Chapitre4 Infrastructures Pki Master SD ESI Fev2022

Chapitre 4
Infrastructures de clés publiques
Mesmin T. DANDJINOU
Chapitre 4 : Infrastructures de clés publiques
Plan (1)
I – Problématique de la gestion des clés
II – Certificat numérique
- Objectifs visés
- Principe général
- Contenu
- Vérification du certificat
- Standards
III – Autorité de certification

- Objectifs
- Modèles d’organisations
Mesmin T. DANDJINOU 2
Plan (2)
- Principaux acteurs
- Confiance dans une PKI
- Politiques et pratiques de la certification
- Révocation de clés
IV – Aspects juridiques de la cryptographie

V – Aspects économiques de la cryptographie
I – Problématique de la gestion des clés

Dans un système asymétrique on utilise en général :
- une paire de clés (privée en possession de l’utilisateur et
publique qui doit être publiée)
- un annuaire pour la publication des clés publiques
Pour assurer une sécurité dans le réseau, il faut que

la publication assure que :
- la clé corresponde bien à la personne avec qui l’échange va
être effectué
- le possesseur de cette clé est digne de confiance
- la clé est toujours valide
Solution : la CERTIFICATION
II – Le certificat numérique (1)

- Document électronique qui associe une clé publique à une
entité afin d’en assurer la validité
- Objet : garantir, cautionner une clé publique
- Est délivré par un tiers de confiance appelé autorité de

certification (notée CA pour Certification authority)
- Est signé (au sens signature numérique) par la CA qui possède

elle-même un certificat
- Rôle du certificat : Assurer la non-usurpation d’identité
Autorité de Certification
Signé par la clé

privée de la CA
Certificat
électronique
Clé publique Clé privée
Chiffrer Vérifier les Déchiffrer Signer

signatures

- Certificat composé de 2 parties :
+ Partie contenant les informations (data)
+ Partie contenant la signature de l’autorité de certification
- Exemples d’informations :
+ Version du certificat
+ Numéro de série du certificat
+ Type de méthodes de signature (algorithmes et paramètres)
+ Identification de la CA
+ Période de validité du certificat
+ Nom distinctif du propriétaire
+ Clé publique
- Signature de la CA portant sur l’ensemble de la partie informations
Procédure de vérification de la validité d’un certificat

1. Vérifier la date de validité du certificat et l’usage
prévu pour ce certificat
2. Vérifier que le certificat n’est pas révoqué en utilisant

la liste de révocation (CRL) de la CA émettrice
3. Vérifier que la CA est une CA de confiance
4. Vérifier la signature du certificat
Vérification de la signature du certificat
Certificat de Awa Fonction de hachage appliquée à la

partie informations du certificat
Empreinte 1
Version
Numéro de série
….
Certificat non oui Certificat

invalide = valide
Signature de CA
Empreinte 2
Déchiffrement de la partie signature du
certificat avec la clé publique de la CA
Standards de certificats
- Standard X509 :
conçu pour fournir des services de répertoires sur de
grands réseaux informatiques
- Standards PKCS (Public Key Cryptography Standards) :

conçus par RSA Security. Certains de ces standards (en
particulier le standard PKCS 12) sont aujourd’hui très
largement acceptés par les applications
Standards de certificats X509

- Standard X509 pour les infrastructures de clés publiques
+ Un format standard de certificat numérique
+ Un modèle de référence pour les PKI
- Historique : format standardisé par l’ISO à 3 reprises

+ X509 v1 : 1988
+ X509 v2 : 1993 (v1 + 2 nouveaux champs)
+ X509 v3 : 1996 (ISO – ANSI – ITU) (v2 + extensions)
+ X509 v4 : 2003
Certificats X509
- Conçu en particulier pour l’authentification (on parle
souvent d’authentification X509) et la signature numérique
- Certificat X509 :
+ Certifié par une entité de confiance
+ Crée un lien entre l’identité et sa clé publique
+ Garantit l’identité du propriétaire
- Authentification X509 :
+ Un mot de passe protège la clé privée
+ Un mécanisme de signature numérique employé
Principaux champs d’un certificat X509

