Certificats et infrastructures de gestion de clés

Transcription

1 ÉCOLE DU CIMPA "GÉOMÉTRIE ALGÉBRIQUE, THÉORIE DES CODES ET CRYPTOGRAPHIE" ICIMAF et Université de la Havane 20 novembre - 1er décembre 2000 La Havane, Cuba Certificats et infrastructures de gestion de clés Pierre BARTHELEMY Institut de Mathématiques de Luminy IML - UPR 9016 CNRS Campus de Luminy - Case MARSEILLE Cedex 9 - FRANCE Tél (33) / Fax (33) barthelemy@iml.univ-mrs.fr 1

2 Clés et utilisateurs Un couple de clés (clé publique, clé privée) est caractérisé par des paramètres cryptographiques : longueur de clé ; période de validité ; algorithme. Un utilisateur dispose : d'une identité ; d'une fonction, pour une période donnée. 2

3 Gestion des clés L'utilisation de couples de clés (clé publique, clé privée) entraîne la nécessité de publier en toute confiance la clé publique. Le mécanisme de publication doit assurer que : la clé est bien celle de l'utilisateur avec qui le dialogue va s'établir ; le possesseur de la clé est "digne de confiance" ; la clé est toujours valide. La confiance est obtenue en associant au bi-clé un certificat délivré et signé par une entité de confiance : l'infrastructure de gestion de clés. 3

4 Notion de certificat L'ensemble des paramètres relatifs au couple de clés et à l'utilisateur forment le certificat de clé publique. Un certificat est l'équivalent d'une carte d'identité ou d'un passeport. Le certificat est signé par un tiers de confiance qui cautionne la véracité des informations contenues dans le certificat. Cette autorité est appelé autorité de certification et signe le certificat de clé publique avec sa propre clé privée. 4

5 Infrastructure de gestion de clés Une infrastructure de gestion de clés est l'ensemble des ressources mises en œuvre pour sécuriser les couples de clés par la génération et la gestion complète de certificats de clés publiques. o I G C : Infrastructure de Gestion de Clés. o P K I : Public Key Infrastructure. Une infrastructure de gestion de clés est un système distribué constitué de ressources : informatiques logicielles, réseau) ; cryptographiques savoir-faire) ; humaines. (matérielles, (algorithmes, Une infrastructure de gestion de clés répond à la question "comment être certain que la clé publique de A est bien celle que je trouve dans l'annuaire?". 5

6 Prestations d'une IGC Les principales prestations assurées par une IGC sont : l'enregistrement d'un utilisateur ; la génération de certificats ; la publication de certificats ; la révocation de certificats. L'enregistrement consiste à vérifier les informations propres au demandeur du certificat avant de générer son certificat. L'enregistrement est un service rendu par une autorité d'enregistrement. La génération proprement dite consiste à faire signer le certificat par l'autorité de certification. Le certificat est ensuite transmis au service de publication. La génération est un service rendu par une autorité de certification. 6

7 La publication consiste à rendre le certificat disponible aux utilisateurs potentiels de la clé publique qu'il contient. Les certificats sont publiés par un vecteur de publication : disquette ; document papier ; serveur d'information ; annuaire. La publication est un service rendu par un service de publication. La publication se fait souvent au moyen d'annuaire LDAP. o L D A P : Lightweight Directory Access Protocol. La révocation consiste à mettre fin à la validité d'un certificat. La révocation est prononcée par l'autorité de certification. Ce nouveau statut est transmis au service de publication. 7

8 Un certificat est révoqué dans les cas suivants : l'utilisateur a perdu sa clé privée ; l'utilisateur a divulgué sa clé privée ; les informations contenues dans le certificat sont devenues fausses (falsification de l'identité, perte d'intégrité de la clé publique) Le certificat n'est alors plus de confiance et son utilisation ne peut alors plus garantir aucune fonction de sécurité. Un utilisateur n'accorde sa confiance à une signature numérique que s'il a confiance dans le certificat qu'il utilise pour la vérifier et donc confiance dans l'ensemble de l'igc. 8

9 Utilisation par le client Les navigateurs connaissent une liste pré-définie d'autorités de certification ("CA authority). Exemples : Thawte, VeriSign, GlobalSign, American Express, OpenCA. La distribution de certificats est une activité commerciale. L'acquisition d'un certificat coûte environ 150 USD et son renouvellement 100 USD. Cette activité est donc assez facile et très lucrative. 9

10 Standardisation PKCS est un ensemble de standards coordonnés par RSA Inc. pour la mise en place des PKI. o P K C S : Public-Key Cryptography Standards. On peut citer : PKCS#1 : RSA Cryptography Specifications Version 2 (RFC 2437) ; PKCS#3 : Diffie-Hellman Key Agreement Standard Version 1.4 ; PKCS#7 : Cryptographic Message Syntax Standard Version 1.5 (RFC 2315) ; PKCS#8 : Private-Key Information Syntax Standard Version 1.2 ; PKCS#13 : Elliptic Curve Cryptography Standard Version 1.0 ; PKCS#14 : Pseudorandom Number Generation Standard Version 1.0 ; 10

11 Merci de votre attention Les transparents du présent exposé sont disponibles en FTP anonyme à l'url: ftp://iml.univ-mrs.fr/ pub/cimpa/certificats.pdf La reproduction partielle ou totale est autorisée sauf à des fins commerciales et sous réserve de la mention d'origine. Vous pouvez me contacter par pour toutes questions : barth@iml.univ-mrs.fr Vous êtes invités à me communiquer toute remarque quant à l'amélioration et à la tenue à jour de ce support de cours. Pierre BARTHELEMY Institut de Mathématiques de Luminy IML - UPR 9016 CNRS Campus de Luminy - Case MARSEILLE Cedex 9 - FRANCE Tél (33) / Fax (33) barthelemy@iml.univ-mrs.fr 11