Fonctionnement basique d’une PKI

PKI

Présentation des concepts

PKI interne vs PKI externe

2
PKI

Présentation des concepts

3
Présentation des concepts
- Définition et rôle d’une PKI

Infrastructure à clés publiques

 Une infrastructure à clés publiques (ICP) ou Public Key Infrastructure (PKI), est un ensemble
de composants physiques (des ordinateurs, des équipements cryptographiques logiciels ou
matériel ou encore des cartes à puces), de procédures humaines (vérifications, validation) et de
logiciels (système et application) en vue de gérer le cycle de vie des certificats numériques ou
certificats électroniques

Rôle d’une PKI

 Enregistrement des utilisateurs (ou équipements informatique)
 Génération de certificats
 Renouvellement de certificats
 Révocation de certificats
 Publication de certificats
 Publication des listes de révocation (comprenant la liste des certificats révoqués)
 Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à la
PKI)
 Archivage
 Séquestre et recouvrement des certificats (option)
Présentation des concepts
- Les composantes d’une PKI Microsoft

Certificats
 Les certificats sont la base d’une PKI
 Un certificat représente l’identité électronique d’un utilisateur, d’un ordinateur, d’un périphérique
réseau ou d’un service
 Un certificat est un ensemble d’informations signé électroniquement
 Un certificat est associé à une paire de clefs (clef privée et clef publique)
 Les certificats sont délivrés par une Autorité de Certification (CA)

Autorité de Certification (CA)

 Une CA est une composante essentielle d’une PKI Microsoft
 Une CA vérifie l’identité et les permissions d’un demandeur de certificat
 Une CA délivre les certificats aux demandeurs (le certificat obtenu est relatif à la demande émise)
 Une CA gère la révocation des certificats (publication de la CRL)

Liste de Révocation de Certificats (CRL)

 Liste publiée des certificats révoqués (considérés invalides quelle que soit leur date de validité)
Présentation des concepts
- Architecture d’une PKI Microsoft

Types de CA
 CA racine : CA la plus élevée dans une hiérarchie, c’est l’autorité de confiance d’une PKI
 CA intermédiaire : CA subordonnée de la CA racine, souvent configurée comme CA émettrice
de stratégies pour la publication des certificats
 CA de publication : CA émettant les certificats généralement placée au plus bas niveau d’une
hiérarchie, soumise au stratégies émises par les CA intermédiaires

Niveau de hiérarchie
 Tiers unique : réservé au petites structures, la CA racine et également CA de publication
 Deux tiers : une CA racine hors ligne et une ou plusieurs CA de publication
 Trois tiers : modèle le plus utilisé, une CA racine et une ou plusieurs CA intermédiaires hors
ligne et une ou plusieurs CA de publication
 Quatre tiers : reprends le modèle trois tiers avec un niveau de CA intermédiaires en ligne pour
répondre à des besoins structurels d’entreprise

Nombre de CA par niveau

 Déterminé par le nombre et le type de certificats à emmètre, la structure de l’entreprise et les
moyens de publication des certificats
Présentation des concepts
- Architecture d’une PKI Microsoft

Exemple de hiérarchie
Présentation des concepts
- Sécurisation d’une PKI

Points de configuration pour la sécurisation d’une CA

 Minimisation du rôle serveur, autant que possible le rôle de CA doit être installé sur un serveur
dédié
 Activation de l’audit de la CA
 Utilisation de BitLocker pour protéger les disques du serveur hébergeant le rôle de CA
 Activer la séparation des rôles sur la CA (administrateurs, gestionnaires de certificats, auditeurs,
opérateurs de sauvegarde)

Sécurisation physique d’une CA

 Stockage dans une pièce sécurisée de la CA (accès physique restreint)
 Mise hors ligne de la CA racine et stockage sous coffre de tout ou partie du serveur (stockage des
disques durs seulement)

Protection de la clef privée d’une CA

 Stockage de la clef privée de la CA sur un périphérique à authentification à deux facteurs (tel
qu’une carte à puce)
 Stockage de la clef privée de la CA sur un boitier HSM (Hardware Security Module)
Présentation des concepts
- Services apportés

Authentification
 Un certificat peux permettre de garantir l’identité d’un utilisateur, d’un ordinateur, d’un
périphérique réseau ou d’un service
 Ce certificat peut être échangé numériquement ou stocké sur un support physique (carte à puce,
clef USB, …)

Encryption
 Un certificat peut être utiliser pour l’encryption de données tels que des documents, des emails,
des systèmes de fichiers ou des paquets réseaux

Signature électronique
 Un certificat peut permettre de sécuriser des échanges sur Internet en signant les données
échangés
 Un certificat peut permettre de signer un code source ou un email pour garantir l’identité de
l’auteur (non-répudiation) ou garantir l’intégrité des informations échangés
PKI – Workshop Septembre 2011

PKI interne vs PKI externe

10
PKI interne vs PKI externe
- Différences d’infrastructure

Le cloud comme CA, la PKI en ligne n’est pas une utopie

 Plusieurs éditeurs tels que VeriSign, GlobalSign, GeoTrust ou Thawte offre des services
disponibles dans le cloud (espace de gestion de PKI en ligne)
 Offre l’avantage d’une publication rendue plus simple par un tiers de confiance
 Evite l’achat de matériel pour la sécurisation des clefs privées
 Réduit la nécessité de formation d’un personnel qualifié pour la gestion de la PKI

Type de services disponibles

 Certificats SSL
 Certificats SSL EV (Extended Validation)
 Certificats tiers d’émission de certificats (signature de CA)
 Certificats de signature de code
 PKI intégrales (Certificats X.509) avec gestion du cycle de vie
PKI interne vs PKI externe
- Gestion des coûts associés à la PKI

PKI Interne
 Coût de licences des CA (Licences serveurs Windows ou Linux)
 Formation du personnel à l’émission et à la gestion du cycle de vie des certificats
 Achat optionnel de boitiers HSM

PKI externe
 Achat de certificats SSL (compter environ 50€ à 500€ par an selon le service)
 Achat de certificat de CA (compter environ 2500€ à 4500€)
 Hébergement d’un service de PKI en ligne (compter un abonnement annuel pour le service plus
un coût par certificat émis)