Diapositive 1

1
Notions sur lInfrastructure à Clé Publique
Présentée par Manel ABDELKADER
2
Problématique

• Bénéficier des avantages offertes par le
  cryptage asymétrique.
• Remédier à lattaque  Man in the middle .
• Assurer une distribution sécurisée des clés
  publiques sur les réseaux.

3
Plan

• Certificat Électronique
• Infrastructure à clé publique (PKI)
• Architectures des PKI
• Cycle de vie dun certificat électronique
• Services dune PKI

4
Certificat Électronique
Certificat Électronique
Enseignant 1
1452655
5
Standards

• Depuis 1995, le WG PKIX de lIETF a publié 26 RFC
  et des Drafts disponibles sur
• http//www.ietf.org/html.charters/pkix-charter.htm
  l
• Demande de certificat Certificate Request
  Message Format RFC 2511
• Profil des certificats et de la Liste de
  Révocation des certificats (CRL) Certificate and
  CRL Profile RFC 2459
• Algorithme d échange des clés
• Representation of Key Exchange Algorithm in X.509
  Public Key Infrastructure Certificates RFC 2528
• Protocoles de Gestion des Certificats RFC 2510
• Certificate Policy and Certification Practices
  Framework RFC 2527

6
Structure dun certificat X.509

• Un certificat contient trois parties de base
• La partie à signer (contenu de base dun
  certificat).
• Lalgorithme de signature.
• La valeur de signature

7
Contenu de base dun certificat
8
Extensions dun certificat X.509

• Besoin les utilisateurs des certificats restent
  encore incapable de déterminer certaines
  informations sur lémetteur, le sujet et la clé
  publique.
• Le type du détenteur du certificat
• La correspondance entre les identités et les
  noms
• Les attributs de clés identifiant, domaine
  dutilisation,
• La politique de certification
• Les informations supplémentaires.

9
Types de certificats

• Deux classes de certificats sont définies
• 1- les certificats utilisateurs
• 2- les certificats des autorités de certification

10
Certificats utilisateurs

• Ces certificats sont émis pour les sujets autres
  que les autorités de certification.
• Ils contiennent des clés publiques qui seront
  utilisés par les utilisateurs de certificats pour
  vérifier une signature numérique ou assurer la
  gestion de clés.
• Ils doivent contenir les informations suffisantes
  pour déterminer si la clé publique est appropriée
  pour lapplication cible ou non.
• Le titulaire du certificat peut être un individu
  ou un système (système ou routeur).

11
Certificats des autorités de certification

• Le contenu dun certificat dune autorité de
  certification doit spécifier
• lautorisation de génération des certificats,
• le nombre des autorités qui peuvent être
  générées par cette autorité,
• lidentifiant de la clé utilisée pour la
  signature.

12
Infrastructure à clé publique (PKI)

• Pour assurer la gestion des certificats et des
  clés, un ensemble de personnel, de composants et
  de procédures dédiés doit être défini
• gt Nécessité dune infrastructure à clé publique.

13
Composantes dune PKI

• Une PKI est lensemble des composantes utilisées
  pour
• la génération,
• la publication,
• larchivage,
• la révocation des certificats.
• Elle inclut aussi les entités utilisées pour
  lenregistrement des utilisateurs et la
  vérification des états des certificats.

14
Composantes dune PKI
Autorité de certification (AC)
Publication de certificats
Relations de confiance
Autorité denregistrement (AE)
Révocation des certificats
Autorité darchivage
Autorité denregistrement
15
Autorité denregistrement (AE)

• Cest lensemble de matériels, logiciels et
  personnels intervenant dans lopération
  denregistrement saisie, vérification et
  validation des informations à inclure dans un
  certificat.
• Une AE est identifiée par son nom et sa clé
  publique.
• Une AE peut coopérer avec une AC selon deux
  modèles
• Une AE collecte et vérifie les informations
  nécessaires pour générer des requêtes quelle
  envoie ultérieurement à lAC.
• Une AC fournit des informations concernant des
  requêtes quelle a reçue à une AE.

16
Autorité de Certification (AC)

• Cest le tiers de confiance dune PKI.
• Une autorité de certification est définie par son
  nom et sa clé publique.
• Une AC est responsable de la génération des
  certificats et des listes de révocation (LCR)
  selon des profils bien déterminés.

17
Génération des certificats

• Une AC affirme la possession par le sujet, dont
  lidentité est associée au certificat, de la clé
  privée correspondant à la clé publique.
• Une AC insère son nom dans les certificats et les
  LCRs quelle génère.
• La clé privée dune AC doit être hautement
  sécurisée.
• Le module cryptographique utilisée pour la
  génération et la sauvegarde de la clé privée de
  lAC doit avoir au minimum les exigences de FIPS
  140 level 2.

18
Révocation de certificats

• Une révocation correspond à la cessation du
  fonctionnement dun certificat avant lexpiration
  de sa durée de validité.
• Plusieurs raisons peuvent causer une révocation
• Changement de la valeur dun champ dans le
  certificat.
• La clé privée du sujet est compromise,
• Suite à une révocation, une AC génère une liste
  (LCR) contenant les numéros de séries des
  certificats révoqués
• Une LCR est signée par lAC pour garantir
  lauthentification et lintégrité de son contenu.

19
Publication

• Les certificats et les LCRs doivent être publiés
  pour tous les utilisateurs dune PKI.
• Plusieurs techniques de publication peuvent être
  utilisées par une PKI FTP, Web, annuaire LDAP.
• Ces techniques doivent être disponibles dune
  manière continue pour permettre le bon
  déroulement des opérations de vérification.

20
Archivage

• Une AC a besoin darchiver les certificats
  quelle émet pour une longue durée pour permettre
  les opérations de vérification des documents
  signés lorsque le certificat associé à la clé
  privée de signature nest plus valide.
• Une AC peut déléguer lopération darchivage à
  une entité externe archiveur.
• Un archiveur doit garantir la sécurité des
  données quil archive contrôle daccès aux
  locaux et mécanismes de sécurité logique
  (signature numérique, cryptage et horodatage)

21
Politique de Certification (CP)

• La politique de certification représente un
  document important dans lactivité de
  certification qui décrit la politique de sécurité
  adoptée pour la génération de certificats et la
  publication de leur état.
• Cette politique de sécurité décrit le
  fonctionnement de lautorité de certification
  ainsi que les responsabilités des utilisateurs
  lors de la demande et lutilisation des
  certificats et des clés.
• Elle ne spécifie pas la manière avec laquelle la
  politique doit être implémentée.
• gt La politique de certification est un document
  stable (pouvant être utilisé pendant une longue
  durée).

22
Pratiques de certification (CPS)

• Le CPS est un document détaillé qui décrit
  comment une autorité de certification implémente
  une politique de certification spécifique.
• Chaque CPS est appliquée à une seule autorité de
  certification.
• Le CPS nest pas un document publique. Il est
  confidentiel.

23
Utilisateurs dune PKI
24
Architectures
25
Listes de confiance
26
PKI Hiérarchique
27
PKI en maille
28
Architecture en pont
29
Cycle de vie dun certificat électronique

• Un certificat électronique passe par
• Une phase dinitialisation,
• Une phase démission,
• Une phase dannulation.

30
Phase dinitialisation
31
Phase dinitialisation
32
Phase démission
33
Phase dannulation
34
Services dune PKI
35
Authentification
36
Intégrité
37
Services avancés
38
Services avancés (2)
39
Services avancés (3)
40
Services avancés (4)
41
Merci