PKI (Infrastructure à clé publique)

Introduction
• Les techniques de chiffrement destinées à protéger les informations
sont utilisées depuis des millénaires, que ça soit symétriques ou
asymétriques.
• Toutes ces techniques rencontrent le même problème : Comment le
destinataire peut-il s’assurer qu’il utilise bien la clé publique de l’
émetteur et non pas celle de quelqu’un d’autre ?
 Définition
• PKI = Public Key Infrastructure
• C’est un ensemble de moyens matériels, logiciels et composants
cryptographiques mis en œuvre par des personnes, combinés par
des politiques et des procédures requises qui permettent de créer,
gérer, conserver, distribuer et révoquer des certificats numériques
basés sur la cryptographie asymétrique.
• La PKI a pour but d’établir la confiance dans les échanges entre
plusieurs personnes.
 Définition
• Avant l'échange, elle garantit:
• L’authentification : c-à-dire permettre au partenaire de s’assurer
de leur identité mutuellement.
• Pendant l'échange, elle garantit:
• La confidentialité (chiffrement) : protège des informations contre
la divulgation non autorisée.
• L’intégrité: cela signifie que l’information émise est identique à
l’information reçue.
• Après l'échange, elle garantit:
• La non-répudiation: Pour que l’émetteur ne puisse pas nier l’envoi
• Ces services ne seraient pas possibles sans la cryptographie et
l'utilisation des certificats numériques
 Certificat Numérique
• Un certificat est un document électronique émis par une tierce
partie de confiance qui permet de garantir l’authenticité d’une clé
publique.
• Il correspond à l'association de :
---Une clé publique
---Informations de son propriétaire
---Informations de la partie de confiance
---Une signature
• Il est délivré par une Autorité de Certification de la PKI
Structure d’un certificat numérique
Structure d’un certificat numérique
 Structure d’un certificat numérique selon la
norme X509
• Version : indique à quelle version de X509 correspond ce certificat
• Numéro de série : Numéro de série du certificat
• Algorithme de signature: Désigne l’algorithme utilisé par l’AC pour signer le
certificat
• Emetteur : Distinguished Name (DN) permet d’identifier l'autorité de
certification qui a émis ce certificat.
• Valide à partir de: la date de début de validité de certificat
• Valide jusqu'à : la date de fin de validité de certificat
• Objet: Distinguished Name (DN) permet d’identifier le détenteur de la clé
publique
• Clé publique : informations sur la clé publique de ce certificat
• Contraintes de base : extensions génériques optionnelles
• Utilisation de la clé : l'objet d'utilisation de la clé
• Algorithme thumbprint : algorithme de signature
• Thumbprint : signature numérique de l'autorité de certification sur
l'ensemble des champs précédents.
Cycle de vie d’un certificat
 Cycle de vie d’un certificat
• Généré (valide) : Cette étape consiste à gérer techniquement un
fichier électronique à partir des informations personnelles du
demandeur.
• Expiré : Au-delà d’une certaine date le certificat n'est plus valide car
la validité temporelle a été dépassée.
• Renouvelé : Le certificat régénère un nouveau certificat moyennant
les mêmes informations contenues dans le certificat expiré.
• Révoqué : Tout certificat est sujet à la révocation pour des raisons
multiples. Il peut être volé soit physiquement, soit suite à une
attaque informatique. Pour cette raison, chaque AC possède une
CRL(Certificate Revocation List) qui comporte les certificats dont les
propriétaires ont exprimé leur demande de révocation.
• Suspendu : Dans le cas où l'utilisateur a un problème temporaire
avec son certificat, il demande la suspension de son certificat, par la
suite celui-ci est placé dans la CRL jusqu'à nouvel ordre.
 Types de certificats
Il existe quatre types de certificats électroniques :
1/ Certificats de personne :
Destiné aux personnes est semblable à une carte d'identité nationale.
Ce certificat peut être utilisé pour signer les messages électroniques et
l'authentifier lors d'une session sécurisée.

2/ Certificats serveur :
Propre à un serveur (web, courrier...). Il assure la sécurité des échanges
entre le serveur et ses clients lors de l'établissement d'une session
sécurisée.
 Types de certificats
3/ Certificat VPN :
Permet à des informations dans certains nœuds du réseau (routeurs,
Pare- feu...) d'être associées à une clé publique. Ce certificat est utilisé
pour garantir la sécurité des échanges effectués entre une organisation
et ses branches sécurisées dans le réseau de communication.

4/ Certificat de signature de code :

Cela permet à un programme, un script ou un logiciel d'être signé pour
garantir son authenticité par la signature de son développeur. Ce type
de certificat permet la protection contre les risques de piratage.
 Les fonctionnalités de PKI
• Enregistrer les utilisateurs
• Générer les clés et les certificats
• Émettre les clés et les certificats aux utilisateurs
• Publier les certificats dans un annuaire
• Révoquer les certificats si nécessaire
• Renouveler les clés et les certificats en fin de période de validité
Acteurs de la PKI
 Acteurs de la PKI
1-Des entités finales (personnes, services…)
• Porteur(Demandeur):
--- Il est référencé par le certificat
--- Il est le seul à posséder la clé privé

• Utilisateur:
--- il utilise le certificat et vérifie que l’identité indiqué par le
certificat est bien son interlocuteur
--- il vérifie que le certificat n’est pas révoqué (en consultant les
listes des certificats révoqué CRL)
--- authentifie et vérifie l’intégrité du certificat à l’aide de la clé
publique de l’AC
 Acteurs de la PKI
2- Autorité d’enregistrement(RA)
Représente le lien physique entre les utilisateurs et la PKI

