KMS

l’émission et de la révocation des certificats
X.509v3, reconnus par les
clients Secure/Multipurpose Internet
Mail Extension (S/MIME), ainsi que de
la maintenance de la Certificate Trust
List (CTL). Il peut aussi être subordonné
à  une autorité de certification
tierce partie comme Verisign par
exemple, très utile lorsqu’il s’agit de
communiquer avec le monde extérieur
à  l’entreprise.

Key Management Service (KMS)
est un composant d’Exchange 2000 qui
utilise nativement le serveur de
Certificats de Windows 2000 et ne nécessite
pas l’utilisation d’une autorité
de certification (Certification Authority
ou CA) supplémentaire

Quand un utilisateur désire authentifier
et sécuriser ses messages,
KMS adresse une requête au Microsoft
Certificat Server qui génère le certificat
et le stocke dans l’Active Directory.

Le client de messagerie Outlook va
générer à  partir de ce certificat une
paire de clefs (public et privée) pour la
signature électronique des messages.
La clef privée est stockée dans la base
de registre pour les clients Outlook
2000 ou supérieur. Une autre paire de
clefs sera générée pour le cryptage/décryptage
des messages et stockée cette
fois-ci dans la base de données ESE
cryptée du KMS. Le stockage de la clef
privée, nécessaire lors de la signature
d’un message, sur le poste client est un
gage de sécurité car elle évite toute
tentative d’utilisation frauduleuse de la
signature d’un utilisateur par un administrateur
Exchange.

Il faut quand même souligner, que
si le cryptage des messages permet
d’accroître la confidentialité et la sécurité
des échanges au sein de l’entreprise,
il peut néanmoins constituer un
danger potentiel puisqu’il rend les firewalls
et produits antivirus complètement
inopérants.