> Tech > Condamnée à  réussir

Condamnée à  réussir

Tech - Par iTPro - Publié le 24 juin 2010
email

Malgré ses difficultés, PKI n'est certainement pas une technologie morte ou mourante. Les utilisations de PKI les plus connues et les plus faciles à  comprendre se trouvent dans le cryptage du e-mail et dans la sécurisation des transmissions au moyen de SSL (Secure Sockets Layer) ou TLS (Transport Layer Security).

Condamnée à  réussir

L’OS/400 a fourni SSL depuis la
V4R3 – d’abord pour le serveur HTTP
uniquement puis (en V4R4) pour la
plupart des autres serveurs du système,
y compris Telnet, les serveurs
hôtes, et la Java Toolbox. En V5R1,
l’OS/400 a finalement validé FTP avec
un support SSL et TLS.

Une autre application de PKI pour
des transmissions sécurisées est celle
des réseaux privés virtuels (VPN,
Virtual Private Networks). La technologie
sous-jacente des VPN est semblable
à  SSL, mais elle intervient plus bas dans
la pile IP, permettant à  n’importe
quelle application de fonctionner par
dessus la session cryptée. (A l’inverse,
SSL demande de valider chaque application
(FTP, Telnet, par exemple) pour
utiliser la technologie de cryptage.)
Dans l’une ou l’autre des technologies,
quand une session cryptée est demandée,
il faut un certificat numérique
pour authentifier le serveur.

Si vous voulez simplement avoir
une session cryptée entre les sessions
d’émulation 5250 de vos chevaux de
bataille et l’iSeries, il faudra que lesdits
chevaux sollicitent un certificat auprès
de votre système iSeries (c’est-à -dire,
utiliser votre iSeries comme votre CA).
Cette méthode permet de configurer
le serveur Telnet pour qu’il n’accepte
que les certificats émanant de votre CA iSeries. Les demandes de connexion au
moyen d’un certificat émis par une
autre CA (y compris une autre CA
iSeries) seront rejetées. On voit donc
que non seulement vous avez des sessions
5250 cryptées, mais que vous
pouvez aussi filtrer étroitement ceux
qui peuvent se connecter au système.

Une autre utilisation des certificats
numériques est en train de gagner du
terrain : la signature numérique. Une
signature numérique générée pour un
document ou pour un logiciel procure
deux choses : l’identification positive
de l’origine du document et la preuve
qu’il n’a pas été altéré depuis sa signature.

Pour signer numériquement un
document, l’envoyeur (le propriétaire
ou initiateur du document) lui applique
un algorithme de hashing. Le
hash est ensuite crypté avec la clé privée
de l’envoyeur. Le document est remis
assorti de la signature numérique
et du certificat numérique contenant la
clé publique de l’envoyeur. Le destinataire
applique le même algorithme
hash sur le document et décrypte la signature
avec la clé publique de l’envoyeur.

Si les deux valeurs hash sont identiques,
c’est la preuve que l’envoyeur
est l’entité représentée par le certificat
numérique. Cela prouve également
que le document n’a pas été modifié
depuis sa signature. Si le document a
été altéré de quelque façon, les valeurs
hash ne seront pas les mêmes (figure
1). Le logiciel est souvent signé,
particulièrement quand il est téléchargeable
sur un site Web ou transmis sur
Internet.

En V5R1, IBM a reconnu la puissance
de la signature numérique et a signé
les objets exécutables livrés avec
l’OS/400. IBM a également amélioré la
commande CHKOBJITG (Check
Object Integrity), qui vérifie les signatures
numériques de ces objets afin
que l’on puisse déterminer si l’un des
objets exécutables a été modifié depuis
qu’IBM l’a signé. Par ailleurs, de nouvelles
valeurs système permettent de
contrôler étroitement les objets restaurés
sur votre système. Ainsi, vous pouvez
n’autoriser que la restauration
d’objets présentant des signatures valides.

IBM a également donné aux fournisseurs
d’applications la possibilité de
signer leur propre logiciel. (C’est un
autre exemple d’utilisation pratique de
votre CA iSeries.) En V5R1, le DCM
(Digital Certificate Manager) est rénové
et beaucoup plus simple d’emploi.
Une nouvelle interface permet de
créer des certificats signants, des certificats
numériques utilisés pour signer
numériquement des objets OS/400. Il
suffit de créer un certificat, de l’associer
au nom de l’application qui sera signée,
et de fournir le nom de chemin
de l’objet à  signer. L’OS/400 fait le
reste. (Des API sont fournies pour signer
programmatiquement des objets.)

La signature numérique gagne du
terrain dès lors que les Etats-Unis, la
plupart des états de ce pays, et de
nombreux pays européens reconnaissent
la légalité d’un document signé
numériquement. On peut s’attendre à 
ce que le succès des signatures numériques
(et des communications électroniques
en général) augmente après
les attaques à  l’anthrax constatées dans
l’U.S. Postal Service après le 11 septembre.

Téléchargez gratuitement cette ressource

Aborder la Blockchain, comprendre et démarrer

Aborder la Blockchain, comprendre et démarrer

Une véritable révolution se prépare progressivement... les entreprises doivent veiller à ne pas rester à l’écart et se faire prendre de vitesse. Tout comme la mobilité ou encore le cloud, la blockchain est une composante essentielle de la transformation numérique. Découvrez, dans ce dossier, comment aborder, comprendre et démarrer la Blockchain

Tech - Par iTPro - Publié le 24 juin 2010