{"id":1012,"date":"2011-03-01T12:31:53","date_gmt":"2011-03-01T10:31:53","guid":{"rendered":"http:\/\/www.laurentmarot.fr\/wordpress\/?p=1012"},"modified":"2013-10-04T16:48:54","modified_gmt":"2013-10-04T14:48:54","slug":"infrastructure-a-cles-publiques","status":"publish","type":"post","link":"https:\/\/www.laurentmarot.fr\/wordpress\/?p=1012","title":{"rendered":"Infrastructures \u00e0 cl\u00e9s publiques"},"content":{"rendered":"<div id=\"siteSub\">Trop souvent entendus :<\/div>\n<div>\n<ul>\n<li>le consultant s\u00e9cu <em>\u00ab\u00a0Comment \u00e7a&#8230;, votre entreprise n&rsquo;a pas de PKI ?\u00a0\u00bb<\/em><\/li>\n<li><em> <\/em>mais aussi le bon techos qui a install\u00e9 en 7 clics sa CA Microsoft sous Windows 2003<em> \u00ab\u00a0Oui, c&rsquo;est moi qui ai mis en place la PKI, je ne vais pas m&rsquo;\u00e9tendre c&rsquo;est tr\u00e8s compliqu\u00e9\u00a0\u00bb<br \/><\/em><\/li>\n<\/ul>\n<\/div>\n<div><em><br \/> <\/em><\/div>\n<div>Pour essayer d&rsquo;apporter un peu de lumi\u00e8re sur un grand classique des sujets connexes des r\u00e9unions IT, je reformule ci-dessous un extrait d&rsquo;un <a title=\"Infrastructure \u00e0 cl\u00e9s publiques\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Infrastructure_%C3%A0_cl%C3%A9s_publiques\" target=\"_blank\">article de Wikip\u00e9dia<\/a>, l&rsquo;encyclop\u00e9die libre.<\/div>\n<p><strong>1- plusieurs appellations<\/strong> pour un m\u00eame outil :<\/p>\n<ul>\n<li><strong>Infrastructure \u00e0 Cl\u00e9s Publiques<\/strong> (ICP)<\/li>\n<li><strong>Infrastructure de Gestion de Cl\u00e9s<\/strong> (IGC)<\/li>\n<li><strong>Public Key Infrastructure<\/strong> (PKI)<\/li>\n<\/ul>\n<p><strong>2- d\u00e9finition<\/strong> : une ICP est un ensemble<\/p>\n<ul>\n<li>de composants physiques: des <a title=\"Ordinateur\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Ordinateur\">ordinateurs<\/a>, des \u00e9quipements cryptographiques logiciels ou mat\u00e9riel type <a title=\"Hardware Security Module\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Hardware_Security_Module\">HSM<\/a> ou encore des <a title=\"Carte \u00e0 puce\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Carte_%C3%A0_puce\">cartes \u00e0 puces<\/a><\/li>\n<li>de proc\u00e9dures humaines (v\u00e9rifications, validation)<\/li>\n<li>de <a title=\"Logiciel\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Logiciel\">logiciels<\/a> (syst\u00e8mes et applications) en vue de g\u00e9rer le cycle de vie des <a title=\"Certificat num\u00e9rique\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Certificat_num%C3%A9rique\">certificats num\u00e9riques<\/a>\u00a0aussi appel\u00e9s\u00a0<a title=\"Certificat \u00e9lectronique\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Certificat_%C3%A9lectronique\">certificats \u00e9lectroniques<\/a>.<\/li>\n<\/ul>\n<p><strong>3- remarque<\/strong> : la notion de PKI est souvent\u00a0 galvaud\u00e9e et\u00a0 pr\u00e9sent\u00e9e sous une forme complexe accessibles \u00e0 seuls quelques gourous de la technologie: Le traditionnel \u00e9cran de fum\u00e9e derri\u00e8re lequel certains informaticiens pas si\u00a0 experts que \u00e7a aiment \u00e0 se prot\u00e9ger. Attention, on oublie souvent l&rsquo;aspect <em>\u00ab\u00a0proc\u00e9dures humaines\u00a0\u00bb <\/em>sans quoi la PKI se limite souvent \u00e0 une brique technique n\u00e9buleuse permettant une g\u00e9n\u00e9ration ponctuelle de certificats auto-sign\u00e9s.