PKI (PUBLIC KEY INFRASTRUCTURE)

Prsent par:

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

SOMMAIRE
Prsentation Dfinition Role de pki La politique de pki La gestion des clefs : Description de la maquette pki (Role des membres , Zone denrolement voir un exemple) : Installation et configuration de role ad cs :

PRSENTATION :

La communication en messagerie lectronique et devenu une chose indispensable dans de diffrents domaines, mais qui sexpose a de nombreuse attaque comme : Man in the middle : change de clefs publiques entre les entits. Ce qui pourrai tre rsolu au niveau des rseaux . en envisageant de changer les clefs publiques hors ligne et non des internationaux.

Cest dans ce contexte que la NIST (National Institute of Standards and Technology) stait imposer dtudier et grer en 1994 lauthentification internationale. Cette dernire visait: La gnration des clefs. Leurs distributions. Lappropriation des clefs par les certificats. La dfinition des recommandations pour larchitecture PKI.

DFINITION DE PKI (PUBLIC KEY INFRASTRUCTURE): gestion systme desde listes gestion importantes des clefs depubliques clefs publiques en assurant la fiabilit au sein du rseau
offrant un cadre global servant a:
installer des lments de scurit authentification renforcer confidentialit

intgration au sein de lentreprise au moment dchange dinformation

ROLE :
La PKI a pour but de fournir : une garantie didentit numrique aux utilisateurs (certificat numrique).

Certificat numrique :

Contient les clefs publiques de lutilisateur Contient les informations personnelles sur lutilisateur

Il est sign par lautorit de certification Ce certificat nest pas tenu en secret, il est consultable via un annuaire

LA POLITIQUE DE PKI :

La politique d'une PKI se dfinit deux niveaux: La politique de certification : est un ensemble de rgles, qui fournit un renseignement sur la possibilit dutiliser un certificat pour une communaut particulire ou des applications ayant des besoins de scurit communs. Elle spcifie entre autre les conditions et les caractristiques de dlivrance du certificat. Dans le cas gnral, un certificat est utilisable par nimporte quelle application pour autant que ces conditions et ces caractristiques sont juges satisfaisantes. Cependant, une politique de certification peut ventuellement restreindre lusage du certificat un ensemble donnes dapplications, voir mme une seule application. La politique de scurit : est la partie juridique de la PKI. En effet, lorsqu'on met en place une PKI, il faut fournir trois documents : Rapport pratique de certification : qui spcifie les critres de certification et la politique de rvocation des certificats, Politique du certificat : qui explique et limite l'utilisation du certificat numrique, Considrations lgales : qui permet de responsabiliser les utilisateurs en cas de perte ou de fraude l'intrieur mme de la PKI.

LA GESTION DES CLEFS :

Gnration

Les clefs doivent tre gnres de manire prvisible. Cela pourrai compromettre tout le systme de scurit.

Distribution

Cest laction de dplacer une clef de cryptage Example: on va crer une clef qui va permettre le transport d'une autre clef.

Stockage

Obligation de garder lintegrit et la confidentialit de la clef seul un stockage sur hardware assurerra la confidentialit de la clef

Suppression

Cette action intervient lors dun doute subsiste sur la confidentialit ou si elle atteint la fin de sa validit

Archivage

Conserve une copie des clefs mme les non utiliser pour pouvoir valider les donns protger par la clef une clef archive ne peut pas tre remise en service dans un environnement dapplication

Le recouvrement des clefs est une procdure dlicate qui permet de retrouver la clef prive dun client Le recouvrement des donnes chiffres par cette clef

La perte de cette clefs signifie la prte de toutes les donnes

Le recouvrement des clefs peut tre une solution pour le recouvrer les donnes. Toutes ces tapes doivent tre minutieusement effectues et contrles pour que la PKI ne soit pas sujette diverses attaques.

DESCRIPTION DE LA MAQUETTE PKI :

serveurs HTTP

SERVEUR PUBLIC :
Entit
Cette interface et utiliser pour :
Rception du certificat de lautorit de certification Rception du certificat numrique sollicit Rception de la liste de rvocation CRL Consultation des certificats numriques de tous les clients

partie visible de la PKI

permet au client dtablir la connexion avec lorganisme

La connexion ce serveur est protge par le protocole SSL, pour garantir la confidentialit des donnes changes entre les clients et le serveur publique.

SERVEUR RA :

Les changes avec ce serveur sont galement protgs par SSL, mais contrairement au serveur public, seul un administrateur authentifi a accs au serveur RA. Le serveur RA permet de stocker, de contrler et dapprouver les requtes mises par les clients. Ces requtes seront ensuite transmises par voie sre ladministrateur de la CA, en vue dune signature. Ce serveur permet galement de publier les certificats signs par la CA. La publication est faite de deux manires :

Publication des certificats sur le serveur public. Publication des certificats dans un annuaire LDAP
Dans ce laboratoire, la publication des certificats par LDAP ne sera pas traite. Les clients utiliseront donc uniquement linterface publique. Le serveur de la RA et le serveur public sont installs sur le mme poste. Les echanges dinformation entre ces deux entits ce fait directement par fichier partag.

