Upload
abdellah-el
View
228
Download
11
Embed Size (px)
Citation preview
Fonctionnement basique d’une PKI
PKI
Présentation des concepts
PKI interne vs PKI externe
2
PKI
Présentation des concepts
3
Présentation des concepts - Définition et rôle d’une PKI
Infrastructure à clés publiques Une infrastructure à clés publiques (ICP) ou Public Key Infrastructure
(PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques logiciels ou matériel ou encore des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) en vue de gérer le cycle de vie des certificats numériques ou certificats électroniques
Rôle d’une PKI Enregistrement des utilisateurs (ou équipements informatique) Génération de certificats Renouvellement de certificats Révocation de certificats Publication de certificats Publication des listes de révocation (comprenant la liste des certificats
révoqués) Identification et authentification des utilisateurs (administrateurs ou
utilisateurs qui accèdent à la PKI) Archivage Séquestre et recouvrement des certificats (option)
Présentation des concepts - Les composantes d’une PKI Microsoft
Certificats Les certificats sont la base d’une PKI Un certificat représente l’identité électronique d’un utilisateur, d’un
ordinateur, d’un périphérique réseau ou d’un service Un certificat est un ensemble d’informations signé électroniquement Un certificat est associé à une paire de clefs (clef privée et clef publique) Les certificats sont délivrés par une Autorité de Certification (CA)
Autorité de Certification (CA) Une CA est une composante essentielle d’une PKI Microsoft Une CA vérifie l’identité et les permissions d’un demandeur de certificat Une CA délivre les certificats aux demandeurs (le certificat obtenu est relatif à
la demande émise) Une CA gère la révocation des certificats (publication de la CRL)
Liste de Révocation de Certificats (CRL) Liste publiée des certificats révoqués (considérés invalides quelle que soit
leur date de validité)
Présentation des concepts - Architecture d’une PKI Microsoft
Types de CA CA racine : CA la plus élevée dans une hiérarchie, c’est l’autorité de confiance
d’une PKI CA intermédiaire : CA subordonnée de la CA racine, souvent configurée
comme CA émettrice de stratégies pour la publication des certificats CA de publication : CA émettant les certificats généralement placée au plus
bas niveau d’une hiérarchie, soumise au stratégies émises par les CA intermédiaires
Niveau de hiérarchie Tiers unique : réservé au petites structures, la CA racine et également CA de
publication Deux tiers : une CA racine hors ligne et une ou plusieurs CA de publication Trois tiers : modèle le plus utilisé, une CA racine et une ou plusieurs CA
intermédiaires hors ligne et une ou plusieurs CA de publication Quatre tiers : reprends le modèle trois tiers avec un niveau de CA
intermédiaires en ligne pour répondre à des besoins structurels d’entreprise
Nombre de CA par niveau Déterminé par le nombre et le type de certificats à emmètre, la structure de
l’entreprise et les moyens de publication des certificats
Présentation des concepts - Architecture d’une PKI Microsoft
Exemple de hiérarchie
Présentation des concepts - Sécurisation d’une PKI
Points de configuration pour la sécurisation d’une CA Minimisation du rôle serveur, autant que possible le rôle de CA doit être
installé sur un serveur dédié Activation de l’audit de la CA Utilisation de BitLocker pour protéger les disques du serveur hébergeant le
rôle de CA Activer la séparation des rôles sur la CA (administrateurs, gestionnaires de
certificats, auditeurs, opérateurs de sauvegarde)
Sécurisation physique d’une CA Stockage dans une pièce sécurisée de la CA (accès physique restreint) Mise hors ligne de la CA racine et stockage sous coffre de tout ou partie du
serveur (stockage des disques durs seulement)
Protection de la clef privée d’une CA Stockage de la clef privée de la CA sur un périphérique à authentification à
deux facteurs (tel qu’une carte à puce) Stockage de la clef privée de la CA sur un boitier HSM (Hardware Security
Module)
Présentation des concepts - Services apportés
Authentification Un certificat peux permettre de garantir l’identité d’un utilisateur, d’un
ordinateur, d’un périphérique réseau ou d’un service Ce certificat peut être échangé numériquement ou stocké sur un support
physique (carte à puce, clef USB, …)
Encryption Un certificat peut être utiliser pour l’encryption de données tels que des
documents, des emails, des systèmes de fichiers ou des paquets réseaux
Signature électronique Un certificat peut permettre de sécuriser des échanges sur Internet en
signant les données échangés Un certificat peut permettre de signer un code source ou un email pour
garantir l’identité de l’auteur (non-répudiation) ou garantir l’intégrité des informations échangés
PKI – Workshop Septembre 2011
PKI interne vs PKI externe
10
PKI interne vs PKI externe - Différences d’infrastructure
Le cloud comme CA, la PKI en ligne n’est pas une utopie Plusieurs éditeurs tels que VeriSign, GlobalSign, GeoTrust ou Thawte offre des
services disponibles dans le cloud (espace de gestion de PKI en ligne) Offre l’avantage d’une publication rendue plus simple par un tiers de
confiance Evite l’achat de matériel pour la sécurisation des clefs privées Réduit la nécessité de formation d’un personnel qualifié pour la gestion de la
PKI
Type de services disponibles Certificats SSL Certificats SSL EV (Extended Validation) Certificats tiers d’émission de certificats (signature de CA) Certificats de signature de code PKI intégrales (Certificats X.509) avec gestion du cycle de vie
PKI interne vs PKI externe - Gestion des coûts associés à la PKI
PKI Interne Coût de licences des CA (Licences serveurs Windows ou Linux) Formation du personnel à l’émission et à la gestion du cycle de vie des
certificats Achat optionnel de boitiers HSM
PKI externe Achat de certificats SSL (compter environ 50€ à 500€ par an selon le service) Achat de certificat de CA (compter environ 2500€ à 4500€) Hébergement d’un service de PKI en ligne (compter un abonnement annuel
pour le service plus un coût par certificat émis)