<\/p>\n<p>Une infrastructure \u00e0 cl\u00e9s publiques d\u00e9livre les services suivant pour le compte de ses utilisateurs:<\/p>\n<ul>\n<li>enregistrement des utilisateurs (ou \u00e9quipement informatique)\u00a0;<\/li>\n<li>g\u00e9n\u00e9ration de certificats\u00a0;<\/li>\n<li>renouvellement de certificats\u00a0;<\/li>\n<li>r\u00e9vocation de certificats\u00a0;<\/li>\n<li>publication de certificats\u00a0;<\/li>\n<li>publication des listes de r\u00e9vocation (comprenant la liste des certificats r\u00e9voqu\u00e9s)\u00a0;<\/li>\n<li>identification et authentification des utilisateurs et \u00e9quipements (administrateurs ou utilisateurs qui acc\u00e8dent \u00e0 l&rsquo;IGC)\u00a0;<\/li>\n<li>archivage, s\u00e9questre et recouvrement des certificats (option).<\/li>\n<\/ul>\n<h3>R\u00f4le d&rsquo;une infrastructure de gestion des cl\u00e9s<\/h3>\n<p>Une IGC d\u00e9livre des <a title=\"Certificats num\u00e9riques\" href=\"http:\/\/www.laurentmarot.fr\/wordpress\/?p=1024\">certificats num\u00e9riques<\/a>. Ces certificats permettent d&rsquo;effectuer des op\u00e9rations cryptographiques, comme le <strong>chiffrement<\/strong> et la <strong>signature num\u00e9rique<\/strong> qui offrent les garanties suivantes lors des transactions \u00e9lectroniques\u00a0:<\/p>\n<ul>\n<li><em><a href=\"http:\/\/fr.wikipedia.org\/wiki\/Confidentialit%C3%A9\">confidentialit\u00e9<\/a><\/em> : seul le destinataire (ou le possesseur) l\u00e9gitime d&rsquo;un bloc de donn\u00e9es ou d&rsquo;un message pourra en avoir une vision intelligible\u00a0;<\/li>\n<li><em><a href=\"http:\/\/fr.wikipedia.org\/wiki\/Authentification\">authentification<\/a><\/em> : lors de l&rsquo;envoi d&rsquo;un bloc de donn\u00e9es ou d&rsquo;un message ou lors de la connexion \u00e0 un syst\u00e8me, on conna\u00eet s\u00fbrement l&rsquo;identit\u00e9 de l&rsquo;\u00e9metteur ou l&rsquo;identit\u00e9 de l&rsquo;utilisateur qui s&rsquo;est connect\u00e9\u00a0;<\/li>\n<li><em><a href=\"http:\/\/fr.wikipedia.org\/wiki\/Int%C3%A9grit%C3%A9\">int\u00e9grit\u00e9<\/a><\/em> : on a la garantie qu&rsquo;un bloc de donn\u00e9es ou un message exp\u00e9di\u00e9 n&rsquo;a pas \u00e9t\u00e9 alt\u00e9r\u00e9, accidentellement ou intentionnellement\u00a0;<\/li>\n<li><em><a href=\"http:\/\/fr.wikipedia.org\/wiki\/Non-r%C3%A9pudiation\">non-r\u00e9pudiation<\/a><\/em> : l&rsquo;auteur d&rsquo;un bloc de donn\u00e9es ou d&rsquo;un message ne peut pas renier son \u0153uvre.<\/li>\n<\/ul>\n<p>Les IGC permettent l&rsquo;obtention de ces garanties par l&rsquo;application de processus de v\u00e9rification d&rsquo;identit\u00e9 rigoureux et par la mise en \u0153uvre de solutions cryptographiques fiables (\u00e9ventuellement \u00e9valu\u00e9es), conditions indispensables \u00e0 la production et \u00e0 la gestion des certificats \u00e9lectroniques.<\/p>\n<h3>Composants de l&rsquo;infrastructure de gestion des cl\u00e9s<\/h3>\n<p>Les IGC (comme d\u00e9finies par l&rsquo;<a title=\"IETF\" href=\"http:\/\/fr.wikipedia.org\/wiki\/IETF\">IETF<\/a>) se scindent en 4 entit\u00e9s distinctes\u00a0:<\/p>\n<ul>\n<li>L&rsquo;<strong><a href=\"http:\/\/fr.wikipedia.org\/wiki\/Autorit%C3%A9_de_certification\">autorit\u00e9 de certification<\/a><\/strong> (<em>AC <\/em>ou <em>Certificate Authoirity: CA<\/em>) qui a pour mission de<strong> signer les demandes de certificat<\/strong> (<strong>CSR<\/strong> : <em>Certificate Signing Request<\/em>) et de signer les <strong><a title=\"Listes de r\u00e9vocation\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Listes_de_r%C3%A9vocation\">listes de r\u00e9vocation<\/a><\/strong> (<strong> <\/strong><em>Certificate Revocation List: CRL<\/em>). Cette autorit\u00e9 est la plus critique.