Modules M42B4 & M42C3 Patrice GOMMERY
PROBLEMES : Comment générer les couples de clés? Comment distribuer les clés publiques? Comment stocker les clés? La clé publique est-elle réellement garantie? UNE REPONSE A CES PROBLEMES : LES CERTIFICATS 2
Un certificat est une clé publique signée par une autorité de certification. La clé publique est celle du site web, de l adresse mail, de l utilisateur,de la machine etc.. à authentifier. La signature est faite avec la clé privée de l autorité de certification (elle pourra être vérifiée à l aide de la clé publique de cette même autorité) L autorité de certification est l organisme qui va délivrer le certificat et l authentifier en le signant. Cette autorité (ou tiers de confiance) doit être reconnue à la fois par le propriétaire du certificat et par celui qui l utilise (pour vérifier une signature, authentifier une machine, chiffrer des mails, etc ) 3
Un certificat se présente sous la forme d un fichier. La norme actuelle est X509v3 Le certificat contient : La clé publique de l élément à authentifier Des informations sur le propriétaire du certificat (Nom, Adresse Mail, Téléphone etc..) L usage pouvant être fait du certificat (serveur Web, Adresse Mail, Authentification utilisateur,..) Nom de l autorité de certification Une date de validité La signature de l autorité de certification 4
Exemple avec Internet : Vous accédez à un site en https Votre navigateur reçoit le certificat du serveur web Il vérifie la signature de l autorité de certification pour savoir si la clé publique contenue dans le certificat est valide. Question : Comment vérifie-t-il la signature de l autorité de certification? Réponse : Avec la clé publique de l autorité Question : Comment a t il obtenu la clé publique de l autorité de certification? Réponse : Dans un certificat!!! Question : Ou va-t-il trouver ce certificat? Réponse : Les certificats des autorités les plus reconnues sont déjà installés dans votre navigateur. Question : en qui devez vous donc avoir confiance en premier lieu? 5
Pour connaître les autorités de certification reconnues par votre navigateur : (Sous Chrome), allez dans les paramètres avancés des préférences, puis Afficher les certificats dans la section HTTPS/SSL (Racines du système) (Sous Firefox), allez dans l onglet avancé des préférences et choisissez «Autorités» (Sous IE), allez dans paramètres, puis Options Internet, Onglet Contenu. Puis Certificats, Onglet Autorité de Certifications. Tous les Certificats affichés (donc les autorités propriétaires) sont donc reconnus par votre navigateur. Quelques noms connus : Verisign, GlobalSign, GeoTrust, CyberTrust, CertPlus, Thawte, En France: : Chambersign, l IGC/A (L administration française), vos hébergeurs 6
Quel cout? En fonction de l usage (Un site web, une adresse mail, une organisation complète) Niveau de sécurité ( Force de chiffrement : 40 à 256 Bits) Algorithmes de chiffrement utilisés (RSA, ECC, DSA ) Niveau de portée (Standard, Etendu (https en fond vert), domaine DNS, multisites,..) Valeur assurée (en cas de compromission du certificat) ; de 0 à plusieurs millions d euros Durée de validité du certificat Exemple Certificats SSL : Verisign (Symantec) Exemple Certificats pour Adresse Mail : Globalsign 7
Un autorité de certification seule ne suffit pas à garantir l authenticité et l intégrité des certificats. Elle fait partie dans ensemble de processus appelé : IGC (Infrastructure de Gestion de clés) ou PKI (Public Key Information) Cette infrastructure devra répondre aux besoins suivants`: Qui demande le certificat? Comment? Qui va créer le certificat? Qui va le distribuer? Comment le demandeur le récupère-t il? Il faut mettre en place un circuit de validation et de vérification (comme par exemple pour l obtention d un passeport ou d une carte d indentité) 8
Autorité d enregistrement Autorité de Certification Service de Publication 9
L autorité d enregistrement : Vérifie l identité du demandeur Créer le couple de clés pour l utilisateur Fait la demande de certificat à l autorité de certification Remet sa clé privé à l utilisateur 10
L autorité de Certification: Crée le Certificat Signe le Certificat avec sa clé privée Transmet le Certificat au service de publication Permet la révocation des certificats après expiration (ou d autres raisons) 11
L autorité de publication: Rend disponibles les Certificats à travers un annuaire de type LDAP. Publie la liste des certificats valides Publie la liste des certificats révoqués (CRL) 12
Point faible des systèmes : LA CLE PRIVEE Ou la stocker? Fichiers, Cartes à puces, clés USB, Protégée par mot de passe? Séquestres des clés Sensibilisation des utilisateurs 13
Sous Linux : OpenCA basé sur OpenSSL (avec OpenLDAP pour le stockage) Sous Windows : Windows Serveur (avec ActiveDirectory et IIS) 14