Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

PKI (Public Key Infrastructure)


Qu'est-ce que c'est ?


PKI (Public Key Infrastructure) est un système de gestion des clefs publiques qui permet de gérer des listes importantes de clefs publiques et d'en assurer la fiabilité, pour des entités généralement dans un réseau. Elle offre un cadre global permettant d'installer des éléments de sécurité tels que la confidentialité, l'authentification, l'intégrité et la non-répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur.

Une infrastructure PKI fournit donc quatre services principaux:

Techniquement


Une infrastructure à clé publique utilise des mécanismes de signature et certifie des clés publiques qui permettent de chiffrer et de signer des messages ainsi que des flux de données, afin d'assurer la confidentialité, l'authentification, l'intégrité et la non-répudiation.


Exemples d'algorithme de chiffrement:


Organisation d'une PKI



Organisation d'une PKI

Organisation d'une PKI


Dans une infrastructure à clé publique ; pour obtenir un certificat numérique, l'utilisateur fait une demande auprès de l'autorité d'enregistrement. Celle-ci génère un couple de clé (clé publique, clé privée), envoie la clé privée au client, applique une procédure et des critères définis par l'autorité de certification qui certifie la clé publique et appose sa signature sur le certificat, parfois fabriqué par un opérateur de certification.

La Structure d'un Certificat numérique selon la norme X509


Exemple d'un Certificat X509 généré par OPENSSL


Gestion des clefs


L'utilisation de bi-clefs certifiés entraîne la nécessité de la publication en toute confiance de la clef publique. Cette publication doit assurer la validité de clé et l'appartenance de cette clé à la bonne personne. La publication des certificats (des clefs publiques) est faite en utilisant les structures d'annuaires de type LDAP (Lightweight Directory Access Protocol) (RFC 2251), les certificats révoqués sont regroupés dans des listes de révocations (CRL) qui sont des structures de données signées et dont le format est défini par le protocole X509 V2, ce format peut permettre une distribution des CRL via les annuaires LDAP comme Netscape Directory Server d'iplanet ou bien openldap.

Quelques offres commerciales d'infrastructure à clé publique


Editeur
Offre
TBS Certificats TBS
Entrust Datacard Entrust/PKI
DocuSign PKI/offre initiale

PKI gratuite (OpenPKI)


Editeur
Offre
www.openssl.org openssl

L'utilisation du PKI


Prenons un exemple de l'authentification mutuelle : la partie cliente d'une application présente un certificat à la partie serveur, qui en vérifie la validité auprès de l'annuaire des certificats révoqués, à l'inverse, le serveur peut lui-même envoyer un certificat au client, ce qui permet une authentification mutuelle, par exemple un web sécurisé.
Une telle procédure est intéressante pour un VPN (Virtual private Network), dans le cas des équipements réseaux cette intégration est normalisée par le protocole IPSEC IKE (Internet Key Exchange). Pour les intranets, les éditeurs de PKI s'appuient sur les protocoles SSL (Secure Socket Layers) que les navigateurs et les serveurs web supportent nativement.

Conclusion


Une PKI est une infrastructure qui se construit, c'est donc une structure à la fois technique et administrative, avec 80% d'organisationnelle et 20% de technique. Le domaine des PKI est intéressant : il est possible de les utiliser pour des applications tels que mail chiffré, web sécurisé VPN (notamment IPSEC), commerce électronique...
Et comme les PKI intègrent la cryptographie à clef publique et certificat numérique, elles peuvent se confier à des tiers de confiance et doivent recevoir l'agrément de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), pour avoir une portée nationale.
Actuellement l'absence de standards pour l'implantation des PKI, engendre des problèmes d'interopérabilité entre les offres du marché.

Lexique


Autorité de certification : entité qui crée des certificats. C'est une autorité morale qui définit les règles d'entrée des ressources et des individus dans la PKI. En pratique, il s'agit de définir les critères et les modalités d'attribution de certificats numériques.

Autorité d'enregistrement : entité chargée de recueillir les demandes de certificats et de contrôler l'identité de la personne ainsi que les critères d'attribution.

Certificat : Une identité électronique qui est émise par une tierce partie de confiance pour une personne ou une entité réseau. Chaque certificat est signé avec la clé privée de signature d'une autorité de certification. Il garantit l'identité d'un individu, d'une entreprise ou d'une organisation. En particulier, il contient la clé publique de l'entité et des informations associées à cette entité.

Certificat Auto signé : un certificat auto signé contient comme tout certificat une clé publique. Sa particularité réside dans le fait que ce certificat est signé avec la clé secrète associée. Dans ce cas précis, l'autorité de certification est donc le détenteur du certificat.

Certificat X.509 : Il s'agit d'une norme sur les certificats largement acceptée et conçue pour supporter une gestion sécurisée et la distribution des certificats numériquement signés sur le réseau Internet sécurisé. Le certificat X.509 définit des structures de données en accord avec les procédures pour distribuer les clés publiques qui sont signées numériquement par des parties tierces.

Certificat X.509v3 : Les certificats X.509v3 ont des extensions de structures de données pour stocker et récupérer des informations pour les applications, des informations sur les points de distribution des certificats, des CRLs et des informations sur les politiques de certification. Chaque fois qu'un certificat est utilisé, les capacités de X.509v3 permettent aux applications de vérifier la validité de ce certificat. Il permet aussi à l'application de vérifier si le certificat est dans une CRL. Ces certificats et CRLs sont normalisés auprès de l'IETF dans la RFC 2459.

Clé : Une quantité utilisée en cryptographie pour chiffrer/déchiffrer et signer/vérifier des données.

CRL : (Certificat Revocation List) se sont les listes de révocations de certificats.

Clé Publique : quantité numérique, attachée à une ressource ou un individu, qui la distribue aux autres afin qu'ils puissent lui envoyer des données chiffrées ou déchiffrer sa signature.

Clé Privée : quantité numérique secrète attachée à une ressource ou à un individu, lui permettant de déchiffrer des données chiffrées avec la clé publique correspondante ou d'apposer une signature au bas de messages envoyés vers des destinataires.

Bi-clé : couple de clés composé d'une clé privée et d'une clé publique

MD5 : Message Digest 5 c'est un algorithme de hachage

RSA : Algorithme de chiffrement à clef publique et de signature inventé par R.Rivest, A.Shamir et l.Adleman

DSA :Digital Signature Algorithm.

AES :Advanced Encryption Standard.

SHA-1 : Secure Hash Algorithm Number 1.SHA est un algorithme de hachage

SSL : (Secure Socket Layer), c'est un protocole de sécurisation conçu par Netscape qui se situe entre la couche transport (TCP) et les protocoles de la couche application. Il assure les services de sécurité suivantes : confidentialité, 'intégrité et 'authentification du serveur et du client.

Mustapha Benjada

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

© 2004-2018 - Tous droits réservés - SecuriteInfo.com