ICP/PKI: Infrastructures à Clés Publiques



Documents pareils
Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Public Key Infrastructure (PKI)

La sécurité dans les grilles

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Gestion des Clés Publiques (PKI)

La sécurité des Réseaux Partie 7 PKI

Signature électronique. Romain Kolb 31/10/2008

Les certificats numériques

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Gestion des clés cryptographiques

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

D31: Protocoles Cryptographiques

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Cours 14. Crypto. 2004, Marc-André Léger

Architectures PKI. Sébastien VARRETTE

Du 03 au 07 Février 2014 Tunis (Tunisie)

Livre blanc. Sécuriser les échanges

LA SIGNATURE ELECTRONIQUE

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

La citadelle électronique séminaire du 14 mars 2002

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Politique de certification et procédures de l autorité de certification CNRS

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Politique de Référencement Intersectorielle de Sécurité (PRIS)

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Certification électronique et E-Services. 24 Avril 2011

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

Protocoles cryptographiques

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Sermentis version 2.x.x.x

1 L Authentification de A à Z

Sécurité WebSphere MQ V 5.3

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Définition d une ICP et de ses acteurs

Concilier mobilité et sécurité pour les postes nomades

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

Les infrastructures de clés publiques (PKI, IGC, ICP)

Pour révoquer un Gestionnaire des Certificats : le Représentant Légal utilise la fiche n 2A en cochant la case appropriée.

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Bibliographie. Gestion des risques

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

28/06/2013, : MPKIG034,

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Certificats et infrastructures de gestion de clés

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Sécurité des réseaux sans fil

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

L identité numérique. Risques, protection

Management de la sécurité des technologies de l information

Ordonnance sur les services de certification électronique

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

La renaissance de la PKI L état de l art en 2006

Meilleures pratiques de l authentification:

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

ETUDE DES MODELES DE CONFIANCE

Certificats (électroniques) : Pourquoi? Comment?

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Les protocoles cryptographiques

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Signature électronique 3.0 Le futur est déjà présent Petit-déjeuner débat du 29 janvier 2014

Malveillances Téléphoniques

Protocoles d authentification

Espace Numérique Régional de Santé Formation sur la messagerie sécurisée. Version Auteur : Nathalie MEDA

Cadre de Référence de la Sécurité des Systèmes d Information

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

ScTools Outil de personnalisation de carte

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Protéger les documents électroniques avec les Solutions Adobe

Authentification. Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

«La Sécurité des Transactions et des Echanges Electroniques»

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Politique de Certification

Protocole industriels de sécurité. S. Natkin Décembre 2000

Transcription:

ICP/PKI: Infrastructures à Clés Publiques Aspects Techniques et organisationnels Dr. Y. Challal Maître de conférences Université de Technologie de Compiègne Heudiasyc UMR CNRS 6599 France

Plan Rappels Infrastructure à clés publiques (PKI) Cycle de vie d un certificat Schéma fonctionnel simplifié d une PKI Démo: déploiement d une PKI

Confiance et Internet Dans la vie courante la plupart des transactions reposent sur une «confiance» acquise par un contact physique Dans le cybermonde cette relation de proximité est rompue Comment garantir la sécurité des transactions? Sécurité juridique: valeur probante d'un acte effectué sur Internet Sécurité des échanges vis à vis des tentatives frauduleuses des tiers ou de l'une des parties

Menaces et services de sécurité (1) Votre correspondant est-il ce qu il prétend être? Usurpation d identité Vos échanges n ont-ils pas été altérés? Altération de contenu Vos échanges n ont-ils pas été écoutés? Écoute Votre correspondant ne va-t-il pas contester la valeur de l acte établi à distance? Répudiation

Menaces et services de sécurité (2) La cryptographie moderne apporte des réponses à ces menaces: Identification Authentification de l origine de données Confidentialité Intégrité Non répudiation Systèmes symétriques vs. asymétriques Symétriques: souples, petites clés, gestion de clés complexe Asymétriques: lents, clés plus larges, gestion de clés plus simple, garantie du service de non-répudiation En pratique: on utilise les deux (ex. SSL/TLS)

Atouts et Limites de la cryptographie à clé publique Cryptographie à clés publiques Gestion de clés plus simple Authentification forte Non répudiation, signature numérique Sécurité juridique Comment garantir qu une clé publique correspond bien à l entité avec qui on communique?

Attaque «man in the middle» 1. Envoie à Alice 5. Le message est lisible par Intrus!! 3. Intrus envoie sa propre clé publique en se faisant passé pour Bob 4. Alice chiffre un message pour Bob avec la clé publique de Intrus qu elle croie appartenir à Bob. Clé publique de Bob 2. Interception par Intrus Clé publique de l Intrus

Solution: usage de certificats à clé publique Un certificat à clé publique est un certificat numérique qui lie l identité d un système à une clé publique, et éventuellement à d autres informations; C est une structure de donnée signée numériquement qui atteste sur l identité du possesseur de la clé privée correspondante à une clé publique. Un certificat est signé numériquement par une autorité de certification à qui font confiance tous les usagers et dont la clé publique est connue par tous d une manière sécurisée. Ainsi, afin de publier sa clé publique, son possesseur doit fournir un certificat de sa clé publique signé par l autorité de certification. Après vérification de la signature apposée sur le certificat en utilisant la clé publique de l autorité de certification, le récepteur peut déchiffrer et vérifier les signatures de son interlocuteur dont l identité et la clé publique sont inclus dans le certificat.

