PKI

Niveau :
Résumé : PKI ; IGC

Une PKI (Public Key Infra­struc­ture), en fran­çais IGC (Infra­struc­ture de Ges­tion des Clés) est un sys­tème per­met­tant de gérer des clés publi­ques. Il s’agit en géné­ral de gérer des cer­ti­fi­cats x509. Elle éta­blit un réseau de con­fiance entre uti­li­sa­teurs, lequel passe néces­sai­re­ment par l’auto­rité de cer­ti­fi­ca­tion.

Ces cer­ti­fi­cats peu­vent ser­vir selon leur con­tenu à :

• Chif­frer (des com­mu­ni­ca­tions)
• Signer (des docu­ments)
• S’authen­ti­fier (sur des appli­ca­tions)
• Cer­ti­fier d’autres clés

Dis­po­ser d’une PKI signi­fie qu’on est capa­ble de créer, pour cha­cun de ses uti­li­sa­teurs, des cer­ti­fi­cats qui nous per­met­tront par la suite de lui faire con­fiance. Pour cela une PKI offre plu­sieurs ser­vi­ces :

• Un ser­vice d’enre­gis­tre­ment qui véri­fie l’iden­tité des “uti­li­sa­teurs”
• Un ser­vice de signa­ture de demande de cer­ti­fi­cats
• Un ser­vice de renou­vel­le­ment de cer­ti­fi­cats
• Un ser­vice de publi­ca­tion des cer­ti­fi­cats
• Un ser­vice de révo­ca­tion des cer­ti­fi­cats
• Un ser­vice de publi­ca­tion des révo­ca­tions
• Par­fois un ser­vice de créa­tion de clés

Ces fonc­tion­na­li­tés sont géné­ra­le­ment regrou­pées dans des enti­tés sépa­rées pour des rai­sons de sécu­rité. En effet, une PKI une fois en place devient rapi­de­ment un élé­ment cri­ti­que puisqu’elle per­met de se faire pas­ser pour une entité digne de con­fiance (pen­sez social engi­nee­ring mais sans le social) . C’est pour­quoi un cer­tain nom­bre de fonc­tion­na­li­tés peu­vent être ins­tal­lés dans un équi­pe­ment dédié (un HSM, hard­ware secu­rity module). Du coté uti­li­sa­teur, on peut faire pareil, sauf qu’on appel cet appa­reil dédié une carte à puce.

Met­tre en place une PKI est une chose assez lourde. Mais elle devient inté­res­sante à par­tir du moment où on se retrouve à gérer un grand nom­bre de cer­ti­fi­cats (beau­coup de ser­veurs ou beau­coup d’uti­li­sa­teurs). Vous n’avez pas envie d’ins­tal­ler une PKI pour vous authen­ti­fier sur un seul ser­veur. Mais si vous avez 200 000 employés et que vous vou­lez que tout le monde signe ses mail en x509, il est temps d’en ins­tal­ler une.

Je vou­drais atti­rer votre atten­tion sur le fait qu’il ne s’agit pas seu­le­ment de créer des cer­ti­fi­cats et de les signer. La con­fiance se fait sur toute une chaîne, et il faut pou­voir garan­tir que l’auto­rité n’a pas été com­pro­mise (AC sépa­rée). Il faut pou­voir garan­tir cette con­fiance dans le temps (renou­vel­le­ment), il faut pou­voir se pré­mu­nir des erreurs, des vols ou des chan­ge­ments d’orga­ni­sa­tion (révo­ca­tion). C’est pour­quoi il est néces­saire de pren­dre son temps avant de l’ins­tal­ler pour bien com­pren­dre le fonc­tion­ne­ment de cha­que élé­ment.

Il existe plu­sieurs PKI open source dont EJBCA ou NewPKI. Je par­le­rai d’OpenSSL, la PKI du pau­vre, dans mes pro­chains arti­cles. Prin­ci­pa­le­ment pour pou­voir met­tre les mains dans le cam­bouis, ne pen­sez pas à l’uti­li­ser tel quel comme PKI.