- Numéro de version (certificate format version)
- Numéro de série (certificate serial number)
- Algorithme de signature (signature algorithm identifier for CA)
- Nom de la CA émettrice (issuer X.500 name)
- Validité (validity period)
- Nom du porteur (subject X.500 name)
- Clé publique associée au porteur du certificat (subject public key)
- Algorithme utilisé avec la clé publique (subject public key information)
- Identification alternative de l’émetteur (optionnel) (issuer unique identifier)
- Identification alternative du porteur (optionnel) (subject unique identifier)
- Extensions (optionnelles)
- Signature de la CA
Champs optionnels d’un certificat X509

- Identification alternative de l’émetteur (v2)
- Identification alternative du porteur (v2)
- Extensions (v3) : permettent de spécifier l’usage et de définir des
contraintes par rapport aux autres CA
+ Informations sur les clés
+ Informations sur l’utilisation du certificat
+ Attributs des porteurs et des CA pour une meilleure
identification
+ Contraintes de la co-certification ou de la certification croisée
(contrôler et limiter la confiance envers d’autres CA)
Ces extensions possèdent 3 champs : Type, Criticité, Valeur
Informations sur les clés d’un certificat X509

- Authority Key Identifier : identifie de façon unique la paire de clés
utilisée par la CA pour signer le certificat ; facilite le processus de
vérification de la signature du certificat
- Subject Key Identifier : identifie de façon unique la clé publique
contenue dans le certificat
- Key usage : renseigne sur l’utilisation qui doit être faite de la clé
(non-répudiation, certificate signing, CRL signing, digital signature,
symetric key encryption for key transfert, Diffie-Hellman key
agreement)
- Private Key Usage Period : date d’expiration de la clé privée
- CRL Distribution Point : définit l’emplacement des CRL
Informations sur l’utilisation du certificat X509
- Certificate Policies : spécifie la politique de

certification qui a présidé à l’émission du certificat
- Policy Mappings : ne concerne que les co-certificats

(certificat émis par une CA pour certifier une autre CA)
Principaux usages du certificat X509

- Certificats pour l’authentification : utilisés lors de
l’authentification forte dans un contexte hautement sécurisé
- Certificats pour la signature de documents : destinés à la

réalisation et la vérification de signatures de documents
électroniques
- Certificats pour le chiffrement de données : employés lors

du chiffrement de données et des clés de session
- Certificats pour la signature de certificats : destinés à la

signature d’autres certificats
Attributs des porteurs et des CA
- Subject Alternative Name : spécifie une ou plusieurs informations sur

le propriétaire du certificat (Adresse e-mail, nom de domaine, adresse
IP, …)
- Issuer Alternative Name : permet de donner un nom spécifique à une

CA
Contraintes liées à la co-certification
- Basic Constraints : permet de savoir si un propriétaire de certificat

est une CA ou non
- Name Constraints : n’est utilisé que dans les co-certificats en

permettant aux administrateurs de restreindre les domaines de
confiance
- Policy Constraints : s’applique aux co-certificats en permettant de

spécifier les politiques de certification acceptables pour les certificats
dépendants du co-certificat

X509 certificate - version: 1

certificate serial no: 199609130001
AC algorithm: ISA_MD4_RSADIS9796
AC public key name : AC_TST
AC distinguished name : /C=TG/L=Kara/O=ORG1/CN=USERI
Owner algorithm: ISA_RSA
Exemple Owner algorithm parameter: USER1
Public Key modulus:
de ff ff ff ff 1c dd b3 86 2c e9 93 d6 9b b2 37 c3
92 3c cb 66 de 3d db 6c 89 f9 59 d4 20 0b 5b d1
certificat ef f2 la a4 c7 d1 9c d3 a4 35 b6 4f 38 24 cd 5d
e1 38 f8 1c e5 6e ec cd 4e 5a f0 f5 fe ac d8 f1
X509 Public Key exponent:
01 00 01
AC identification: 1000000000001
Owner identification : 1234567890123
Signature algorithm parameter: AC_TST
Signature:
57 85 d4 3b 4a 0e 29 8a b6 dc 1d 6b 81 8a 90 89
f2 84 0b 23 99 c8 ec 69 60 53 8f 56 7e 64 9d 9f
6c c8 43 30 fc f2 6c a8 77 0b 5d be d9 be d9 7f
bc 57 85 0b 0d 78 44 57 ca 4c 8c 3f d1 62 f9 72
Standards PKCS (Public Key Cryptography Standards)
- Ensemble de standards pour la cryptographie à

clé publique
- Développés par un consortium RSA, Sun,

Apple, Microsoft, DEC, Lotus et le MIT
- Parmi les algorithmes supportés : RSA, Diffie-

