Diapositive 1 - PowerPoint PPT Presentation

1 / 41
About This Presentation
Title:

Diapositive 1

Description:

Assurer une distribution s curis e des cl s publiques sur les r seaux. ... Une AC affirme la possession par le sujet, dont l'identit est associ e au ... – PowerPoint PPT presentation

Number of Views:87
Avg rating:3.0/5.0
Slides: 42
Provided by: Man1168
Category:

less

Transcript and Presenter's Notes

Title: Diapositive 1


1
Notions sur lInfrastructure à Clé Publique
Présentée par Manel ABDELKADER
2
Problématique
  • Bénéficier des avantages offertes par le
    cryptage asymétrique.
  • Remédier à lattaque  Man in the middle .
  • Assurer une distribution sécurisée des clés
    publiques sur les réseaux.

3
Plan
  • Certificat Électronique
  • Infrastructure à clé publique (PKI)
  • Architectures des PKI
  • Cycle de vie dun certificat électronique
  • Services dune PKI

4
Certificat Électronique
Certificat Électronique
Enseignant 1
1452655
5
Standards
  • Depuis 1995, le WG PKIX de lIETF a publié 26 RFC
    et des Drafts disponibles sur
  • http//www.ietf.org/html.charters/pkix-charter.htm
    l
  • Demande de certificat Certificate Request
    Message Format RFC 2511
  • Profil des certificats et de la Liste de
    Révocation des certificats (CRL) Certificate and
    CRL Profile RFC 2459
  • Algorithme d échange des clés
  • Representation of Key Exchange Algorithm in X.509
    Public Key Infrastructure Certificates RFC 2528
  • Protocoles de Gestion des Certificats RFC 2510
  • Certificate Policy and Certification Practices
    Framework RFC 2527

6
Structure dun certificat X.509
  • Un certificat contient trois parties de base
  • La partie à signer (contenu de base dun
    certificat).
  • Lalgorithme de signature.
  • La valeur de signature

7
Contenu de base dun certificat
8
Extensions dun certificat X.509
  • Besoin les utilisateurs des certificats restent
    encore incapable de déterminer certaines
    informations sur lémetteur, le sujet et la clé
    publique.
  • Le type du détenteur du certificat
  • La correspondance entre les identités et les
    noms
  • Les attributs de clés identifiant, domaine
    dutilisation,
  • La politique de certification
  • Les informations supplémentaires.

9
Types de certificats
  • Deux classes de certificats sont définies
  • 1- les certificats utilisateurs
  • 2- les certificats des autorités de certification

10
Certificats utilisateurs
  • Ces certificats sont émis pour les sujets autres
    que les autorités de certification.
  • Ils contiennent des clés publiques qui seront
    utilisés par les utilisateurs de certificats pour
    vérifier une signature numérique ou assurer la
    gestion de clés.
  • Ils doivent contenir les informations suffisantes
    pour déterminer si la clé publique est appropriée
    pour lapplication cible ou non.
  • Le titulaire du certificat peut être un individu
    ou un système (système ou routeur).

11
Certificats des autorités de certification
  • Le contenu dun certificat dune autorité de
    certification doit spécifier
  • lautorisation de génération des certificats,
  • le nombre des autorités qui peuvent être
    générées par cette autorité,
  • lidentifiant de la clé utilisée pour la
    signature.

12
Infrastructure à clé publique (PKI)
  • Pour assurer la gestion des certificats et des
    clés, un ensemble de personnel, de composants et
    de procédures dédiés doit être défini
  • gt Nécessité dune infrastructure à clé publique.

13
Composantes dune PKI
  • Une PKI est lensemble des composantes utilisées
    pour
  • la génération,
  • la publication,
  • larchivage,
  • la révocation des certificats.
  • Elle inclut aussi les entités utilisées pour
    lenregistrement des utilisateurs et la
    vérification des états des certificats.

