> Tech > Key Recovery et méthodes d’archivage

Key Recovery et méthodes d’archivage

Tech - Par iTPro - Publié le 24 juin 2010
email

Key recovery est la possibilité pour une PKI de récupérer des clés de cyptage privées perdues ou indisponibles. Un bon mécanisme de récupération de clé repose donc sur un système d'archivage de clés efficace et sûr. La récupération des données suit généralement la récupération des clés : dès lors qu'un

Key Recovery et méthodes d’archivage

utilisateur ou un administrateur
autorisé peut accéder à  la clé privée de
l’utilisateur, il peut utiliser la clé pour
décrypter les clés symétriques cryptées
avec lesquelles l’utilisateur a crypté des
données de courrier ou de fichier persistantes.

Les anciennes versions Windows
fournissent la récupération des clés
pour deux applications : l’EFS
(Encrypting File System) et l’application
de courrier sécurisé à  base de
S/MIME (Secure MIME) livrée avec Microsoft Exchange Server. Ces applications
utilisent des mécanismes d’archivage
de clés légèrement différents :
EFS stocke les clés et le fichier crypté
dans NTFS, tandis qu’Exchange utilise
une base de données de clés centrale.
La PKI .NET Server s’appuie sur le
concept de base de données centrale,
offrant un service de récupération des
clés centralisé utilisable par toute application
qualifiée PKI.

Le CA .NET Server stocke les données
de récupération des clés localement,
dans la base de données CA. Le
CA utilise une clé symétrique pour
crypter une clé privée archivée puis
utilise la clé publique d’un agent de récupération
des clés pour crypter la clé
symétrique. (Un agent de récupération
est un compte doté de privilèges de récupération
des clés.) Le CA stocke la
clé privée cryptée dans la colonne
RawArchivedKey de la base de
données CA, puis stocke la clé symétrique
cryptée dans la colonne
KeyRecoveryHashes. Un administrateur
peut examiner ces colonnes et le
reste du schéma de la base de données
CA à  partir de la ligne de commande.
Pour cela, taper

certutil -schema

Pour pouvoir récupérer des clés privées
à  partir de la base de données de
récupération du CA, l'administrateur
doit posséder un certificat d'agent de récupération spécial et une clé privée.
Comme l'Exchange KMS (Key
Management Service), qui gère la base
de données de reprise des clés
S/MIME, le CA .NET Server peut supporter
un système « silo de missiles »
pour la récupération des clés : l'administrateur
du CA peut exiger plusieurs
certificats de récupération des clés
d'administrateur pour récupérer une
clé - afin d'accentuer la sécurité.

Pour paramétrer la reprise des clés
d'un objet CA, ouvrez le snap-in
Microsoft Management Console
(MMC) Certification Authority, ouvrez
la boîte de dialogue Properties de l'objet
CA, puis allez à  l'onglet Recovery
Agents, illustré figure 1. Cochez la case
Archive the key pour valider la récupération
des clés. Dans la boîte de texte
Number of recovery agents to use, indiquez
le nombre d'agents de récupération
des clés que vous voulez établir.
Enfin, sélectionnez les comptes que
vous voulez utiliser comme agent de
récupération des clés. (Ces comptes
doivent posséder un certificat de récupération
des clés et une clé privée.

Une séquence complète de récupération
des clés du CA .NET Server
comporte les quatre étapes suivantes :

1. L'agent de récupération des clés inscrit
l'UPN (User Principal Name) ou
le numéro de série du certificat utilisateur
dont l'agent veut récupérer la clé privée.
2. Pour exporter les données de récupération
depuis la base de données
CA, l'agent de récupération des clés
ouvre une invite de commande et
tape :

certutil -getkey <numéro de série ou UPN> <fichier de sortie>

3. Pour transformer le fichier de sortie
en un fichier PKCS #12 (qui contiendra
la clé privée récupérée), l'agent
tape :

certutil -recoverkey <fichier de sortie> <fichier pkcs12>

4. L'agent fournit le fichier PKCS #12 à 
l'utilisateur approprié, pour qu'il
l'importe dans son stockage de certificats.

Vous pouvez utiliser le snap-in
Certificate Templates pour valider l'archivage
des clés au niveau des templates
de certificat. Pour archiver automatiquement
la clé privée quand un
utilisateur demande un certificat fondé
sur un template particulier, ouvrez le
template, allez à  l'onglet Request
Handling, et cochez la case Archive
subject's encryption private key. Vous
ne pouvez définir l'option key-archival
que sur la version 2 des templates de
certificats.

Téléchargez gratuitement cette ressource

Comment cerner la maturité digitale de votre entreprise ?

Comment cerner la maturité digitale de votre entreprise ?

Conçu pour les directions IT et Métiers, ce guide vous permettra d'évaluer précisément vos processus de communication client, d'identifier vos lacunes et points d'inflexion pour établir un plan d’actions capable de soutenir durablement votre évolution. Bénéficiez maintenant d'une feuille de route complète.

Tech - Par iTPro - Publié le 24 juin 2010