Hellman
*
*
Standards PKCS
*
*
III – Autorité de certification (1)

Définition :
- Organisation qui délivre des certificats électroniques et qui
joue le rôle de tiers de confiance (attaque du type Man-in-the-
middle)
- Autorité de confiance qui signe un certificat contenant
l’identité et la clé publique après avoir vérifié l’identité du porteur
du certificat
Caractéristiques :
- Possède elle-même un certificat (autosigné ou délivré par une
autre CA)
- Utilise sa clé privée pour signer des certificats et donc se
porte garante de l’identité qui se présentera avec ce certificat
- Peut être :
+ Une organisation
+ Spécifique à un corps de métier
+ Une institution
- Selon la confiance placée en elle, les certificats délivrés

par une CA auront un champ d’application plus ou moins
important
Relations de confiance entre CA
Il existe deux types de certification :

- Certification hiérarchique : modèle de confiance centralisé car
toute la confiance repose sur une CA appelée CA mère ou CA
racine
- Certification croisée (Cross-certification) : utile pour créer

une confiance entre deux organismes ayant chacun une CA qui
n’appartient pas à la même arborescence
Certification hiérarchique
La CA mère
ou racine qui
habilite les
autres CA à
délivrer des
Sous – autorités certificats
de certification
Une autorité de certification habilite une autre

autorité de certification en signant sa clé publique
Certification croisée
???
• Les CA se font mutuellement confiance dans leur domaine de confiance

• Dans ce cas chaque CA crée un certificat en signant la clé publique de l’autre

Modèles de confiance
Modèle
Modèle centré utilisateur
Modèle
hiérarchique strict •
Web ••
• ••
Mère d’Awa••
• •
CAx CAy CAz
••Sœur d’Awa •
• • • • •
Awa •• Brigitte
• • • • • •• Baba
• •• Ami d’Awa
• • •• • •• • •• • • • • • • • • •• • • Frère d’Awa
IV – Infrastructures de gestion de clés (1)
C’est quoi ?
- Connues sous l’acronyme anglais PKI « Public Key
Infrastructure », i.e Infrastructure de Clés Publiques (ICP) ou
Infrastructures de Gestion de Clés (IGC)
- Un système exhaustif de politiques, de processus et de

technologies permettant aux utilisateurs d'un réseau
d'échanger de l'information de manière sécurisée
- Une structure technique et administrative permettant la mise

en place, lors de l’échange de clés, de relations de confiance
entre différentes entités (morales, physiques ou logiques)
- Leurs rôles
+ Assurer la gestion des certificats à clés publiques
+ Protéger la confidentialité des clés qu’elle peut être
amenée à gérer
- Les services de base proposés

+ Authentification
+ Intégrité et non répudiation
+ Confidentialité
+ Contrôle d’accès
Principaux acteurs d’une IGC

- L’autorité d’enregistrement (RA, Registration Authority)
- L’autorité de certification (CA, Certification Authority)
- L’opérateur de certification (CO, Certification Operator)
- Les porteurs ou propriétaires de certificats
- Les utilisateurs de certificats
- Les services de publication des certificats
Autorité de certification
Opérateur de certification Dans l’infrastructure de confiance
Hors de l’infrastructure de confiance
Relation obligatoire
Relation optionnelle