<\/li>\n<li>L&rsquo;<strong><a href=\"http:\/\/fr.wikipedia.org\/wiki\/Autorit%C3%A9_d%27enregistrement\">autorit\u00e9 d&rsquo;enregistrement<\/a><\/strong> (<em>AE<\/em> ou <em>Registering Authority: RA<\/em>) qui a pour mission de<strong> g\u00e9n\u00e9rer les certificats<\/strong>, et d&rsquo;effectuer les v\u00e9rifications d&rsquo;usage sur l&rsquo;identit\u00e9 de l&rsquo;utilisateur final (les certificats num\u00e9riques sont nominatifs et uniques pour l&rsquo;ensemble de l&rsquo;IGC).<\/li>\n<li>L&rsquo;<strong>autorit\u00e9 de d\u00e9p\u00f4t<\/strong> (<em>Repository<\/em>) qui a pour mission de stocker les certificats num\u00e9riques ainsi que les <a title=\"Listes de r\u00e9vocation\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Listes_de_r%C3%A9vocation\">listes de r\u00e9vocation<\/a> (CRL).<\/li>\n<li>L&rsquo;<strong>entit\u00e9 finale<\/strong> (<em>End Entity: EE<\/em>). L\u2019utilisateur ou le syst\u00e8me qui est le sujet d\u2019un certificat (En g\u00e9n\u00e9ral, le terme \u00ab\u00a0entit\u00e9 d\u2019extr\u00e9mit\u00e9\u00a0\u00bb\u00a0 est pr\u00e9f\u00e9r\u00e9 au terme \u00ab\u00a0sujet\u00a0\u00bb afin d\u2019\u00e9viter la confusion avec le champ <em>Subject<\/em>).<\/li>\n<\/ul>\n<p>En compl\u00e9ment, on pourra ajouter l&rsquo;autorit\u00e9 de s\u00e9questre, qui n&rsquo;est pas d\u00e9finie sp\u00e9cifiquement par l&rsquo;IETF\u00a0:<\/p>\n<ul>\n<li>L&rsquo;<strong><a href=\"http:\/\/fr.wikipedia.org\/wiki\/Autorit%C3%A9_de_s%C3%A9questre\">autorit\u00e9 de s\u00e9questre<\/a><\/strong> (<em>Key Escrow<\/em>), a un r\u00f4le particulier, en effet lorsqu&rsquo;on g\u00e9n\u00e8re des certificats de chiffrement, on a l&rsquo;obligation l\u00e9gale [en France] de fournir aux autorit\u00e9s un moyen de <a title=\"Chiffrement\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Chiffrement\">d\u00e9chiffrer<\/a> les donn\u00e9es <a title=\"Chiffrer\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Chiffrer\">chiffr\u00e9es<\/a> pour un utilisateur de l&rsquo;IGC. C&rsquo;est l\u00e0 qu&rsquo;intervient le s\u00e9questre, cette entit\u00e9 a pour mission de stocker de fa\u00e7on s\u00e9curis\u00e9e les cl\u00e9s de chiffrement qui ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9es par l&rsquo;IGC, pour pouvoir les restaurer le cas \u00e9ch\u00e9ant.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2>Pr\u00e9cautions pour le d\u00e9ploiement<\/h2>\n<p>Certains experts pensent aujourd&rsquo;hui que, dans un monde ouvert, il faut prendre certaines pr\u00e9cautions avant de d\u00e9ployer une <a href=\"http:\/\/fr.wikipedia.org\/wiki\/PKI\">PKI<\/a>, faute de quoi il y a des risques de pillage. Avant d&rsquo;aborder les questions techniques, il faut par exemple se demander quels sont les utilisateurs, et si le cadre juridique est pr\u00eat.