14
Composantes dune PKI
Autorité de certification (AC)
Publication de certificats
Relations de confiance
Autorité denregistrement (AE)
Révocation des certificats
Autorité darchivage
Autorité denregistrement
15
Autorité denregistrement (AE)
  • Cest lensemble de matériels, logiciels et
    personnels intervenant dans lopération
    denregistrement saisie, vérification et
    validation des informations à inclure dans un
    certificat.
  • Une AE est identifiée par son nom et sa clé
    publique.
  • Une AE peut coopérer avec une AC selon deux
    modèles
  • Une AE collecte et vérifie les informations
    nécessaires pour générer des requêtes quelle
    envoie ultérieurement à lAC.
  • Une AC fournit des informations concernant des
    requêtes quelle a reçue à une AE.

16
Autorité de Certification (AC)
  • Cest le tiers de confiance dune PKI.
  • Une autorité de certification est définie par son
    nom et sa clé publique.
  • Une AC est responsable de la génération des
    certificats et des listes de révocation (LCR)
    selon des profils bien déterminés.

17
Génération des certificats
  • Une AC affirme la possession par le sujet, dont
    lidentité est associée au certificat, de la clé
    privée correspondant à la clé publique.
  • Une AC insère son nom dans les certificats et les
    LCRs quelle génère.
  • La clé privée dune AC doit être hautement
    sécurisée.
  • Le module cryptographique utilisée pour la
    génération et la sauvegarde de la clé privée de
    lAC doit avoir au minimum les exigences de FIPS
    140 level 2.

18
Révocation de certificats
  • Une révocation correspond à la cessation du
    fonctionnement dun certificat avant lexpiration
    de sa durée de validité.
  • Plusieurs raisons peuvent causer une révocation
  • Changement de la valeur dun champ dans le
    certificat.
  • La clé privée du sujet est compromise,
  • Suite à une révocation, une AC génère une liste
    (LCR) contenant les numéros de séries des
    certificats révoqués
  • Une LCR est signée par lAC pour garantir
    lauthentification et lintégrité de son contenu.

19
Publication
  • Les certificats et les LCRs doivent être publiés
    pour tous les utilisateurs dune PKI.
  • Plusieurs techniques de publication peuvent être
    utilisées par une PKI FTP, Web, annuaire LDAP.
  • Ces techniques doivent être disponibles dune
    manière continue pour permettre le bon
    déroulement des opérations de vérification.

20
Archivage
  • Une AC a besoin darchiver les certificats
    quelle émet pour une longue durée pour permettre
    les opérations de vérification des documents
    signés lorsque le certificat associé à la clé
    privée de signature nest plus valide.
  • Une AC peut déléguer lopération darchivage à
    une entité externe archiveur.
  • Un archiveur doit garantir la sécurité des
    données quil archive contrôle daccès aux
    locaux et mécanismes de sécurité logique
    (signature numérique, cryptage et horodatage)

21
Politique de Certification (CP)
  • La politique de certification représente un
    document important dans lactivité de
    certification qui décrit la politique de sécurité
    adoptée pour la génération de certificats et la
    publication de leur état.
  • Cette politique de sécurité décrit le
    fonctionnement de lautorité de certification
    ainsi que les responsabilités des utilisateurs
    lors de la demande et lutilisation des
    certificats et des clés.
  • Elle ne spécifie pas la manière avec laquelle la
    politique doit être implémentée.
  • gt La politique de certification est un document
    stable (pouvant être utilisé pendant une longue
    durée).

22
Pratiques de certification (CPS)
  • Le CPS est un document détaillé qui décrit
    comment une autorité de certification implémente
    une politique de certification spécifique.
  • Chaque CPS est appliquée à une seule autorité de
    certification.
  • Le CPS nest pas un document publique. Il est
    confidentiel.

23
Utilisateurs dune PKI
24
Architectures
25
Listes de confiance
26
PKI Hiérarchique
27
PKI en maille
28
Architecture en pont
29
Cycle de vie dun certificat électronique
  • Un certificat électronique passe par
  • Une phase dinitialisation,
  • Une phase démission,
  • Une phase dannulation.

30
Phase dinitialisation
31
Phase dinitialisation
32
Phase démission
33
Phase dannulation
34
Services dune PKI
35
Authentification
36
Intégrité
37
Services avancés
38
Services avancés (2)
39
Services avancés (3)
40
Services avancés (4)
41
Merci
Write a Comment
User Comments (0)
About PowerShow.com