Académique Documents
Professionnel Documents
Culture Documents
Cha Crypto Certificat PDF
Cha Crypto Certificat PDF
1
Introduction
3
Les certificats numériques
• Un certificat numérique permet de lier l’identité d’un
système ( personne , entreprise ou machine ) à une clé
publique.
• C’est une information attachée à une clé publique, signée
numériquement par une partie tierce de confiance (autorité
de certification).
• L’objet de la signature est de garantir que les informations
de certification ont été contrôlées et validées.
• Les certificats numériques sont utilisés donc pour empêcher
les tentatives de falsification de clé publique .
• Un certificat numérique fonctionne comme une pièce
d’identité.
4
Autorité de certification AC
• L’autorité de certification est une partie tierce de confiance qui
garantit la validité de certificats numériques.
• L’autorité de certification délivre, distribue les certificats
numériques et elle les révoque en cas où les informations qu’ils
contiennent ne sont plus valables.
• L’autorité de certification certifie la correspondance Clé publique
avec l’identité pour l’ensemble d’une population
6
Structure d’un certificat
Le standard X509
7
Version du certificat
Numéro de série du certificat
Description de l’algorithme de signature de l’AC
Nom de l’AC qui a généré le certificat
Période de validité
Nom de l’utilisateur auquel appartient le certificat
Clé publique de l’utilisateur
Description de l’algorithme à utiliser avec la clé publique
10
Vérification de la validité d’un certificat
• Publier une clé publique revient à fournir un certificat associé à cette clé
publique signé par une autorité de certification donc vérifier la
validité d’une clé publique revient à vérifier la validité du certificat
correspondant.
• Vérifier la validité d’un certificat revient à vérifier la signature de l’AC
qui existe sur ce certificat .
• Le certificat de l’AC est connu par tout le monde .
• Pour vérifier un certificat il faut :
– Recalculer la signature du certificat ( utiliser l’algorithme de hachage
fourni avec le certificat )
– Déchiffrer la signature sur le certificat ( celle qui est générée par
l’AC ) en utilisant la clé publique de l’autorité de certification .
– Comparer les deux signatures : s’il y a une différence donc le
certificat n’est pas valide sinon on peut l’utiliser en toute sécurité
11
Vérification de la validité d’un certificat
12
Gestion des certificats
La PKI
13
PKI
Renouveler
Publication
certificats
Recouvrir
Révoquer
clés
certificats
15
Composants d’une PKI
Client
16
Composants d’une PKI
• L’autorité de certification AC
– C’est l’entité qui détient l’entière responsabilité de la gestion des
certificats et des clés (création, attribution, mise à jour, révocation et le
recouvrement).
– C’est l’AC qui édite la règlementation à respecter dans une PKI, on parle
de Politique de Certification (PC).
• L’autorité d’enregistrement AE
– C’est l’entité responsable des interactions entre le client et l’AC.
– Elle diminue la charge de l’AC en s’occupant de la tâche de vérification
et validation des demandes de certificats et la distribution des certificats
aux clients.
– L’AE se porte garante du lien entre un certificat, l’identité du porteur et
autre attributs (informations personnelles du client).
• Le dépôt
C’est une base de données en ligne qui rend disponible les certificats émis par
l’AC ainsi qu’une liste de certificats révoqués à l’ensemble des utilisateurs.
17
Architecture d’une PKI
18
Architecture d’une PKI
Architecture simple
AC
AE AE
Client Client
Client Client
19
Problème de l’architecture simple
AC racine
AC AC
AE AE AE AE
21
Chemin de certification
• Dans une architecture hiérarchique, la vérification de la signature
d’un certificat nécessite l’analyse de tout un chemin de
certification.
• Un chemin de certification est une séquence ordonnée de
certificats qui est analysée pour obtenir la validation d’un certificat
fournis par cette PKI .
• Ce chemin commence à partir du AC racine ( la plus haute AC )
jusqu’à l’AC qui a fournis le certificat .
• Ce chemin est inclus dans le certificat .
• L’analyse se déroule en deux étapes :
– la reconstitution du chemin en s’assurant qu’on possède
l’ensemble des certificats jusqu’à l’AC racine.
– la validation du chemin qui consiste à la vérification de la
signature de chaque certificat commençant par celui de l’AC
22
racine .
Processus de l’obtention d’un certificat
Client
2. L’AE procède à
l’authentification et la AE
vérification des attributs du
demandeur
6. Le certificat est transmis à
l’AE pour qu’il soit remis au
3. La demande est transmise demandeur
à l’AC
Dépôt
AC
4. L’AC génère le 5. Le certificat est transmis
certificat dans u dépôt accessible à
stous les utilisateur
(optionnel)
23
Enregistrement d’un client
• Lorsqu’une entité se présente pour l’obtention d’un certificat,
elle est enregistrée auprès de l’AE.
• L’enregistrement consiste à recueillir les informations
caractéristiques du demandeur : son nom, son adresse
électronique, etc.
• Pour l’enregistrement, deux contrôles sont réalisés :
l’authentification et la vérifications des attributs.
• L’authentification peut être envisagée soit par déplacement
physique du demandeur avec présentation de pièces
d’identités justificatives, soit par simple envoi de copie de
pièce d’identité.
• La vérification consiste à vérifier la validité des attributs du
client demandeur de certificat (appartenance à une société,
fonction dans l’organisation, etc.)
24
Génération des clés privé/publique
• La génération d’une paire de clé publique/privée peut
être centralisée ou décentralisée.
26
Révocation d’un certificat
27
Recouvrement d’une clé privée
28
Application des certificats
HTTPS
29
HTTPS
• Le HTTP ( HyperText Transfert Protocol) est le protocole le
plus utilisé sur Internet.
30
HTTPS
32
Authentification des client
• Le serveur lui aussi peut procéder à la
vérification de l’identité des clients
• Les clients doivent introduire leur certificat
• Le serveur vérifie la validité des certificats
33
Les certificats et openssl
Pour l’obtention d’un certificat , il faut générer une CSR (CSR :
Certificate Signing Request) et l’envoyer à une autorité de
certification ( il faut disposer déjà d’une clé publique et d’une
clé privée )