Fonctionnement basique dune PKI

PKI

Prsentation des concepts PKI interne vs PKI externe

PKI

Prsentation des concepts

Dfinition et rle dune PKI Les composantes dune PKI Microsoft Architecture dune PKI Microsoft Scurisation dune PKI Services apports

Prsentation des concepts - Dfinition et rle dune PKI

Infrastructure cls publiques
Une infrastructure cls publiques (ICP) ou Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des quipements cryptographiques logiciels ou matriel ou encore des cartes puces), de procdures humaines (vrifications, validation) et de logiciels (systme et application) en vue de grer le cycle de vie des certificats numriques ou certificats lectroniques

Rle dune PKI

Enregistrement des utilisateurs (ou quipements informatique) Gnration de certificats Renouvellement de certificats Rvocation de certificats Publication de certificats Publication des listes de rvocation (comprenant la liste des certificats rvoqus) Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accdent la PKI) Archivage Squestre et recouvrement des certificats (option)

Prsentation des concepts - Les composantes dune PKI Microsoft

Certificats
Les certificats sont la base dune PKI Un certificat reprsente lidentit lectronique dun utilisateur, dun ordinateur, dun priphrique rseau ou dun service Un certificat est un ensemble dinformations sign lectroniquement Un certificat est associ une paire de clefs (clef prive et clef publique) Les certificats sont dlivrs par une Autorit de Certification (CA)

Autorit de Certification (CA)

Une CA est une composante essentielle dune PKI Microsoft Une CA vrifie lidentit et les permissions dun demandeur de certificat Une CA dlivre les certificats aux demandeurs (le certificat obtenu est relatif la demande mise) Une CA gre la rvocation des certificats (publication de la CRL)

Liste de Rvocation de Certificats (CRL)

Liste publie des certificats rvoqus (considrs invalides quelle que soit leur date de validit)

Prsentation des concepts - Architecture dune PKI Microsoft

Types de CA
CA racine : CA la plus leve dans une hirarchie, cest lautorit de confiance dune PKI CA intermdiaire : CA subordonne de la CA racine, souvent configure comme CA mettrice de stratgies pour la publication des certificats CA de publication : CA mettant les certificats gnralement place au plus bas niveau dune hirarchie, soumise au stratgies mises par les CA intermdiaires

Niveau de hirarchie
Tiers unique : rserv au petites structures, la CA racine et galement CA de publication Deux tiers : une CA racine hors ligne et une ou plusieurs CA de publication Trois tiers : modle le plus utilis, une CA racine et une ou plusieurs CA intermdiaires hors ligne et une ou plusieurs CA de publication Quatre tiers : reprends le modle trois tiers avec un niveau de CA intermdiaires en ligne pour rpondre des besoins structurels dentreprise

Nombre de CA par niveau

Dtermin par le nombre et le type de certificats emmtre, la structure de lentreprise et les moyens de publication des certificats

Prsentation des concepts - Architecture dune PKI Microsoft

Exemple de hirarchie

Prsentation des concepts - Scurisation dune PKI

Points de configuration pour la scurisation dune CA
Minimisation du rle serveur, autant que possible le rle de CA doit tre install sur un serveur ddi Activation de laudit de la CA Utilisation de BitLocker pour protger les disques du serveur hbergeant le rle de CA Activer la sparation des rles sur la CA (administrateurs, gestionnaires de certificats, auditeurs, oprateurs de sauvegarde)

Scurisation physique dune CA

Stockage dans une pice scurise de la CA (accs physique restreint) Mise hors ligne de la CA racine et stockage sous coffre de tout ou partie du serveur (stockage des disques durs seulement)

Protection de la clef prive dune CA

Stockage de la clef prive de la CA sur un priphrique authentification deux facteurs (tel quune carte puce) Stockage de la clef prive de la CA sur un boitier HSM (Hardware Security Module)

Prsentation des concepts - Services apports

Authentification
Un certificat peux permettre de garantir lidentit dun utilisateur, dun ordinateur, dun priphrique rseau ou dun service Ce certificat peut tre chang numriquement ou stock sur un support physique (carte puce, clef USB, )

Encryption
Un certificat peut tre utiliser pour lencryption de donnes tels que des documents, des emails, des systmes de fichiers ou des paquets rseaux

Signature lectronique
Un certificat peut permettre de scuriser des changes sur Internet en signant les donnes changs Un certificat peut permettre de signer un code source ou un email pour garantir lidentit de lauteur (non-rpudiation) ou garantir lintgrit des informations changs

PKI Workshop Septembre 2011

PKI interne vs PKI externe

Diffrences dinfrastructure Gestion des cots associs la PKI

PKI interne vs PKI externe - Diffrences dinfrastructure

Le cloud comme CA, la PKI en ligne nest pas une utopie
Plusieurs diteurs tels que VeriSign, GlobalSign, GeoTrust ou Thawte offre des services disponibles dans le cloud (espace de gestion de PKI en ligne) Offre lavantage dune publication rendue plus simple par un tiers de confiance Evite lachat de matriel pour la scurisation des clefs prives Rduit la ncessit de formation dun personnel qualifi pour la gestion de la PKI

Type de services disponibles

Certificats SSL Certificats SSL EV (Extended Validation) Certificats tiers dmission de certificats (signature de CA) Certificats de signature de code PKI intgrales (Certificats X.509) avec gestion du cycle de vie

PKI interne vs PKI externe - Gestion des cots associs la PKI

PKI Interne
Cot de licences des CA (Licences serveurs Windows ou Linux) Formation du personnel lmission et la gestion du cycle de vie des certificats Achat optionnel de boitiers HSM

PKI externe
Achat de certificats SSL (compter environ 50 500 par an selon le service) Achat de certificat de CA (compter environ 2500 4500) Hbergement dun service de PKI en ligne (compter un abonnement annuel pour le service plus un cot par certificat mis)