SERVEUR CA :
Ce serveur constitue la pice matresse de lorganisme,cest lui qui permettra de signer les requtes de certificats approuves par ladministrateur de la RA. Pour protger au maximum ce mcanisme, le serveur de la CA a t volontairement isol du rseau. Laccs ce serveur doit imprativement tre protg physiquement. Seul ladministrateur dela CA doit tre en mesure daccder au poste contenant le serveur. De ce fait, aucune scurit informatique supplmentaire nest ajoute. Ladministrateur de la CA se connecte par une simple interface WEB sur le port 80, tant donn quil est le seul pouvoir se connecter.

ROLE DES MEMBRES :

Role des clients : Le rle du client dans lorganisme se limite une tche de sollicitation de service. Pour effectuer une demande de certificat, celui-ci doit remplir un formulaire contenant diffrentes informations personnelles qui seront adjointes son certificat. Le client gnre une paire de cls RSA, dont la partie publique sera transfre avec sa demande. Le client choisit ensuite le groupe dutilisateurs auquel il appartient, et galement une zone denrlement. Le client attend ensuite que sa demande soit traite, avant de la rcuprer par lintermdiaire du serveur public.

ROLE DE LA RA :
Ladministrateur de la RA rcupre les demandes fournies par les clients. Son rle est de contrler ces requtes. Il a le droit de veto sur ces requtes, cest--dire quil peut rejeter toute requte qui ne correspond pas la politique de certification de lorganisme. Sans entrer dans les dtails, le contrle peut se limiter vrifier que le client possde bien une paire de cl RSA. Mais il peut tout aussi bien exiger que le client se prsente physiquement avec une pice didentit valable. Lorsque la demande de certificat a t approuve par ladministrateur, celui-ci signe le document. La requte signe par ladministrateur compose un standard de requte au format PKCS#10 qui peut tre transfre la CA.

Ladministrateur de la RA a galement une tche de publication, cest lui qui est responsable de rcuprer les certificats et les CRL signs, puis de les rendre accessibles aux clients.

ROLE DE LADMINISTRATEUR DE LA CA :
Cet administrateur est hirarchiquement le plus lev de tout lorganisme. Sa responsabilit est plus grande que celle de ladministrateur de la RA car cest lui qui signera le certificat proprement dit. Sa tche consiste rceptionner les requtes de certificat au format PKCS#10, vrifierla signature de ladministrateur qui a mis cette requte. . Ladministrateur de la CA fait confiance au travail de contrle effectu par ladministrateur de la RA. Il validera ensuite la requte en la signant, le certificat ainsi form sera conforme au standardde certificat X509. Le certificat doit tre par la suite retourn ladministrateur de la RA. Ladministrateur de la CA peut galement rvoquer des certificats qui ne sont plus conformes la politique de certification de lorganisme. Son rle consiste donc gnrer priodiquement la liste des certificats rvoqus CRL.

ZONE DENROLEMENT :
le nombre des requettes du deploiment de la PKI sest relativement lev
surcharge des taches de ladministrateur de RA.

Pour y rsoudre
on a mis en place plusieur administrateur. Definition dune zone denrolement pour chaque groupe dtudiant Gestion de chaque zone par un administrateur de RA Chaque client choisi la zone convenable pour lui
Cette division permet de rpartir gographiquement les lieux denrlement, tout en garantissant une bonne scurit dans la procdure de contrle.

VOICI UN EXEMPLE QUI ILLUSTRE LA DEMANDE DE CERTIFICATION D'UN

UTILISATEUR LAMBDA DANS UNE ENTREPRISE QUI UTILISE LE PRINCIPE DE LA

PKI :

L'utilisateur demande l'autorit d'enregistrement, une demande de certificat l'autorit d'enregistrement , vrifie l'identit de l'utilisateur et valide sa demande s'il est apte recevoir un certificat il passe cette demande l'autorit de certification qui appliquerra les procdures l'autorit de certification va gnrer une paire de clef . Dans notre exemple, le support du certificat est une carte puce ). L'autorit de certification va signer un certificat contenant la clef publique de l'utilisateur avec sa clef prive le certificat et la clef prive de l'utilisateur seront insrs dans la carte puce le certificat sera ajout dans l'annuaire tant t sign par l'autorit de certification

Lorsque l'utilisateur voudra s'authentifier dans le systme insrera sa carte puce dans un lecteur La carte chiffrera ce nombre alatoire avec la clef prive qu'il contient le systme va vrifier les informations du certificat contenue dans la carte puce afin de vrifier l'identit de l'utilisateur et du certificat Une fois que la vrification est faite, on dchiffre le nombre chiffr avec la clef publique Si le nombre dchiffr est identique au nombre gnr, alors l'authentification s'est bien droule

INSTALLATION ET
CONFIGURATION DE ROLE AD CS :

DANS LE GESTIONNAIRE DE SERVEUR,

faire un clic droit sur Rles et slectionner Ajouter des rles.

