Public Key Infrastructure (PKI) Introduction Authentification - Yoann Dieudonné 1
PKI : Définition. Une PKI (Public Key Infrastructure) est une organisation centralisée, gérant les certificats x509 afin d instaurer la confiance dans les échanges de données, principalement en permettant l échange de clés publiques et l identification des ordinateurs et des individus. Authentification - Yoann Dieudonné 2
PKI : principaux rôles garantir le propriétaire d'une clé garantir la validité d'une clé à un instant donné garantir l'utilisation d'une clé assurer la confidentialité, l'authenticité, et la non-répudiation d'un message garantir l'identité d'un utilisateur ou d'une entité Authentification - Yoann Dieudonné 3
Les composants d une PKI 1) Les certificats Un certificat associe une clé publique et des données d identités, le tout signé par un CA. L identité d un utilisateur est généralement son adresse e-mail. L identité d un serveur est son adresse DNS complète (FQDN). Authentification - Yoann Dieudonné 4
Les composants d une PKI 2) Les CAs Le CA (Certification Authority) est la clé de voûte de l édifice. Il crée les certificats (en les signant). Il doit vérifier l authenticité des données présentes dans une requête de certificat. Ainsi il les garantit via sa signature. Il existe deux types de CA Les CA public : leurs certificats vérifient l identité des serveurs sur Internet. Les CA privés : c est un CA interne à une société. Ils permettent de créer une PKI interne. Authentification - Yoann Dieudonné 5
Les composants d une PKI 3) Les CRL (Certificate Revocation List) Si un pirate obtient la clé privée d un serveur, il peut écouter toutes les transactions de celui-ci. Dès que la compromission a été détectée, il faut créer un nouveau certificat et révoquer l ancien. Une CRL contient, au niveau d un CA, la liste des certificats révoqués qui n ont pas encore expiré. La publication des CRL est optionnelle. Il existe plusieurs méthodes de publication, par exemple LDAP. Authentification - Yoann Dieudonné 6
Hiérarchie de confiance «pyramidale» Authentification - Yoann Dieudonné 7
Vérification de la chaîne de certificats Authentification - Yoann Dieudonné 8
Création d'un certificat Création du certificat du CA 1. Création d un couple clé publique/clé privée au niveau du CA. 2. Création du certificat du CA (certificat auto-signé de type CA). Le certificat est rendu public (publié sur un annuaire LDAP, inclus dans l image (ghost) d installation des Postes...). Authentification - Yoann Dieudonné 9
Création d'un certificat Création d'un certificat quelconque 1. Une entité (l administrateur d un serveur par exemple) crée un couple clé publique/clé Privée. 2. L entité crée une requête de certificat, qui inclut la clé publique et un identifiant (adresse DNS du serveur ou adresse électronique de l utilisateur). 3. La requête de certificat est envoyée au CA qui la signe. Le CA renvoie le résultat obtenu (le certificat) à l entité propriétaire. 4. L entité installe le certificat : par exemple indique son emplacement dans la configuration du logiciel serveur (dans le cas d un certificat de machine). Authentification - Yoann Dieudonné 10
Création d'un certificat Authentification - Yoann Dieudonné 11
Les problèmes concrets à résoudre pour instaurer une PKI interne Les procédures de demandes de certificats. La création des certificats et leur renouvellement. La publication des certificats, par exemple dans une base LDAP. Les règles de sécurité associées à la protection des clés privées. Les règles de sécurité associées à la protection du poste abritant le CA. La gestion de la révocation des certificats (CRL...). Authentification - Yoann Dieudonné 12
Cours et sujets des Tps disponibles à l'adresse suivante : http://home.mis.u-picardie.fr/~dieudonne/crypto/ Authentification - Yoann Dieudonné 13