Anglais
Français
Espagnol
Português
简体中文
11/28/2025La sécurité de la couche transport (TLS) est utilisée pour protéger la confidentialité et l'intégrité des communications réseau. Face à l'évolution des attaques sur les réseaux, l'IETF (Internet Engineering Task Force) a publié en 2018 la norme TLS 1.3 (RFC 8446), qui apporte des améliorations significatives en matière de sécurité, de performances et d'évolutivité.
TLS 1.3 apporte d'importantes améliorations par rapport à TLS 1.2, dont trois sont essentielles :
- Ne conserve que les algorithmes de chiffrement très puissants (tels que AES-GCM) et élimine les algorithmes obsolètes présentant des risques potentiels.
- Elle impose le secret de transmission, ce qui garantit que les communications historiques restent sécurisées même en cas de fuite de la clé privée.
- Réduit le processus de poignée de main de plusieurs allers-retours à un seul, et atteint même zéro aller-retour (0-RTT) dans certains scénarios, ce qui permet d'établir une connexion plus rapidement.
- Compatible avec les protocoles existants, il prend en charge les champs d'extension personnalisables et s'adapte à divers scénarios, notamment l'IoT et les paiements mobiles.
TLS 1.3 prend en charge l'authentification mutuelle pour garantir la crédibilité des deux parties qui communiquent (en prenant 1-RTT comme exemple, le processus de poignée de main est le suivant) :
Le Smart Token de Watchdata est un dispositif matériel avec un élément sécurisé intégré. Il peut stocker les clés privées des clients et effectuer des opérations de signature. Sa fonction principale est d'isoler les clés privées des clients dans le matériel pour éviter les fuites, servant de garantie critique pour la sécurité de l'identité du client dans l'authentification mutuelle TLS. Ses principales caractéristiques sont les suivantes
- La clé privée ne quitte jamais l'appareil :
Les clés privées sont générées et stockées en interne dans le Smart Token et ne peuvent pas être exportées.
- Exécution matérielle de la signature :
Les opérations de signature sont effectuées à l'intérieur du Smart Token, ce qui garantit que les clés privées ne sont jamais exposées.
- PIN/Biométrique : Support d'authentification :
Requiert une vérification d'identité (par exemple, saisie d'un code PIN ou balayage biométrique) pour être utilisé, afin d'éviter tout accès non autorisé.
Dans le cadre de l'authentification mutuelle TLS 1.3, le Smart Token est généralement utilisé pour la signature de la clé privée :
- Phase de téléchargement du certificat :
Les utilisateurs génèrent des paires de clés client (clés publique et privée) dans le Smart Token via le logiciel intermédiaire de gestion correspondant. La clé publique est soumise à une autorité de certification (AC) pour l'obtention d'un certificat, et le certificat délivré est inscrit dans le Smart Token.
- Phase de poignée de main :
Lorsque le client doit fournir un certificat, il lit le certificat sur le Smart Token. Pendant la phase de vérification du certificat, l'application client (navigateur/logiciel client) envoie le résumé du message de la poignée de main au token via les interfaces PKCS11 ou CSP. Une fois que l'utilisateur a autorisé l'accès en saisissant un code PIN, le token signe le condensé avec la clé privée interne et renvoie le résultat de la signature au client, qui le transmet ensuite au serveur.
Grâce à son haut niveau de sécurité et à sa faible latence, TLS 1.3 est largement utilisé dans les scénarios suivants :
TLS 1.3, avec sa haute sécurité et sa faible latence, est devenu le protocole préféré pour les communications réseau modernes. Combiné à la protection matérielle du Smart Token de Watchdata, le mécanisme d'authentification mutuelle fournit des garanties de sécurité fiables pour les scénarios de haute sécurité tels que la finance et les affaires gouvernementales, servant de composant clé dans la construction d'un environnement de réseau de confiance.
Avec plus de 30 ans d'expérience dans l'authentification de l'identité numérique et la sécurité des données, Watchdata a tiré parti de l'accumulation technique à long terme et de la pratique de l'industrie pour développer des produits Smart Token avec une sécurité et une stabilité excellentes. Ces produits ont soutenu des clients dans de multiples industries, y compris la finance, le gouvernement et les entreprises. Nous sommes impatients de collaborer avec d'autres partenaires pour promouvoir conjointement le développement de l'écosystème de la sécurité numérique et fournir des garanties fiables pour la sécurité de l'identité sur Internet.