Cliquer sur Suivant et cocher Services de certificats Active Directory. Valider par Suivant, puis cliquer nouveau sur Suivant.

AUTORIT DE CERTIFICATION EST LE SERVICE DE BASE DU RLE DE SERVICE DE CERTIFICAT INSCRIPTION LAUTORIT DE CERTIFICATION VIA LE WEB PERMET AUX UTILISATEURS DE SE CONNECTER VIA LE WEB LAUTORIT DE CERTIFICATION, AFIN DE DEMANDER UN CERTIFICAT OU DOBTENIR LA LISTE DE RVOCATION DES CERTIFICATS (CRL) QUI PERMET AUX SYSTMRES DE VRIFIER QUUN CERTIFICAT QUI LEUR EST PRSENT NA PAS T INTERDIT PAR LAUTORIT DE CERTIFICATION (SUITE PAR EXEMPLE AU DPART DUN EMPLOY OU DE LA PERTE DUN ORDINATEUR). RPONDEUR EN LIGNE PERMET DE RPONDRE VIA OCSP (ONLINE CERTIFICATE STATUS PROTOCOL) AUX REQUTES DE VALIDATION DE CERTIFICAT SPCIFIQUES MISES. EN UTILISANT UN RPONDEUR EN LIGNE, LE SYSTME NA PAS BESOIN DOBTENIR DE CRL ET PEUT SOUMETTRE DIRECTEMENT UNE DEMANDE LAUTORIT DE CERTIFICATION, CE QUI EST PLUS RAPIDE ET EFFICACE. COCHER LES CASES AUTORIT DE CERTIFICATION, INSCRIPTION LAUTORIT DE CERTIFICATION VIA LE WEB ET RPONDEUR EN LIGNE. ACCEPTER LAVERTISSEMENT EN CLIQUANT SUR AJOUTER LES SERVICES DE RLE REQUIS. VALIDER PAR SUIVANT.

ENTREPRISE :
dans ce mode, la certification est intgre lActive Directory. Ce mode sert en gnral pour les autorits qui dcernent effectivement des certificats (de facon automatise), et doit donc tre dploy sur des serveurs membres du domaine et hautement disponibles. Autonome : dans ce mode, lautorit de certification peut tre intgre au domaine ou fonctionner de faon totalement indpendante. Ce mode est utilis pour la cration de certificats racine dans les infrastructures autorits multiples, et sont ensuite rendus indisponible. Il sert galement crer des certificats pour les systmes qui ne sont pas membres du domaine. Sassurer que Entreprise est bien slectionn et cliquer sur Suivant.

AUTORIT DE
CERTIFICATION RACINE

cette option ne concerne que le cas o il sagit de la premire (ou unique) autorit de certification dploye dans linfrastructure. Autorit de certification secondaire : cette option concerne tous les autres cas, on peut par exemple crer une autorit secondaire pour chaque zone gographique afin de rpartir la charge. Sassurer que Autorit de certification racine est bien slectionn et cliquer sur Suivant.

UN FOURNISSEUR DE
SERVICES DE CHIFFREMENT
est l outil que va utiliser lautorit de certification pour gnrer sa cl de chiffrement ; il peut sagir dun logiciel ou dun matriel.
La Longueur de la cl permet dajuster sa complexit, donc sa rsistance aux attaques. Mais plus une cl est longue, plus son utilisation demande de ressources. Lalgorithme de hachage produit une empreinte de la cl de chiffrement qui lui est propre. Cest donc une scurit supplmentaire pour viter lusurpation de la cl. Laisser les paramtres par dfaut et cliquer sur Suivant.

DANS NOM COMMUN DE

CETTE AUTORIT DE CERTIFICATION

, saisir un nom la reprsentant, par exemple VOTRESOCIETE-CA (ce nom sera intgr dans les certificats issus dans la chaine de cl) puis cliquer sur Suivant

LA PRIODE DE VALIDIT DU
CERTIFICAT

doit tre un compromis entre scurit et complexit dadministration : chaque fois quun certificat racine expire, il faut recrer toutes les
relations de confiance de larborescence. En rgle gnrale, une dure longue ne pose pas de problme, mais il faut adapter ce paramtre aux spcificits de votre rseau. Laisser le rglage par dfaut et cliquer sur Suivant

IL EST CONSEILL DUTILISER

un disque spar du disque systme pour conserver les certificats, voire encore un autre disque pour les logs dans le cas de trs grande utilisation. Dans Emplacement de la base de donnes de certificats, slectionner le dossier E:\Cert\Data et dans Emplacement du journal de la base de donnes de certificats slectionner E:\Cert\Logs puis valider par Suivant et nouveau sur Suivant