<\/p>\n<p>Lorsque l&rsquo;entreprise \u00e9change beaucoup de <a title=\"Donn\u00e9e\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Donn%C3%A9e\">donn\u00e9es<\/a> avec des <a title=\"Partenaire\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Partenaire\">partenaires<\/a> en <a href=\"http:\/\/fr.wikipedia.org\/wiki\/Extranet\">extranet<\/a>, comme c&rsquo;est le cas des <a title=\"Entreprises \u00e9tendues\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Entreprises_%C3%A9tendues\">entreprises \u00e9tendues<\/a> ou des <a title=\"Cluster (\u00e9conomie)\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Cluster_%28%C3%A9conomie%29\">p\u00f4les de comp\u00e9titivit\u00e9<\/a>, la question de la s\u00e9curisation de l&rsquo;<a href=\"http:\/\/fr.wikipedia.org\/wiki\/Interop%C3%A9rabilit%C3%A9\">interop\u00e9rabilit\u00e9<\/a> se pose.<\/p>\n<p>Dans ces grandes communaut\u00e9s, l&rsquo;information d&rsquo;<a href=\"http:\/\/fr.wikipedia.org\/wiki\/Autorit%C3%A9\">autorit\u00e9<\/a> doit \u00eatre g\u00e9r\u00e9e dans des <a title=\"Registres de m\u00e9tadonn\u00e9es\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Registres_de_m%C3%A9tadonn%C3%A9es\">registres de m\u00e9tadonn\u00e9es<\/a> publics. Le <a href=\"http:\/\/fr.wikipedia.org\/wiki\/Certificat_%C3%A9lectronique\">certificat \u00e9lectronique<\/a> peut alors \u00eatre associ\u00e9, dans le registre, \u00e0 l&rsquo;<a title=\"Identifiant (m\u00e9tadonn\u00e9e)\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Identifiant_%28m%C3%A9tadonn%C3%A9e%29\">identifiant<\/a>, afin de circonscrire le <a title=\"Patrimoine informationnel\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Patrimoine_informationnel\">patrimoine informationnel<\/a> partag\u00e9 par la <a href=\"http:\/\/fr.wikipedia.org\/wiki\/Communaut%C3%A9_de_pratique\">communaut\u00e9 de pratique<\/a>.<\/p>\n<p>Voir par exemple\u00a0: <a href=\"http:\/\/www.ccsd.cnrs.fr\/IMG\/pdf\/DicoMetaHAL.pdf\" rel=\"nofollow\">Dictionnaire de m\u00e9tadonn\u00e9es<\/a> pour le r\u00e9f\u00e9rentiel des publications <a title=\"Centre national de la recherche scientifique\" href=\"http:\/\/fr.wikipedia.org\/wiki\/Centre_national_de_la_recherche_scientifique\">CNRS<\/a><\/p>\n<p>Par ailleurs, Il est conseill\u00e9 de d\u00e9ployer les certificats sur support mat\u00e9riel (carte \u00e0 puce) car le vol de certificat logiciel fait d\u00e9sormais partie des possibilit\u00e9s des malwares.<\/p>\n\n","protected":false},"excerpt":{"rendered":"<p>Trop souvent entendus : le consultant s\u00e9cu \u00ab\u00a0Comment \u00e7a&#8230;, votre entreprise n&rsquo;a pas de PKI ?\u00a0\u00bb mais aussi le bon techos qui a install\u00e9 en 7 clics sa CA Microsoft sous Windows 2003 \u00ab\u00a0Oui, c&rsquo;est moi qui ai mis en place la PKI, je ne vais pas m&rsquo;\u00e9tendre c&rsquo;est tr\u00e8s compliqu\u00e9\u00a0\u00bb Pour essayer d&rsquo;apporter un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34,7],"tags":[],"_links":{"self":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/1012"}],"collection":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1012"}],"version-history":[{"count":17,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/1012\/revisions"}],"predecessor-version":[{"id":2889,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/1012\/revisions\/2889"}],"wp:attachment":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1012"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1012"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}