Title: Diapositive 1
1Notions sur lInfrastructure à Clé Publique
Présentée par Manel ABDELKADER
2Problématique
- Bénéficier des avantages offertes par le
cryptage asymétrique. - Remédier à lattaque Man in the middle .
- Assurer une distribution sécurisée des clés
publiques sur les réseaux.
3Plan
- Certificat Électronique
- Infrastructure à clé publique (PKI)
- Architectures des PKI
- Cycle de vie dun certificat électronique
- Services dune PKI
4Certificat Électronique
Certificat Électronique
Enseignant 1
1452655
5Standards
- Depuis 1995, le WG PKIX de lIETF a publié 26 RFC
et des Drafts disponibles sur - http//www.ietf.org/html.charters/pkix-charter.htm
l - Demande de certificat Certificate Request
Message Format RFC 2511 - Profil des certificats et de la Liste de
Révocation des certificats (CRL) Certificate and
CRL Profile RFC 2459 - Algorithme d échange des clés
- Representation of Key Exchange Algorithm in X.509
Public Key Infrastructure Certificates RFC 2528 - Protocoles de Gestion des Certificats RFC 2510
-
- Certificate Policy and Certification Practices
Framework RFC 2527
6Structure dun certificat X.509
- Un certificat contient trois parties de base
- La partie à signer (contenu de base dun
certificat). - Lalgorithme de signature.
- La valeur de signature
7Contenu de base dun certificat
8Extensions dun certificat X.509
- Besoin les utilisateurs des certificats restent
encore incapable de déterminer certaines
informations sur lémetteur, le sujet et la clé
publique. -
- Le type du détenteur du certificat
- La correspondance entre les identités et les
noms - Les attributs de clés identifiant, domaine
dutilisation, - La politique de certification
- Les informations supplémentaires.
9Types de certificats
- Deux classes de certificats sont définies
- 1- les certificats utilisateurs
- 2- les certificats des autorités de certification
10Certificats utilisateurs
- Ces certificats sont émis pour les sujets autres
que les autorités de certification. -
- Ils contiennent des clés publiques qui seront
utilisés par les utilisateurs de certificats pour
vérifier une signature numérique ou assurer la
gestion de clés. - Ils doivent contenir les informations suffisantes
pour déterminer si la clé publique est appropriée
pour lapplication cible ou non. - Le titulaire du certificat peut être un individu
ou un système (système ou routeur).
11Certificats des autorités de certification
- Le contenu dun certificat dune autorité de
certification doit spécifier - lautorisation de génération des certificats,
- le nombre des autorités qui peuvent être
générées par cette autorité, - lidentifiant de la clé utilisée pour la
signature.
12Infrastructure à clé publique (PKI)
- Pour assurer la gestion des certificats et des
clés, un ensemble de personnel, de composants et
de procédures dédiés doit être défini - gt Nécessité dune infrastructure à clé publique.
13Composantes dune PKI
- Une PKI est lensemble des composantes utilisées
pour - la génération,
- la publication,
- larchivage,
- la révocation des certificats.
- Elle inclut aussi les entités utilisées pour
lenregistrement des utilisateurs et la
vérification des états des certificats.
14Composantes dune PKI
Autorité de certification (AC)
Publication de certificats
Relations de confiance
Autorité denregistrement (AE)
Révocation des certificats
Autorité darchivage
Autorité denregistrement
15Autorité denregistrement (AE)
- Cest lensemble de matériels, logiciels et
personnels intervenant dans lopération
denregistrement saisie, vérification et
validation des informations à inclure dans un
certificat. - Une AE est identifiée par son nom et sa clé
publique. - Une AE peut coopérer avec une AC selon deux
modèles - Une AE collecte et vérifie les informations
nécessaires pour générer des requêtes quelle
envoie ultérieurement à lAC. - Une AC fournit des informations concernant des
requêtes quelle a reçue à une AE.
16Autorité de Certification (AC)
- Cest le tiers de confiance dune PKI.
- Une autorité de certification est définie par son
nom et sa clé publique. - Une AC est responsable de la génération des
certificats et des listes de révocation (LCR)
selon des profils bien déterminés.
17Génération des certificats
- Une AC affirme la possession par le sujet, dont
lidentité est associée au certificat, de la clé
privée correspondant à la clé publique. - Une AC insère son nom dans les certificats et les
LCRs quelle génère. - La clé privée dune AC doit être hautement
sécurisée. - Le module cryptographique utilisée pour la
génération et la sauvegarde de la clé privée de
lAC doit avoir au minimum les exigences de FIPS
140 level 2.
18Révocation de certificats
- Une révocation correspond à la cessation du
fonctionnement dun certificat avant lexpiration
de sa durée de validité. - Plusieurs raisons peuvent causer une révocation
- Changement de la valeur dun champ dans le
certificat. - La clé privée du sujet est compromise,
- Suite à une révocation, une AC génère une liste
(LCR) contenant les numéros de séries des
certificats révoqués - Une LCR est signée par lAC pour garantir
lauthentification et lintégrité de son contenu.
19Publication
- Les certificats et les LCRs doivent être publiés
pour tous les utilisateurs dune PKI. -
- Plusieurs techniques de publication peuvent être
utilisées par une PKI FTP, Web, annuaire LDAP. - Ces techniques doivent être disponibles dune
manière continue pour permettre le bon
déroulement des opérations de vérification.
20Archivage
- Une AC a besoin darchiver les certificats
quelle émet pour une longue durée pour permettre
les opérations de vérification des documents
signés lorsque le certificat associé à la clé
privée de signature nest plus valide. - Une AC peut déléguer lopération darchivage à
une entité externe archiveur. - Un archiveur doit garantir la sécurité des
données quil archive contrôle daccès aux
locaux et mécanismes de sécurité logique
(signature numérique, cryptage et horodatage)
21Politique de Certification (CP)
- La politique de certification représente un
document important dans lactivité de
certification qui décrit la politique de sécurité
adoptée pour la génération de certificats et la
publication de leur état. - Cette politique de sécurité décrit le
fonctionnement de lautorité de certification
ainsi que les responsabilités des utilisateurs
lors de la demande et lutilisation des
certificats et des clés. - Elle ne spécifie pas la manière avec laquelle la
politique doit être implémentée. - gt La politique de certification est un document
stable (pouvant être utilisé pendant une longue
durée). -
22Pratiques de certification (CPS)
- Le CPS est un document détaillé qui décrit
comment une autorité de certification implémente
une politique de certification spécifique. - Chaque CPS est appliquée à une seule autorité de
certification. - Le CPS nest pas un document publique. Il est
confidentiel.
23Utilisateurs dune PKI
24Architectures
25Listes de confiance
26PKI Hiérarchique
27PKI en maille
28Architecture en pont
29Cycle de vie dun certificat électronique
-
- Un certificat électronique passe par
- Une phase dinitialisation,
- Une phase démission,
- Une phase dannulation.
30Phase dinitialisation
31Phase dinitialisation
32Phase démission
33Phase dannulation
34Services dune PKI
35Authentification
36Intégrité
37Services avancés
38Services avancés (2)
39Services avancés (3)
40Services avancés (4)
41Merci