Structure d un certificat X.509 Version Numéro de série Algorithme de signature du certificat Signataire du certificat Validité (dates limite) Pas avant Pas après Détenteur du certificat Informations sur la clé publique Algorithme de la clé publique Clé publique Id unique du signataire (Facultatif) Id unique du détenteur du certificat (Facultatif) Extensions (Facultatif) Liste des extensions...

Autorité de certification Une autorité de certification est toute entité qui délivre des certificats de clé publique Id: Utilisateur Clé publique de chiffrement Usage: Chiffrement Id du signataire: Autorité de certification Signature par autorité de certification Id: Autorité de certification Clé publique de signature Usage: Certification Id du signataire: Autorité de certification Auto-signature

PKI: Infrastructure à clé publique Définition d une infrastructure à clé publique : «Ensemble de composants, fonctions et procédures dédiés à la gestion de clés et de certificats utilisés par des services de sécurité basés sur la cryptographie à clé publique». [Politique de certification type: Ministère de l Economie, des Finances et de l Industrie, Fr]

PKI: Cycle de vie de certificats Demande de certification Authentification/ Vérification des attributs Expiration du certificat / renouvellement Création et signature Du certificat Remise au demandeur Et publication éventuelle Exploitation du certificat Révocation - CRL suspension

Fonctions d une PKI Enregistrer et vérifier les demandes de certificats Autorité d enregistrement Créer et distribuer des certificats Autorité de certification Vérification de validité de certificats Autorité de validation Gérer à tout moment l état des certificats et prendre en compte leur révocation Dépôt de listes de certificats révoqués CRL (Certificate Revocation List) Publier les certificats dans un dépôt Dépôt de certificats (Annuaire)

Schéma fonctionnel simplifié d une PKI Enregistrement des demandes de certificats Demande de révocation de certificats Infrastructure à clés publiques Annuaire Autorité de Certification Autorité d Enregistrement CRL Autorité de validation Distribution Des certificats clients Client Distribution Des certificats serveurs Vérification De validité Des certificats Client Internet Serveur applicatif

Modèles de confiance dans les PKI Modèle monopoliste Une CA pour tout le monde Délégation de pouvoir de certification Une CA délègue le pouvoir de certification à d autres entités qui deviennent CA à leur tour, en leur fournissant un certificat qui certifie leur capacité d être CA. Modèle oligarchique Déploiement des produits (comme les navigateur web) avec plusieurs entités de confiance qui sont des CA. Le navigateur fera confiance à tout certificat signé par l une de ces CA dans sa liste Modèle anarchique Chaque utilisateur établit la liste des entités à qui il fait confiance

Démo: Création d une PKI

Création d une Autorité de Certification Racine

Intégration d un certificat racine dans un navigateur web

Création d une Autorité de Certification Fille

Création d un Certificat pour un Serveur Web

Ajout Autorité Intermédiaire

Création Certificat Client

Révocation d un Certificat

Merci

Clé publique de E Clé privée de E Signature digitale: Non répudiation signature signature Déchiffrer Signer 01100 01101 Hashage Internet Signature valide Oui 01100 01101 =? 01100 01101 Hashage Non Signature non valide Document Numérique Émetteur E Document Numérique Récepteur R

Cryptographie à clé publique: Authentification Défi Défi Hashage Hashage Condensat Chiffrement Clé privée B Condensat =? Condensat Déchiffrement Clé publique B Réponse Réponse

Validation de certificat Pour pouvoir se fier au contenu d un certificat, il est nécessaire de réaliser les vérifications suivantes : Vérification Commentaire Signature de l AC Chemin de certification Période de validité Statut du certificat L application doit vérifier que le certificat est intègre et authentique L application doit vérifier qu il existe une chaîne de certificats valide permettant de remonter à une AC de confiance L application doit vérifier que le certificat présenté n est pas expiré L application doit vérifier que le certificat n est pas révoqué (ni suspendu)

Révocation de certificats La révocation intervient quand la fin de validité réelle précède la fin de validité prévue Motifs de révocation Compromission réelle ou suspectée de la clé privée Modification d un au moins des attributs certifiés Perte de la clé privée (effacement d un disque dur, perte ou détérioration d une carte à puce, oubli du code PIN, ) Évolution de l état de l art cryptographique (la cryptanalyse de la clé privée entre dans le domaine du possible) Perte de confiance vis-à-vis d un acteur ou d un composant de la PKI Méthode de révocation : CRL

Structure d un certificat X.509 Version Numéro de série Algorithme de signature du certificat Signataire du certificat Validité (dates limite) Pas avant Pas après Détenteur du certificat Informations sur la clé publique Algorithme de la clé publique Clé publique Id unique du signataire (Facultatif) Id unique du détenteur du certificat (Facultatif) Extensions (Facultatif) Liste des extensions... Signature de l autorité

Limite du chiffrement symétrique: gestion de clés complexe 10 45 100 4950 5000 12.497.500

Rôle de l autorité de certification L autorité de certification certifie la correspondance Clé publique Identité pour l ensemble d une population Transitivité de la confiance A fait confiance à l Autorité de Certification L Autorité de Certification délivre un certificat à B A est assuré de la correspondance entre l identité de B et sa clé publique

Cryptographie à clé publique Chaque utilisateur aura besoin d une paire de clés: (clé privée, clé publique) Il suffit d une paire de clés par utilisateur pour sécuriser les communications d une communauté Gestion de clés plus simple Service de Non répudiation / Signature numérique sécurité juridique

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back