Autorité d’enregistrement
- Organisme responsable de l’identification et de l’authentification des
entités qui demandent un certificat
+ Ne signe pas les certificats
+ Examine les pièces justificatives de l’entité qui demande le
certificat
+ Ne transmet la demande de certification à la CA que si elle
considère que les pièces justificatives sont conformes à l’usage qui
veut être fait du certificat et conformément à la politique d’usage du
certificat
- Possède une paire de clés certifiées pour s’authentifier auprès de
l’autorité de certification et pour accomplir les tâches qui lui incombent
- Dispose en général de 2 interfaces : coté demandeurs et coté CA

Autorité de certification
- Autorité morale jouant le rôle du tiers de confiance

- Définit les procédures au sein de la PKI et vérifie leur respect
- Décide de l’attribution, la génération, la révocation ou la suspension
des certificats
- Donne l’ordre de génération du certificat à l’opérateur de certification
- Possède des paires de clés certifiées pour s’authentifier auprès des
autres entités auxquelles elle est en relation dans la PKI
- Dispose en général de 2 ou 3 interfaces : coté autorité
d’enregistrement, côté opérateur de certification et éventuellement côté
service de publication

Opérateur de certification
- Organisme qui a la responsabilité technique de l’élaboration des

certificats, leur distribution, leur révocation,…
- Gère en collaboration avec la RA les cycles de vie des certificats
- Pour des raisons de sécurité, il n’est en général pas connecté au

réseau

Service de publication
- Organisme ayant la responsabilité technique des annuaires d’accès

libre
- Ces annuaires hébergent le certificat de la CA, les certificats délivrés

par la CA et la liste des certificats révoqués
- Annuaires LDAP en général utilisés

Fondements de la confiance dans une PKI
- Aspects performance : moyens techniques de sécurité

- Aspects qualité :
+ gestion
+ traçabilité
+ sauvegarde
+ plan de secours en cas d’incidents, etc.
- Trois composantes primordiales :
+ technique
+ humaine
+ organisationnelle

Indicateurs de la confiance dans une PKI
- La politique de certification associée à la mise en place de la PKI (CP)
- Les énoncés de pratiques de certification (CPS, pour Certificate

Practice Statement) appliqués
- La conformité de la PKI aux documents formalisant un niveau de

sécurité selon les critères d’évaluation (Profil de protection)

Politique de certification CP (1)
-Correspond à un ensemble de règles indiquant ce pour quoi le
certificat est applicable et par qui, et quelles sont les conditions de sa
mise en œuvre au sens juridique, administratif et technique
- Une CP indique le niveau d’assurance qu’on attribue à un certificat
- Les facteurs pris en compte dans une CP :
+ Les utilisateurs
+ Les moyens de collecte de l’information
+ La durée de vie de certificats et le moyen de leur distribution
+ Le support matériel/logiciel des certificats
+ Le recouvrement des clés
+ La sécurité
+ Les services nécessitant une haute disponibilité
+ L’impact sur les structures existantes
+ La formation et l’information des utilisateurs

Politique de certification (2)
- Précise les règles de gestion des clés et des certificats
+ Support de la clé privée (carte à puce, fichier sur le disque)
+ Gestion des historiques des clés de chiffrement
- Fixe les procédures à appliquer et les contextes d’application
+ Identification des cas de gestion des clés et certificats (vol, détérioration,
perte)
+ Rédaction des énoncés de pratiques de certification pour chaque cas
+ Audit des outils logiciels pour les failles techniques
+ Certification du code utilisé
- S’inscrit dans la politique de sécurité générale
+ Définition de la confidentialité des informations …

Enoncés de pratiques de certification
- Certificate Pratice Statement (CPS) décrit exhaustivement la façon
dont la totalité des exigences énoncées dans la politique de certification
seront mises en place et observées par la CA
- Description détaillée de l'implantation effective des services offerts et

des procédures associés à la gestion du cycle de vie des certificats
- Une CA n’ayant qu’un seul CPS peut accepter plusieurs politiques de

certification
- Plusieurs CA dont les CPS ne sont pas identiques peuvent accepter

une même politique de certification

Cycle de vie d’un certificat
1. Génération des clés 8. Expiration/péremption
du certificat ou des clés
2. Demande du certificat 7. Suppression ou

révocation du certificat
3. Validation des justificatifs 6. Utilisation du certificat
4. Émission du 5. Validation du certificat

