
termes généraux suivants relatifs à la sécurité tels
Les détails des mécanismes et le contenu des échan-
que définis dans la norme ISO/CEI 9594-8.
ges d'authentification ne sont pas spécifiés dans la
présente partie de I'ISO/CEI 9798 mais dans les par-
3.2.1 certificat utilisateur (certificat) (définition
ties suivantes de cette norme multi-parties.
ASN.l à inclure).
3.3 Pour les besoins de la présente partie de
2 Références normatives
I'ISO/CEI 9798, les définitions suivantes s'appliquent.
Les normes suivantes contiennent des dispositions
3.3.1 initiateur d'authentification : Entité qui engage
qui, par suite de la référence qui en est faite, consti-
l'échange d'authentification.
tuent des dispositions valables pour la présente par-
tie de I'ISO/CEI 9798. Au moment de la publication,
3.3.2 répondeur d'authentification : Entité qui
les éditions indiquées étaient en vigueur. Toute
répond à l'initiateur de l'échange d'authentification.
norme est sujette à révision et les parties prenantes
des accords fondés sur la présente partie de I'ISO/CEI
3.3.3 identificateur distinctif : Information qui distin-
9798 sont invitées à rechercher la possibilité d'appli-
gue une entité sans ambiguïté dans le processus
quer les éditions les plus récentes des normes indi-
d'authentification.
quées ci-après. Les membres de la CE1 et de I'ISO
possèdent le registre des Normes internationales en
3.3.4 authentification d'entité : Confirmation qu'une
vigueur à un moment donné.
entit4 est bien celle qu'elle déclare &re.
IS0 7498-2:1989, Systèmes de traitement de /'infor-
3.3.5 paramètre variable dans le temps : &ment de
mation - Interconnexion de systèmes ouverts -
donnée utilisé par une entité pour vérifier qu'un mes-
Modèle de ré
...