Key Recovery et méthodes d’archivage

utilisateur ou un administrateur
autorisé peut accéder à  la clé privée de
l’utilisateur, il peut utiliser la clé pour
décrypter les clés symétriques cryptées
avec lesquelles l’utilisateur a crypté des
données de courrier ou de fichier persistantes.

Les anciennes versions Windows
fournissent la récupération des clés
pour deux applications : l’EFS
(Encrypting File System) et l’application
de courrier sécurisé à  base de
S/MIME (Secure MIME) livrée avec Microsoft Exchange Server. Ces applications
utilisent des mécanismes d’archivage
de clés légèrement différents :
EFS stocke les clés et le fichier crypté
dans NTFS, tandis qu’Exchange utilise
une base de données de clés centrale.
La PKI .NET Server s’appuie sur le
concept de base de données centrale,
offrant un service de récupération des
clés centralisé utilisable par toute application
qualifiée PKI.

Le CA .NET Server stocke les données
de récupération des clés localement,
dans la base de données CA. Le
CA utilise une clé symétrique pour
crypter une clé privée archivée puis
utilise la clé publique d’un agent de récupération
des clés pour crypter la clé
symétrique. (Un agent de récupération
est un compte doté de privilèges de récupération
des clés.) Le CA stocke la
clé privée cryptée dans la colonne
RawArchivedKey de la base de
données CA, puis stocke la clé symétrique
cryptée dans la colonne
KeyRecoveryHashes. Un administrateur
peut examiner ces colonnes et le
reste du schéma de la base de données
CA à  partir de la ligne de commande.
Pour cela, taper

certutil -schema

Pour paramétrer la reprise des clés
d'un objet CA, ouvrez le snap-in
Microsoft Management Console
(MMC) Certification Authority, ouvrez
la boîte de dialogue Properties de l'objet
CA, puis allez à  l'onglet Recovery
Agents, illustré figure 1. Cochez la case
Archive the key pour valider la récupération
des clés. Dans la boîte de texte
Number of recovery agents to use, indiquez
le nombre d'agents de récupération
des clés que vous voulez établir.
Enfin, sélectionnez les comptes que
vous voulez utiliser comme agent de
récupération des clés. (Ces comptes
doivent posséder un certificat de récupération
des clés et une clé privée.

Une séquence complète de récupération
des clés du CA .NET Server
comporte les quatre étapes suivantes :

1. L'agent de récupération des clés inscrit
l'UPN (User Principal Name) ou
le numéro de série du certificat utilisateur
dont l'agent veut récupérer la clé privée.
2. Pour exporter les données de récupération
depuis la base de données
CA, l'agent de récupération des clés
ouvre une invite de commande et
tape :

certutil -getkey <numéro de série ou UPN> <fichier de sortie>

certutil -recoverkey <fichier de sortie> <fichier pkcs12>

Vous pouvez utiliser le snap-in
Certificate Templates pour valider l'archivage
des clés au niveau des templates
de certificat. Pour archiver automatiquement
la clé privée quand un
utilisateur demande un certificat fondé
sur un template particulier, ouvrez le
template, allez à  l'onglet Request
Handling, et cochez la case Archive
subject's encryption private key. Vous
ne pouvez définir l'option key-archival
que sur la version 2 des templates de
certificats.