certificat

Gestion d’un certificat
- Enregistrement de demande et vérification des critères pour l’attribution d’un certificat :
l’identité du demandeur est vérifiée ainsi que le fait qu’il soit bien en possession de la clé privée
associée
- Création des certificats
- Diffusion des certificats
- Archivage des certificats pour assurer la sécurité et la pérennité
- Renouvellement des certificats en fin de période de validité
- Suspension de certificats pouvant être utile si le propriétaire estime ne pas avoir besoin
temporairement de son certificat ; cependant cette fonction n’est pas aisée à mettre en oeuvre ;
elle est essentiellement administrative et il n’existe pas de standard d’implémentation
- Révocation de certificats sur date de péremption, perte, vol ou compromission de clés
- Création et publication des listes de certificats révoqués en cas de révocation du certificat,
en cas de date de fin de validité atteinte, clé privée divulguée ou perdue ou compromise

Génération de clés privées
- Scénario 1 :
+ Les demandeurs de certificat génèrent eux-mêmes leur clé privée
+ Garantit à l’utilisateur que personne d’autre ne dispose de sa clé (à condition qu’il ait confiance dans
les outils de génération)
+ Le demandeur doit communiquer sa clé publique à la CA pour avoir un certificat
+ Scénario recommandé pour une clé servant à la signature et dont l’unicité assure la non répudiation
- Scénario 2 :
+ La CA génère la clé privée mais copie et remet les clés de façon sûre à l’utilisateur
+ Solution simple pour l’utilisateur
+ Contraire au principe de non répudiation (sauf si recours à une procédure de non conservation de
copies de clés)
+ Scénario recommandé pour une clé servant au chiffrement et pouvant être séquestrée

Révocation de certificat
- A lieu lorsque :
+ Compromission de la clé privée (perte, vol, …)
+ Modification des données d’authentification,
+ Modification des droits, …
- Vérification du certificat d’une entité effectuée par ses correspondants
 Les correspondants d’une entité doivent pouvoir accéder à l’annuaire
associé à la PKI gérant les informations sur la validité du certificat de l’entité
- Le standard X509 permet la publication périodique dans le répertoire de la

CA des CRL signées par la CA

Format d’une CRL
Une CRL contient :
+ L’algorithme de signature utilisé par la CA pour signer cette liste
+ L’émetteur
+ La date de mise à jour
+ La date de la prochaine mise à jour (optionnel)
+ La liste de couples (n° de série, date de révocation) listant les certificats

révoqués
+ La signature de l’émetteur

Exemple de CRL
Certificate Revocation List (CRL):
Version: 1 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: /C=FR/L=Paris/O=Michel\xE9 Riguidel/OU=Certificate
Authority/CN=ENST CA/Email=ca@enst.fr
Last Update: Oct 6 2:10:15 2003 GMT
Next Update: Nov 5 2:10:15 2003 GMT
Revoked Certificates:
Serial Number: 05
Revocation Date: Oct 6 2:10:21 2003 GMT
Signature Algorithm: md5WithRSAEncryption
d5:92:09:ec:da:9f:cd:46:bc:ef:05:85:f7:b8:01:b3:f5:60: ...
Approches de gestion de la revocation
- Mécanisme de publication périodique :méthode la plus utilisée
- Mécanisme de révocation en ligne : usage d’un protocole

comme OCSP (Online Certificate Status Protocol)
Principes de fonctionnement de OCSP
Protocole vérifiant l’état du certificat en employant un mécanisme de

requête & réponse entre un client OCSP et un répondeur OCSP
États possibles
Bon
certificat
Révoqué
Inconnu
Services avancés d’une IGC (1)

Service d’estampillage :
+ Important d’un point de vue juridique
+ Horodater les documents électroniques et garantir l’authenticité de la date et de l’heure d’une
transaction électronique
Service de levée de litiges :
+ Autorité capable de gérer l’exploitation et l’utilisation de la PKI
+ En cas de litiges, ce service s’occupe de trouver les preuves
Centre d’évaluation de la sécurité :
+ Audite et contrôle les différents composants de la PKI
+ A comme tâches courantes :
- Vérification de la validité des listes de révocation
- Vérification des méthodes de création et d’attribution des certificats

