Gestion des Clés Publiques (PKI)



Documents pareils
Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Public Key Infrastructure (PKI)

La sécurité dans les grilles

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Architectures PKI. Sébastien VARRETTE

La sécurité des Réseaux Partie 7 PKI

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Certificats et infrastructures de gestion de clés

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Cours 14. Crypto. 2004, Marc-André Léger

Du 03 au 07 Février 2014 Tunis (Tunisie)

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Ordonnance sur les services de certification électronique

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

D31: Protocoles Cryptographiques

Devoir Surveillé de Sécurité des Réseaux

Politique de certification et procédures de l autorité de certification CNRS

Les certificats numériques

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Autorité de Certification OTU

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Autorité de Certification OTU

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Certification électronique et E-Services. 24 Avril 2011

28/06/2013, : MPKIG034,

Livre blanc. Sécuriser les échanges

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Sécurisation des accès au CRM avec un certificat client générique

Cryptographie. Cours 3/8 - Chiffrement asymétrique

LES OUTILS D ALIMENTATION DU REFERENTIEL DE DB-MAIN

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

Sécuriser le routage sur Internet

Politique de Certification

Signature électronique. Romain Kolb 31/10/2008

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

La sécurité de votre e-business

Cadre de Référence de la Sécurité des Systèmes d Information

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

ETUDE DES MODELES DE CONFIANCE

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

FORMATION WS0801. Centre de formation agréé

SOREGIES RESEAUX DISTRIBUTION

Définition d une ICP et de ses acteurs

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Partie II Cours 3 (suite) : Sécurité de bases de données

Cours 1 : introduction

Montrer que la gestion des risques en sécurité de l information est liée au métier

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

CONTRAT D ABONNEMENT AU SERVICE DE SIGNATURE ÉLECTRONIQUE CERTIMETIERSARTISANAT CONDITIONS PARTICULIÈRES (Version 3.1)

Les équations différentielles

Admin-PKI: Certificats de classe B

Fonction de hachage et signatures électroniques

Gestion des utilisateurs et Entreprise Etendue

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Politique de Certification - AC SG TS 2 ETOILES Signature

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

Politique de Référencement Intersectorielle de Sécurité (PRIS)

POLITIQUE DE CERTIFICATION AC RACINE JUSTICE

Gestion des clés cryptographiques

ScTools Outil de personnalisation de carte

Les infrastructures de clés publiques (PKI, IGC, ICP)

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Déclaration des Pratiques de Certification Isabel

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr.

OASIS Date de publication

Microsoft Windows 2000 Implémentation d une infrastructure réseau Microsoft Windows 2000

Citizen CA Énoncé des pratiques de Certification

CERTEUROPE ADVANCED V4 Politique de Certification V1.0 Diffusion publique

INSTALLATION D UN SERVEUR DNS SI5

Introduction aux services de domaine Active Directory

Sécurité des réseaux sans fil

Introduction. Littéralement : «Services de gestion des droits liés à l Active Directory» ADRMS Windows Serveur 2008 un nouveau rôle

Déclaration des Pratiques de Certification de la société Comodo

ADManager Plus Simplifier la gestion de votre Active Directory

Le protocole RADIUS Remote Authentication Dial-In User Service

Transcription:

Chapitre 3 Gestion des Clés Publiques (PKI) L infrastructure de gestion de clés publiques (PKI : Public Key Infrastructure) représente l ensemble des moyens matériels et logiciels assurant la gestion des clés publiques sur un réseau exposé. Son rôle est de garantir la liaison entre chaque utilisateur à sa clé publique. 3.1 Certificat d identité Un certificat d identité est un document électronique qui garantit un certain nombre d informations décrivant et identifiant d une manière sure un utilisateur. Les certificats sont signés et délivrés par une tierce partie de confiance appelée autorité de certification. La structure d un certificat est normalisée par le standard X.509 : Version du standard. Numéro de série du certificat. L identité de l utilisateur. La clé publique de l utilisateur. L identité du signataire. Algorithme de signature utilisé. Fonction de hachage utilisée. Période de validité du certificat. Signature numérique de l autorité de certification. 3.2 Certificat d attribut Un certificat d identité est un document électronique qui donne des informations sur les privilèges d un utilisateur. Ces informations sont liées aux droits que possède 10

un utilisateur dans une application donnée, qui lui permet de procéder à certaines opérations techniques ou accéder à certains services ou ressources. 3.3 Autorité de certification L autorité de certification est un serveur central qui délivre les certificats pour les utilisateurs du système. Elle signe les certificats en utilisant sa propre clé privée pour garantir les informations liées à l utilisateur. Les certificats générés pour tous les utilisateurs ne peuvent pas être issus d une même autorité de certification. Ainsi, il est nécessaire que ce rôle soit réparti à travers plusieurs autorités de certification. 3.3.1 Modèle hiérarchique Dans ce modèle, l autorité de certification racine délivre un certificat d attribut qui garantit la délégation du service de certification à une ou plusieurs d autres autorités, qui elles-mêmes à leurs tours délivrent des certificats à d autres, et ainsi de suite. 3.3.2 Modèle croisé Les relations croisées servent à relier deux hiérarchies d autorités de certification de deux organisations différentes. L autorité de certification racine de chaque organisation signe pour l autre un certificat d identité. Ainsi, n importe quel utilisateur de la 11

