Académique Documents
Professionnel Documents
Culture Documents
05 – Infrastructure PKI
- Définitions
Rappel PKI
Clé : Une quantité utilisée en cryptographie pour chiffrer/déchiffrer et signer/vérifier des données.
Clé Publique : quantité numérique, attachée à une ressource ou un individu, qui la distribue aux autres afin qu'ils puissent lui envoyer des données chiffrées ou
déchiffrer sa signature.
Clé Privée : quantité numérique secrète attachée à une ressource ou à un individu, lui permettant de déchiffrer des données chiffrées avec la clé publique
correspondante ou d'apposer une signature au bas de messages envoyés vers des destinataires.
Bi-clé : couple de clés composé d'une clé privée et d'une clé publique
SSL : (Secure Socket Layer), c'est un protocole de sécurisation conçu par Netscape qui se situe entre la couche transport (TCP) et les protocoles de la
couche application.
Il assure les services de sécurité suivantes : confidentialité, 'intégrité et 'authentification du serveur et du client.
Rappel PKI
Autorité de certification : entité qui crée des certificats. C'est une autorité morale qui définit les règles d'entrée des ressources et des individus dans la PKI. En pratique,
il s'agit de définir les critères et les modalités d'attribution de certificats numériques.
Autorité d'enregistrement : entité chargée de recueillir les demandes de certificats et de contrôler l'identité de la personne ainsi que les critères d'attribution.
Certificat : Une identité électronique qui est émise par une tierce partie de confiance pour une personne ou une entité réseau. Chaque certificat est signé avec la clé
privée de signature d'une autorité de certification. Il garantit l'identité d'un individu, d'une entreprise ou d'une organisation. En particulier, il contient la clé publique de
l'entité et des informations associées à cette entité.
Certificat Auto signé : un certificat auto signé contient comme tout certificat une clé publique. Sa particularité réside dans le fait que ce certificat est signé avec la clé
secrète associée. Dans ce cas précis, l'autorité de certification est donc le détenteur du certificat.
Certificat X.509 : Il s'agit d'une norme sur les certificats largement acceptée et conçue pour supporter une gestion sécurisée et la distribution des certificats
numériquement signés sur le réseau Internet sécurisé. Le certificat X.509 définit des structures de données en accord avec les procédures pour distribuer les clés
publiques qui sont signées numériquement par des parties tierces.
Certificat X.509v3 : Les certificats X.509v3 ont des extensions de structures de données pour stocker et récupérer des informations pour les applications, des
informations sur les points de distribution des certificats, des CRLs et des informations sur les politiques de certification. Chaque fois qu'un certificat est utilisé, les
capacités de X.509v3 permettent aux applications de vérifier la validité de ce certificat. Il permet aussi à l'application de vérifier si le certificat est dans une CRL. Ces
certificats et CRLs sont normalisés auprès de l'IETF dans la RFC 2459.
Chiffrement :
Il y a deux types de chiffrement possible :
- Symétrique: DES;AES
- Asymétrique: RSA
Hachage :
Une fonction de hachage permettra d’associer à un message, à un fichier ou à un répertoire, une empreinte unique calculable et vérifiable par tous. Cette empreinte est
souvent matérialisée par une longue suite de chiffres et de lettres précédées du nom de l’algorithme utilisé, par exemple « SHA2» ou « SHA256 ».
Il ne faut pas confondre le chiffrement, qui permet d’assurer la confidentialité, c’est-à-dire que seules les personnes visées peuvent y avoir accès, et le hachage qui
permet de garantir que le message est intègre, c'est-à-dire qu’il n’a pas été modifié.
Il existe aussi des fonctions de hachage à clé qui permettent de rendre le calcul de l’empreinte différent en fonction de la clé utilisée. Avec celles-ci, pour calculer
une
empreinte, on utilise une clé secrète. Pour deux clés différentes l’empreinte obtenue sur un même message sera différente. Donc pour qu’Alice et Bob calculent la
même
empreinte, ils doivent tous les deux utiliser la même clé.
C’est parmi ces fonctions de hachage à clé que l’on trouve celles utilisées pour stocker les mots de passe de façon sécurisée.
Signature :
Dans la signature nous avons une bi-clé : une clé (privé) pour la création de siganture et une clé (publique) pour la vérification de signature, pour signer un message voici
comment se passe:
1) à l'aide de la clé privée de signature de l'expéditeur, une empreinte connue sous le nom "message digest" est générée par hachage en utilisant l'algorithme
SHA-1 ou MD5, le plus utilisé étant SHA-1. Cette empreinte est ensuite cryptée avec cette clé privée de signature.
2) on joint au message l'empreinte et le certificat contenant la clé publique de signature.
3) le destinataire vérifie la validité du certificat et sa non révocation dans l'annuaire.
4) le destinataire transforme l'empreinte avec la clé publique de signature ainsi validée. Cette opération permet de s'assurer de l'identité de l'expéditeur.
5) ensuite le destinataire génère une empreinte à partir de message reçu en utilisant le même algorithme de hachage. Si les deux empreintes sont identiques,
cela signifie que le message n'a pas été modifié.
Donc la signature vérifie bien l'intégrité du message ainsi que l'identité de l'expéditeur.
Définition PKI
PKI (Public Key Infrastructure) est un système de gestion des clefs publiques qui permet de gérer des listes importantes de clefs publiques et d'en assurer la fiabilité, pour
des entités généralement dans un réseau. Elle offre un cadre global permettant d'installer des éléments de sécurité tels que la confidentialité, l'authentification,
l'intégrité et la non-répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur.
Une infrastructure à clé publique utilise des mécanismes de signature et certifie des clés publiques qui permettent de chiffrer et de signer des messages ainsi que des
flux de données, afin d'assurer la confidentialité, l'authentification, l'intégrité et la non-répudiation.