Services avancés d’une IGC (2)
- Service de séquestre et de recouvrement de clé :
+Archivage et recouvrement des clés privées de chiffrement en cas de problèmes
Par exemple :
Perte de la clé de déchiffrement
Oubli du code de désactivation de la clé privée de déchiffrement
Des poursuites judiciaires obligeant la société à présenter les données chiffrées,
etc.
- Techniques de sauvegarde des clés de chiffrement :
+ Génération des paires de clés des abonnés par la CA qui garde une copie des clés
privées
+ Génération des paires de clés par les abonnés et remise d’une copie à la CA ou la RA
lors de la demande d’un certificat, une solution risquée et nécessitant un protocole très
sécurisé entre l’abonné et l’autorité
V – Aspects juridiques (1)

En France
+ Le chiffrement est contrôlé par l’État
+ Une législation autorise maintenant n'importe quelle personne (physique ou
morale) à utiliser un logiciel de chiffrement à condition de déposer les clés
auprès d'un organisme agréé par la DCSSI (Direction Centrale de Sécurité
des Systèmes d'Information)
+ La DCSSI peut en cas de doute remettre les clés de chiffrement à la
justice
+ La DCSSI ne dépend pas de l'État
+ L’État doit mettre en place une procédure judiciaire pour pouvoir contrôler
des messages chiffrés
+ Loi du 13 mars 2000 reconnaît la signature électronique. La démonstration de
la fiabilité du procédé de signature est à la charge du signataire

En France
 Le deuxième alinéa de l’article 1316-4 :
 « lorsqu’elle est électronique, elle consiste en l’usage d’un procédé

 fiable d’identification
 garantissant son lien avec l’acte auquel elle s’attache »
 « la fiabilité de ce procédé est présumée, jusqu’à preuve
 du contraire, lorsque la signature électronique est créée,
 l’identité du signataire assurée et l’intégrité de l’acte garantie,
 dans des conditions fixées en Conseil d’Etat »

En France
- Décret du 30 mars 2001 : la signature est présumée fiable si le dispositif de
signature est certifié conforme à un certain nombre d’exigences définies dans
le décret et si les certificats utilisés sont qualifiés
- La signature électronique est sécurisée :
Propre au signataire
Moyens de création sous son contrôle exclusif
Garantie d’un lien sûr avec le document auquel elle s’attache
- La signature électronique est établie grâce à un dispositif sécurisé de
création de signature électronique qui répond à des exigences :
Clés uniques et non prédictibles par calcul
Confidentialité assurée
Clés protégées contre des tiers, etc.
- La vérification de la signature repose sur l’utilisation d’un certificat
électronique qualifié

En France
- Décret du 18 avril 2002 : description du processus de certification

des produits et systèmes de signature et définition des conditions
d’agrément des organismes chargés de l’évaluation (sous contrôle de la
DCSSI)
- Arrêté du 31 mai 2002 : description du processus de qualification

des partenaires de certification électronique et définition des
conditions d’agrément des organismes d’évaluation des prestataires
(l’IGC est qualifiée pour une période de un an maximum, la DCSSI n’a
qu’un rôle consultatif)

Au Burkina Faso par exemple
- Loi n° 10-2004/AN du 20 avril 2004 portant protection des données à

caractère personnel
- Mise en place de la Commission de l’Informatique et des Libertés (CIL)

pour encadrer les différents traitements en vue de garantir le respect de la vie
privée et des renseignements d’ordre personnel des individus
- Loi n° 061-2008/AN du 27 novembre 2008 portant réglementation

générale des réseaux et services de communications électroniques au
Burkina Faso

- Loi n° 045-2009/AN du 10 novembre 2009 portant réglementation des

services et transactions électroniques (document électronique et leur
valeur juridique, signature électronique, archivage électronique)
- Loi n° 011-2010/AN du 30 mars 2010 portant réglementation de la gestion

