Le W3C publie le Cryptage XML et la Transformation de Décryptage en recommandations

Associées avec les signatures XML, le cryptage XML et la transformation de décryptage permettent de sécuriser les documents XML

Témoignages de soutien

 

http://www.w3.org/ -- 10 décembre 2002 -- Le Consortium World Wide Web (W3C) annonce la publication des recommandations Traitement et Syntaxe de Cryptage XML (XML Encryption Syntax and Processing) et Transformation de Décryptage pour les Signatures XML (Decryption Transform for XML Signature). Ces deux Recommandations W3C ont bénéficié d'une collaboration et d'un accord industriel, basé sur le consensus, pour le développement d'une approche fondée sur XML permettant de sécuriser des données XML d'un document.

Le statut de Recommandation W3C indique que la spécification est stable, et qu'elle contribue à l'interopérabilité du Web. Cette recommandation a été revue et approuvée par les membres du W3C qui préconisent une large adoption.

Qu'est-ce que le cryptage ?

Le cryptage est le processus qui permet de brouiller des informations, celles-ci ne pouvant alors être lues que par les destinataires ayant les outils appropriés pour les décrypter. Un message ou fichier crypté, tout en étant accessible à une large communauté, tels des intermédiaires réseau, reste indéchiffrable pour ces intermédiaires, ainsi qu'aux éventuels renifleurs examinant les transferts d'information sur un réseau. Seuls ceux qui possèdent la clé de décryptage pourront déchiffrer des données cryptées, celles-ci restant brouillées pour les autres.

Qu'est-ce qu'XML Encryption, et à quoi cela sert-il ?

Pour des données sensibles (financières ou personnelles) transitant sur le réseau, les expéditeurs et destinataires exigent des communications sûres. Même s'il existe déjà des technologies permettant de sécuriser l'ensemble de ces données ou la session de communication dans son ensemble, seules les signatures XML du W3C (XML Signature), utilisées en combinaison avec la nouvelle recommandation XML Encryption, permettent aux utilisateurs de signer et de crypter des parties bien définies de données XML.

Par exemple, l'utilisateur d'un protocole de services Web, tel que SOAP, peut vouloir crypter seulement le corps du message XML, en laissant en clair les informations nécessaires à l'acheminement du message à son destinataire. Autre exemple : une application XForms peut demander à ce qu'une autorisation de paiement soit signée de manière numérique, et que la méthode de paiement, par carte de crédit, soit encryptée. Et bien sûr, XML Encryption peut être utilisée pour sécuriser des données objets intégraux comme un fichier image ou un fichier son.

La seconde recommandation publiée est relative au décryptage XML : "Decryption Transform for XML Signature" autorise l'utilisation combinée d'XML Signature et d'XML Encryption. En effet, une des caractéristiques des signatures XML est de s'assurer de l'intégrité d'un document, c'est à dire de détecter s'il a été modifié. Or, de nombreuses applications exigent de pouvoir d'abord signer un document XML, puis d'en crypter certaines parties, entraînant son altération de facto. Ainsi, la transformation de décryptage permet au destinataire de connaître quelles sont les parties de document à décrypter, de manière à lui rendre son état initial avant de pouvoir en vérifier la signature.

XML Encryption est déjà implémentée, et largement soutenue par les acteurs clés de l'industrie et les experts en cryptographie

Le rapport d'implémentation et d'interopérabilité, dressé par le Groupe de Travail XML Encryption du W3C, montre que la spécification est déjà utilisée par de nombreuses applications et autres spécifications, en particulier par celles qui se rapportent aux services Web ayant besoin de sécuriser leurs transactions. De nombreuses sociétés apportent leur soutien à la nouvelle recommandation, et indiquent également leurs stratégies d'implémentation actuelles et futures d'XML Encryption.

La spécification XML Encryption a été développée par le Groupe de Travail XML Encryption du W3C, composé d'experts invités, et de Membres W3C suivants : Baltimore Technologies ; BEA Systems ; DataPower ; IBM ; Microsoft ; Motorola ; Université de Siegen ; Sun Microsystems et VeriSign.

A propos du Consortium World Wide Web (W3C)

Le Consortium World Wide Web (W3C) a été créé pour mener le Web à son plein potentiel en développant des protocoles communs qui facilitent son évolution et assurent son interopérabilité. C'est un consortium industriel international, piloté conjointement par l'Institut National de la Recherche en Informatique et en Automatique (INRIA) en France, l'Université de Keio au Japon, et le MIT Laboratory for Computer Science (MIT LCS) aux Etats-Unis. Les services fournis par le Consortium se composent de : la constitution et la mise à disposition d'informations concernant le World Wide Web à destination des développeurs et des utilisateurs ; la mise en oeuvre de logiciels permettant d'incorporer et de promouvoir les standards ; la mise en place de diverses applications prototypes visant à démontrer l'utilisation des nouvelles technologies. Aujourd'hui, le Consortium compte plus de 450 membres. Pour plus d'informations sur le Consortium World Wide Web, consulter l'adresse suivante : http://www.w3.org/.

 

Contacts Presse :

Amériques et Australie -- Janet Daly, <janet@w3.org>, +1.617.253.5884 ou +1.617.253.2613

Asie -- Saeko Takeuchi <saeko@w3.org>, +81.466.49.1170

Europe -- Marie-Claire Forgue, <mcf@w3.org>, +33.492.38.75.94