Académique Documents
Professionnel Documents
Culture Documents
C’est dans ce contexte que la NIST (National Institute of Stantards and Technology) s’est vu
imposer en 1994 la tâche d’étudier et de définir un standard afin de gérer l’authentification
dans un environnement international. Ce projet avait pour but de permettre l’interopérabilité
des différents systèmes électroniques opérant dans le commerce électronique. L’étude était
portée sur la manière de générer les clefs, de les distribuer, d’obtenir les clefs publiques au
moyen de certificats, et la publication des certificats obsolètes. L’étude visait à définir des
recommandations techniques pour définir une architecture PKI au travers de divers
composants.
A la même façon qu’un passeport ou d’une carte d’identité, la PKI va fournir une garantie
d’identité numérique aux utilisateurs. Cette pièce d’identité numérique, appelée certificat
numérique, contient la clef publique de l’utilisateur, mais également des informations
personnelles sur l’utilisateur. Comme tout document formel, le certificat numérique est signé
par l’autorité de certification et c’est cette signature qui lui donnera toute crédibilité aux yeux
des utilisateurs. Le certificat numérique est largement publié, il n’a pas à être tenu secret, il est
consultable via un annuaire.
Pour obtenir un certificat numérique, le client doit effectuer une requête auprès d’un
organisme reconnu. Il transmet avec sa requête sa clef publique. L’organisme construit un
certificat incorporant la clef publique du client, il signe le certificat à l’aide de sa clef privée.
L’autorité de certification publiera le certificat signé comportant la clef publique et l’identité
précise du propriétaire, quiconque consultera ce certificat aura l’assurance dans l’authenticité
de la clef publique contenue dans celui-ci car il a confiance dans l’autorité de certification qui
a délivré ce certificat.
En somme, la PKI (Public Key Infrastructure) est un système de gestion des clefs publiques
qui permet de gérer des listes importantes de clefs publiques et d'en assurer la fiabilité, pour
des entités généralement dans un réseau. Elle offre un cadre global permettant d'installer des
éléments de sécurité tels que la confidentialité, l'authentification, l'intégrité et la non-
répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur.
Schéma à faire
Ses objectifs
Une infrastructure à clé publique permettra de délivrer des certificats électroniques qui, ces
mêmes certificats, garantiront la confidentialité des échanges informatiques, l’intégrité des
données et l’authentification des utilisateurs au moment d’une transaction. L’infrastructure
PKI intègre un ensemble de composants, des procédures spécifiques et des fonctions
particulières assurant à la fois la création des certificats et leur distribution. Le cycle de vie
des certificats numériques est également à intégrer dans l’infrastructure à clé publique.
Grâce à leur mise en place, les utilisateurs auront la possibilité de s’authentifier, de bénéficier
d’une transaction chiffrée et d’avoir recours à la signature électronique. Cependant, les
objectifs sont les suivants :
La PKI permet de chiffrer les données en transit en utilisant des clés publiques et privées
pour garantir la confidentialité des données échangées.
La PKI permet de garantir que les données sont envoyées par un utilisateur authentique en
utilisant des certificats numériques qui contiennent des informations sur l'identité de
l'utilisateur et la clé publique correspondante.
La PKI permet de garantir l'intégrité des données en transit en utilisant des clés de
chiffrement pour empêcher la modification des données en transit.
La PKI permet une gestion centralisée des certificats numériques, ce qui facilite leur
distribution et leur révocation en cas de compromission ou de fin de validité.
Utilisations multiples :
La PKI peut être utilisée dans de nombreuses applications, telles que la signature
électronique, l'authentification de l'utilisateur, l'accès à distance et la gestion des droits
d'accès.
Ses fonctionnalités et ses utilisations
Les utilisations d'une PKI sont nombreuses et variées. Elle est utilisée pour sécuriser les
transactions en ligne, les échanges d'e-mails, les transferts de fichiers, les connexions à
distance, les systèmes de paiement électronique, les réseaux privés virtuels (VPN), et les
applications de messagerie instantanée. Elle est également utilisée dans le domaine de la
santé, de la finance, de l'administration publique, et de l'industrie pour garantir la
confidentialité et la sécurité des données sensibles.
La PKI a été largement utilisé dans des applications d’entreprise et de nombreux services de
sécurité et aussi dans différentes plates-formes telles que l’authentification des utilisateurs. La
signature numérique, et la non-répudiation.
Elle utilise deux objets principaux : le certificat numérique de type X.509 v3, et la
spécification de la liste de révocation de certificat. Le modèle PKIX définit les éléments que
comporte une PKI. Le modèle de composants PKIX intègre les quatre grandes composantes :
l’entité finale, le certificat de la clé publique, le certificat de l’autorité et le dépôt.
Schéma à faire
L’entité finale :
Elle peut être considérée comme les utilisateurs du service PKI. Le terme entité finale est
un terme générique qui désigne les abonnés, les périphériques réseaux (tels que les
serveurs et les réseaux), les processus, ou toute autre entité qui peut demander et recevoir
un certificat numérique. L’entité finale utilise le certificat acquis pour soutenir la sécurité
et la confiance dans les transactions. En plus l’entité finale peut également être un tiers
(une personne ou une organisation), qui ne détient pas nécessairement un certificat, mais
peut être le bénéficiaire d’un certificat (lors de l’exécution d’une transaction) et qui agit
donc sur la confiance du certificat et / ou la signature numérique qui sera vérifiée à l’aide
de ce certificat.