Rôles et responsabilités:
• Enregistrer les demandes de certificats
• Vérifier l’identité des demandeurs ou porteurs de certificats
• Générer le couple des clés(publique et privé)
• Soumettre les demandes de génération de certificats à l’AC
• Soumettre les demandes de révocation de certificats
 Acteurs de la PKI
3- Autorité de certification(CA)
C’est une autorité centrale responsable de certifier les clés publiques
des utilisateurs

Rôles et responsabilités:
• Emettre les certificats par apposition de sa signature
• Gérer le cycle de vie des certificats
• Gérer les clés(recouvrement, etc.)
• Révoquer les certificats – Émettre et gère les LCR (listes des
certificats révoqués)
 Acteurs de la PKI
4- Dépôt de certificat (Annuaire)
C’est un service de publications contenant l’ensemble des certificats

Rôles et responsabilités:
• Rend disponible, à l’ensemble des utilisateurs, les certificats émis par
une Autorité de Certification
• Publie une liste de certificats valides (LAR)
• Publie une liste de certificats révoqués (LCR)
 Acteurs de la PKI
5- Autres autorités :
Autorité d’Horodatage : Elle garantit la date qui est apposée sur les
documents et signatures issues de l’AC

Autorité de Recouvrement: Conserve les clés secrètes de chiffrement

des utilisateurs(perte, vol, …)

Autorité de Validation: Vérifie l’état d’un certificat (bon, révoqué,

inconnu). On peut l’assimiler à un serveur OCSP
 Acteurs de la PKI
• Dans une même infrastructure de gestion de clés publique, il peut y
avoir plusieurs AC ayant le même rôle.
• Quelle sont donc les différentes répartitions décrivant la relation entre
toutes les ACs?
• Il existe trois modèles de répartition:
 Acteurs de la PKI
a/ Modèle hiérarchique
Dans ce modèle, l’autorité de certification racine(ACRoot) délivre un
certificat d’attribut qui garantit la délégation du service de certification
à une ou plusieurs d’autres autorités (ACs subordonnées), qui
elles-mêmes à leurs tours délivrent des certificats à d’autres, et ainsi
de suite
 Acteurs de la PKI
b/ Modèle croisé (Peer-to-Peer) :
Dans ce modèle, les relations croisées servent à relier deux hiérarchies
d’autorités de certification de deux organisations différentes. L’autorité
de certification racine de chaque organisation signe pour l’autre un
certificat d’identité. Ainsi, n’importe quel utilisateur de la première
hiérarchie peut vérifier la clé publique de n’importe quel autre
utilisateur de la deuxième .
 Acteurs de la PKI
c/ Modèle en graphe
Dans ce modèle, chaque autorité de certification délivre un certificat
d’identité à l’autorité en qui elle fait confiance.
Fonctionnement de la PKI
 Fonctionnement de la PKI
• L'utilisateur fait d'abord une demande de certificat auprès de
l'autorité d'enregistrement (RA).
• La RA vérifie l'identité de l'utilisateur puis génère une Bi-clés :elle
envoie la clé privé a l’utilisateur puis transmet la demande de certificat
et la clé publique à l'autorité de certification(CA).
• La CA signe alors cette demande de certificat et dépose le certificat
créé dans le dépôt (l’annuaire). Puis informe la RA que le certificat est
créé .
• La RA informe a son tour l’utilisateur que le certificat est prêt puis ce
dernier le récupère depuis l’annuaire .
 Mise en place d’une PKI
Pour la mise en place d'une solution PKI, les organisations ont soit la
possibilité de développer leur propre AC ou d'utiliser une solution de
gestion PKI externe.
PKI interne:
• La Politique de Certification est un document interne.
• Les Autorités d’Enregistrement et de Certification sont des services
internes à une organisation.
• Les utilisateurs de certificats sont internes à l’organisation.
PKI externe:
•La Politique de Certification est un document officiel Externe publié
officiellement.
•Les Autorités d’Enregistrement et de Certification sont des services
Externes à l’organisation.
•Les utilisateurs de certificats peuvent faire partie de différents
organisations.
 Les applications activés par PKI
• Identification du serveur(accès web)
Des millions de personnes utilisent la PKI sans le savoir. Chaque fois que
quelqu'un utilise une connexion de serveur Web sécurisée HTTPS, il
utilise un certificat d'identité de serveur PKI dans le protocole SSL. Le but
est que le serveur puisse affirmer son identité auprès du client de
manière vérifiable.
• Authentification pour les VPN
Certains appareils VPN peuvent utiliser des certificats clients pour
authentifier les utilisateurs.
 Les applications activés par PKI
• Signature et chiffrement de courrier électronique S / MIME
(Secure/Multipurpose Internet Mail Extensions) : (Est une norme de
cryptographie et de signature numérique de courriels encapsulés au
format MIME.)
La PKI combinée au standard S / MIME permet aux utilisateurs de vérifier
si le courrier électronique provient réellement de la source apparente ou
non
• Messagerie instantanée sécurisée
Certains application de messagerie instantanée profitent des capacités
PKI afin que ses messages puissent éventuellement être signés
numériquement et cryptés.
• Etc..
 Protocoles d’une PKI
1/ CRL (Certificate Revocation List)
est l'ensemble des certificats qui ne sont plus valables et qui ne sont plus
dignes de confiance. Cette liste est publiée par l’autorité de certification.

2/ OCSP (Online Certificate Status Protocol)

Ce protocole est une alternative réglant certains des problèmes posés
par les CRLs dans une infrastructure à clés publiques.
Il simplifie les traitements réalisés du côté client et il se base sur la liste
de révocation pour une validation plus à jour.

3/ CMP (Certificate Management Protocol)

est un protocole Internet utilisé pour l'obtention des certificats
numériques X.509 dans une infrastructure de gestion de clés.
Exemple d’utilisation
Exemple d’utilisation