Composants techniques

reprend l’ensemble des éléments d’une PKI. Les rôles des ces composants sont détaillés dans la figure 1.

Certificat public Le certificat public est l’équivalent d’une carte d’identité pour un utilisateur. Concrètement, il s’agit d’un ensemble d’informations comprenant entre autre un sujet (l’email de l’utilisateur), une clé publique de l’utilisateur et la signature de l’autorité de certification attestant de l’authenticité du certificat. Voir Figure 2

On notera que le certificat est une information tout à fait publique.

Le sujet du certificat possède également une clé privée qu’il est le seul à connaître. Même s’il existe un lien entre la clé privée et le certificat, la clé privée ne fait pas vraiment partie du certificat.

L’autorité de certification et de distribution Par souci de simplification, nous pouvons considérer qu’il s’agit du même service. Cette autorité (Certificate Authority ou CA) est la pierre angulaire de la PKI.

Tous les utilisateurs et les machines voulant utiliser les services d’encryption ou de signature devront connaître ce service et lui faire confiance. Cette relation de confiance est en général automatiquement mise en place lors de l’installation d’une autorité. Dans un environnement Microsoft Active Directory, il est également possible de la faire par GPO (Group Policy Objets).

Le CA est au coeur des mécanismes d’enrôlement (inscription), de renouvellement et de révocation des certificats.

Prenons l’exemple de l’enrôlement. L’utilisateur crée sur son poste un certificat et la clé privée liée. Son certificat n’est pour l’instant pas valide puisqu’il manque la signature de l’émetteur. Le certificat (sans la clé privée !) est envoyé au CA qui le valide et ajoute une signature (cachet certifiant l’authenticité du certificat). Le certificat est ensuite renvoyé à l’utilisateur.

Il existe plusieurs types d’autorités de certification différents (racine/enfant, entreprise/autonome).

L’autorité de certification entreprise se distingue de l’autorité de certification autonome (standalone). Elle a pour avantage l’intégration dans un annuaire Microsoft Active Directory qu’elle utilise comme point de distribution de certificat. L’autorité entreprise va s’enregistrer automatiquement en tant qu’autorité racine de confiance pour tous les utilisateurs et pour toutes les machines. Une infrastructure PKI suppose un modèle hiérarchique. Une hiérarchie contient généralement plusieurs Autorités de certification avec des relations parents-enfants clairement définies et des rôles différents.

La Liste de révocation Un certificat peut être révoqué avant son expiration pour plusieurs raisons. Notamment :

• La clé privée du sujet du certificat est compromise ou est soupçonnée de l’être.
• La découverte qu’un certificat a été obtenu de façon frauduleuse.
• Un changement intervenu dans l’état du sujet du certificat en tant qu’entité approuvée

La liste de révocations (Certificate Revocation List ou CRL) est la liste de certificats qui ont été révoqués par un CA de la PKI et à qui on ne peut plus faire confiance.

Cette liste est publiée par le CA régulièrement et doit être accessible par tout le monde.

Les applications se basant sur la PKI sont responsables de la vérification de cette liste lors de l’authentification d’un certificat.

L’annuaire (point de distribution) L’annuaire Active Directory est aujourd’hui un composant standard dans les entreprises. Il est maintenant considéré comme le référentiel central dans tous les environnements Microsoft. Les autorités de certification (type entreprise) vont pouvoir tirer profit de l’Active Directory notamment pour publier toutes les informations publiques de la PKI telles que les certificats des utilisateurs, les listes de révocation et les politiques de certification.

Pour l’utilisateur, l’information la plus importante est bien entendu l’ensemble de certificats émis comprenant la clé publique de chaque utilisateur.
Par exemple : Lorsque Bob envoie un message chiffré à Alice, son Outlook fait une requête dans l’AD, trouve la clé publique d’Alice et encrypte le message à partir de cette information.

L’application se basant sur la PKI Bien évidemment, les clients de messagerie lourds Outlook et Outlook Express supportent la signature et le chiffrement des messages depuis déjà bien longtemps.

Beaucoup plus nouveau, l’interface web Outlook Web Access d’Exchange permet maintenant de faire la même chose. Certes il y a quelques contraintes puisque il est nécessaire d’installer un petit composant ActiveX, mais ce progrès marque une avancée certaine dans l’utilisation de la protection de mail

La carte à puce et le token USB En plus du profil Windows de l’utilisateur, il existe deux possibilités supplémentaires pour stocker un certificat utilisateur accompagné d’une clé privée:

• Une clé (token) USB. C’est une clé USB un peu particulière. Elle ne dispose que de quelques Ko de mémoire (juste de quoi stocker quelques certificats) et d’un composant de calcul cryptographique (responsable entre autre de générer un couple clé publique/clé privée).
• Une carte à puce (smartcard). C’est un carte au format carte de crédit qui reprend les mêmes éléments que le token USB (mémoire faible, composant de calcul). Aujourd’hui la carte à puce est probablement le media le plus à la mode.

Elle offre en effet de nombreux avantages :
• Prix modique
• Possibilité de mutualisation avec une carte d’accès. Un badge pourra servir pour l’entrée dans les bâtiments, le paiement de la cantine, etc.
• Lecteur de carte souvent pré-intégré dans les ordinateurs portables professionnels
• Personnalisation graphique de la carte (logo de l’entreprise, photo de l’utilisateur)
• Beaucoup plus résistant qu’une connectique USB ; Il existe également des cartes sans contact (contact-less) Voir Figure 3