Une autorité de certification est l’émetteur des certificats de clé publique dans une PKI
donnée. Les certificats de clés publiques sont signés numériquement par l’autorité de
certification émettrice, qui va effectivement (et légalement) lier le nom du sujet à la clé
publique soumise. La clé publique du CA qui est utilisée pour vérifier la signature sur les
certificats délivrés. Les CA sont également responsables de l’élaboration de listes de
certificats révoqués (CRL), qui rendent des certificats invalides, à moins que cela est
déléguée à une entité distincte, appelée émetteur de la liste de révocation de certificats.
L’autorité d’enregistrement (RA) :
- Assurer que les demandeurs soient munis d’un certificat, tout en vérifiant
l’exactitude et l’intégrité des informations requises par les demandeurs.
- Vérifier que l’entité finale demandant l’émission d’un certificat possède la clé
privée associée à la clé publique fournie.
- La réalisation des interactions nécessaires avec la CA de délégation pour le compte
de l’entité finale, en cas de notifications de compromission de clé…
Serveur de certificats :
Un serveur de certificats est une composante (ou système) utilisée pour stocker et
récupérer les certificats, les informations connexes telles que la norme PKCS émise pour
l’entité finale et la liste des certificats révoqués (CRL).
Le serveur peut être une base X.500 ou un répertoire avec des installations d’accès
public via le protocole Lightweight Directory Access (LDAP) ou File Transfer Protocol
(FTP) afin que les certificats puissent être récupérés par toute entité finale pour différents
besoins.
La liste de révocation devrait être publiée périodiquement, par exemple chaque jour,
chaque semaine, etc… Si aucun certificat n’est retiré au cours de la période indiquée, une
liste de révocation néanmoins devrait être émise comme notification qu’aucun certificat
n’a été retiré. Les autorités de certification devraient informer les utilisateurs de la
fréquence d’émission de la liste de révocation.
Les listes de révocation doivent être protégées contre les accès non autorisés, les
falsifications et les suppressions non autorisées. Et même après l’expiration de la validité
des certificats révoqués, l’autorité de certification devra les archiver pour une éventuelle
utilisation ultérieurement.
Les certificats permettent de s’assurer que la clé publique récupérée appartient bien au
destinataire souhaité. Les certificats sont comme une pièce d’identité prouvant que la clé
appartient à telle ou telle personne, organisme ou autre. Lorsque vous achetez sur un site
de vente en ligne et que vous vous apprêtez à envoyer vos coordonnées, vous devez être
sûr que le destinataire est bien le site de vente.
Pour cela, il suffit de vérifier son certificat. Un certificat est composé de deux parties :
- Les informations
- La signature
Pour assurer ces clients, le site de vente en ligne, utilise une clé publique qui appartient
bien au site, pour prouver la possession de cette clé le commerçant envoie ces informations et
sa clé publique à un organisme de certification appelé infrastructure à clés publiques
(EasyCA, par exemple).
L’organisme vérifie que les informations soumises sont correctes puis ajoute à celle-ci
ces propres informations. Ensuite, il ajoute une signature au certificat. Cette signature est un
hachage du résumé des informations encodé avec la clé privée de l’organisme de certification.
Demande de certificat
La demande de certificat est une étape importante pour garantir la sécurité et l'authenticité des
transactions numériques. Il est important de fournir des informations précises et vérifiables
lors de la demande de certificat et de suivre les procédures de validation et de distribution
recommandées pour garantir l'efficacité de l'infrastructure PKI. Toutefois, voici les étapes
générales pour faire une demande de certificat numérique :
Il existe différents types de certificats numériques, chacun ayant des caractéristiques et des
utilisations spécifiques. Il est important de déterminer le type de certificat nécessaire en
fonction de l'objectif de l'utilisateur et des exigences de l'application.
La CA doit également vérifier la clé publique fournie par l'utilisateur pour s'assurer qu'elle
est valide et qu'elle correspond à l'identité de l'utilisateur.
Emission du certificat :
Une fois la demande de certificat validée, la CA émet le certificat numérique, qui contient
les informations sur l'identité de l'utilisateur et la clé publique correspondante. Le
certificat est signé par la clé privée de la CA pour garantir son authenticité.
Distribution du certificat :
Une fois émis, le certificat doit être distribué à l'utilisateur qui l'a demandé. Cela peut se
faire via un serveur de certificats ou par d'autres moyens sécurisés.
Lorsqu’un certificat est présenté à une application pour réaliser une opération de chiffrement,
d’authentification d’un utilisateur, de vérification de la signature d’un document.
L’application doit s’assurer de la validité de ce certificat.
Cette opération englobe plusieurs vérifications qui peuvent être réalisées ou non. Il
convient de faire le choix lors de la sécurisation de l’application. Ces vérifications sont
notamment :
Afin de mieux comprendre le principe d’émission d’un certificat numérique, nous allons
considérer deux utilisateurs : Bob et Alice.
L’utilisateur Bob veut certifier que sa clé publique lui appartient. Il envoie cette clé
publique dans le serveur de clés d’une CA, ainsi que différentes informations le concernant
(nom, e-mail, etc…).
Vérification du certificat
Vérification de la validité :
Vérification de révocation :
La quatrième étape consiste à vérifier si le certificat n'a pas été révoqué par l'autorité de
certification avant sa date d'expiration. Pour cela, on utilise une liste de révocation de
certificats (CRL) ou un protocole d'état de révocation en ligne (OCSP) pour s'assurer que
le certificat est toujours valide et qu'il n'a pas été compromis.
En somme, la vérification d'un certificat numérique est un processus essentiel pour garantir
l'authenticité et la validité du certificat, ainsi que la sécurité des communications numériques.
Elle permet de s'assurer que les données échangées sont protégées contre les tiers malveillants
et que l'identité des parties est bien vérifiée.