PKI utilise des certificats émis par des serveurs appelés CA (Certification Authorities) pour se porter garant de l’authenticité d’un utilisateur et de sa clé publique. Avec PKI, deux correspondants qui ne se connaissent pas bien peuvent vérifier leurs identités respectives et échanger des informations en toute sécurité en faisant confiance à la CA. Une CA a sa propre paire de clés publique/privée : c’est la pierre angulaire de la sécurité PKI. Voyons un exemple. Pour que Bob tire parti de PKI, il doit obtenir de la part d’une CA, un certificat similaire à celui de la figure 1.

L’ordinateur de Bob génère une paire de clés publique/privée, puis contacte la CA. Bob doit ensuite s’authentifier auprès de la CA. (Voir l’encadré « Authentifier le demandeur d’un nouveau certificat » donne un aperçu du processus d’autorisation.) Par exemple, il fournit une identification qui peut inclure son nom, adresse électronique, société et département. Bob fournit sa clé publique à la CA, mais il ne partage jamais sa clé privée sauf si la CA procure des services de dépôt/sauvegarde (escrow/backup).

Ainsi, même la CA ne peut pas compromettre l’information protégée par la clé privée de Bob. Ensuite, la CA prend la clé publique et l’information d’identification de Bob et formate l’ensemble en un certificat, généralement d’après les PKCS (Public-Key Cryptography Standards) que RSA Laboratories définit. (Pour plus d’informations sur ces standards, allez ici) Enfin, la CA ajoute une signature numérique au certificat en faisant le hashing du certificat puis en cryptant le hash avec sa propre clé publique. Vous pouvez voir le hash crypté d’un certificat et l’algorithme hash de la CA utilisée (c’est-à-dire, sha1) dans les champs Thumbprint et Thumbprint algorithm du certificat que montre la figure 2. Le certificat résultant peut maintenant être publié dans des répertoires tels que AD (Active Directory) ou partagés par Bob avec d’autres intervenants.