des noms de domaine sous le domaine de premier niveau .bf

- Le code pénal de 1996 traitant de

o l’accès et le maintien frauduleux à un système informatique
o l’entrave au fonctionnement d’un système informatique
o l’introduction frauduleuse des données dans un système informatique
o la modification frauduleuse des données informatiques
o la production et l’usage des données frauduleusement obtenues
o la participation à une association formée ou à une entente en vue de commettre
des infractions
VI – Aspects économiques (1)
- Déploiement difficile et coûteux en temps et en argent
- Mise en place nécessitant une mobilisation de ressources très

variées : du service juridique au relations humaines
- Une PKI c’est à peu près 80% d’organisation et 20% de technique
- Le véritable défi du déploiement est d’ordre organisationnel
VI – Aspects économiques (2)
- Différents coûts :
+ Coûts du produit à déployer
+ Coûts d’installation
+ Coûts de gestion des certificats (création, distribution,
renouvellement, …)
+ Coûts liés aux travaux d’ingénierie pour assurer
l’interconnexion entre la PKI et les différentes applications dans
l’entreprise, etc.
- Coût d’exploitation élevé :
+ Respect des exigences de sécurité
+ Nécessite une infrastructure réseau, annuaire, etc.
+ Nécessite un personnel compétent
- Complexité du déploiement : risques et problèmes importants
Fin du chapitre
Questions ?

Chapitre4 Infrastructures Pki Master SD ESI Fev2022

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre4 Infrastructures Pki Master SD ESI Fev2022

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 4

Infrastructures de clés publiques

III – Autorité de certification

IV – Aspects juridiques de la cryptographie

I – Problématique de la gestion des clés

Pour assurer une sécurité dans le réseau, il faut que

II – Le certificat numérique (1)

- Objet : garantir, cautionner une clé publique

- Est délivré par un tiers de confiance appelé autorité de

- Est signé (au sens signature numérique) par la CA qui possède

- Rôle du certificat : Assurer la non-usurpation d’identité

II – Le certificat numérique (2)

Signé par la clé

Clé publique Clé privée

Chiffrer Vérifier les Déchiffrer Signer

II – Le certificat numérique (3)

II – Le certificat numérique (4)

Procédure de vérification de la validité d’un certificat

2. Vérifier que le certificat n’est pas révoqué en utilisant

3. Vérifier que la CA est une CA de confiance

4. Vérifier la signature du certificat

II – Le certificat numérique (5)

Vérification de la signature du certificat

Certificat de Awa Fonction de hachage appliquée à la

Certificat non oui Certificat

II – Le certificat numérique (6)

- Standards PKCS (Public Key Cryptography Standards) :

II – Le certificat numérique (7)

Standards de certificats X509

- Historique : format standardisé par l’ISO à 3 reprises

II – Le certificat numérique (8)

II – Le certificat numérique (9)

Principaux champs d’un certificat X509

II – Le certificat numérique (10)

Champs optionnels d’un certificat X509

II – Le certificat numérique (11)

Informations sur les clés d’un certificat X509

II – Le certificat numérique (12)

Informations sur l’utilisation du certificat X509

- Certificate Policies : spécifie la politique de

- Policy Mappings : ne concerne que les co-certificats

II – Le certificat numérique (13)

Principaux usages du certificat X509

- Certificats pour la signature de documents : destinés à la

- Certificats pour le chiffrement de données : employés lors

- Certificats pour la signature de certificats : destinés à la

II – Le certificat numérique (14)

Attributs des porteurs et des CA

- Subject Alternative Name : spécifie une ou plusieurs informations sur

- Issuer Alternative Name : permet de donner un nom spécifique à une

II – Le certificat numérique (15)

Contraintes liées à la co-certification

- Basic Constraints : permet de savoir si un propriétaire de certificat

- Name Constraints : n’est utilisé que dans les co-certificats en

- Policy Constraints : s’applique aux co-certificats en permettant de

II – Le certificat numérique (16)

II – Le certificat numérique (17)

Standards PKCS (Public Key Cryptography Standards)

- Ensemble de standards pour la cryptographie à

- Développés par un consortium RSA, Sun,

- Parmi les algorithmes supportés : RSA, Diffie-

II – Le certificat numérique (18)

III – Autorité de certification (1)