première hiérarchie peut vérifier la clé publique de n importe quel autre utilisateur de la deuxième. 3.3.3 Modèle en graphe Dans ce modèle, chaque autorité de certification délivre un certificat d identité à l autorité en qui elle fait confiance. 3.4 Gestion complètement distribuée des certificats Dans ce type de système, il n y a pas la notion d autorité de certification. Chaque utilisateur se considère comme étant une autorité de certification, où il peut signer et délivrer des certificats pour les utilisateurs. Ce système permet la création d un graphe de confiance entre l ensemble des utilisateurs. La vérification de la validité d un 12

certificat se fait à travers la vérification de toute la chaîne de certificats qui relie les deux utilisateurs en se basant sur le principe : Si A fait confiance à B, et ce dernier fait confiance à C, alors A peut faire confiance à C. 3.5 Révocation des certificats Un certificat peut être révoqué en cas de : L expiration de la période de validité. La divulgation de la clé privée de l utilisateur (ce qui sera suivi par la mise à jour de sa paire de clés). L utilisateur n est plus considéré digne de confiance. 3.6 Les annuaires de certificats Les certificats émis par les autorités de certification doivent être rendus accessibles afin que les utilisateurs du système puissent y accéder. Pour cela, les certificats sont publiés à travers un annuaire à accès libre. Il constitue en quelque sorte une base de données centrale accessible en mode de lecture, en mode d ajout (nouveau certificat) et en mode de suppression (révocation d un certificat). Il contient également une liste de révocation de certificats qui comporte la liste de l ensemble des certificats révoqués depuis la création de l annuaire, datés et signés par les autorités de certification. 13

3.7 La procédure de certification L infrastructure de gestion de clés publiques fournit trois services principaux : La génération et la mise à jour des paires de clés. La certification des clés publiques et la publication des certificats. La révocation des certificats. La procédure de certification se fait principalement en trois étapes : (1) L utilisateur s enregistre auprès de l autorité d enregistrement en donnant des justifications concrètes vis-à-vis son identité. (2) L autorité d enregistrement génère la paire de clés de l utilisateur et envoie une requête de certification à l autorité de certification. (3) L autorité de certification génère un certificat pour l utilisateur et publie ce dernier sur l annuaire. 3.8 Le partage du pouvoir de certification 3.8.1 La cryptographie à seuil Le partage de secret repose sur le concept de détention d une portion d une information secrète par plusieurs entités. La cryptographie à seuil permet le partage d une valeur secrète S à un ensemble de n serveurs, sans que chacun d eux connaisse sa valeur. A partir d au moins k serveurs on peut reconstruire le secret (k n). Si le 14

nombre de serveurs est inférieur à k, aucune information n est obtenue sur le secret S. La cryptographie à seuil s exécute en deux étapes : (1) Le partage du secret : Cette étape permet de mettre en commun un secret S entre n serveurs. On crée un polynôme F(x) de degré k 1 avec des coefficients arbitraires en mettant a 0 = S. On choisit ensuite publiquement n points distincts x i, et on distribue secrètement à chaque serveur une part privée (x i, F(x i )). Le point x i pourrait être n importe quelle valeur publique qui identifie le serveur s i d une manière unique. Pour simplifier la notation, on met x i = i, par conséquent les parts privées sont dénotées par F(1), F(2),..., F(n). (2) La reconstruction du secret : Cette étape permet de reconstruire le secret S à partir d un sous-ensemble de k parts : {F(1), F(2),..., F(k)}. Etant donné k points distincts (i, F(i)), il existe un polynôme unique F(x) de degré k 1 passant par tous les points. Ce polynôme peut être calculé à partir des points (i, F(i)) en utilisant l interpolation de Lagrange. 3.8.2 Certification avec la cryptographie à seuil à base de RSA La certification s exécute comme suit : (1) Générer les paramètres d une paire de clés RSA : e, d, n, φ(n). (2) Définir un polynôme F(x) = d + a 1 x +... + a k 1 x k 1, ensuite calculer pour chaque serveur s i sa part privée : S i = F(i) mod φ(n). (3) Chaque serveur s i génère une signature partielle SP i du certificat comme suit : SP i = C S i mod n. (4) Pour combiner l ensemble des signatures partielles, calculer l interpolation de j=k j Lagrange de chaque serveur : L i = mod φ(n). Ensuite, calculer la j i j=1,j i i=k signature complète SC du certificat : SC = i=1 SP L i i mod n. (5) Si l égalité C = SC e mod n est vérifiée, alors la signature est valide. 3.8.2.1 Exemple e = 11, d = 131, n = 527, φ(n) = 480. F(x) = 131 + x + x 2. S 1 = F(1) mod 480 = 133, S 2 = F(2) mod 480 = 137, et 15

S 3 = F(3) mod 480 = 143. Pour C = 6 : SP 1 = 6 133 mod 527 = 347, SP 2 = 6 137 mod 527 = 181, et SP 3 = 6 143 mod 527 = 88. L 1 = 3, L 2 = 477, et L 3 = 1. SC = 347 3 181 477 88 1 mod 527 = 522. 522 11 mod 527 = 6. 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back