La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1© William MAES – David-Olivier MILLIAT TCOM Promo 2003 Responsable : Mr. Stephan Public Key Infrastructure & Certificats X.509 26 Juillet 2002.

Présentations similaires


Présentation au sujet: "1© William MAES – David-Olivier MILLIAT TCOM Promo 2003 Responsable : Mr. Stephan Public Key Infrastructure & Certificats X.509 26 Juillet 2002."— Transcription de la présentation:

1 1© William MAES – David-Olivier MILLIAT TCOM Promo 2003 Responsable : Mr. Stephan Public Key Infrastructure & Certificats X Juillet 2002

2 2© William MAES – David-Olivier MILLIAT Introduction Intro Cryptography Certificates and Certification Authority What is a PKI ? What is a trust model? Solutions

3 3© William MAES – David-Olivier MILLIAT Certificats – Autorité de Certification Infrastructure de Gestion de Clés Le Projet PKI Cryptographie Les Offres Commerciales Sommaire Cryptographie

4 4© William MAES – David-Olivier MILLIAT Le Chiffrement : Transformer une information claire en information chiffrée, appelé cryptogramme. La Cryptographie : Science qui étudie les procédés de chiffrement et de déchiffrement. La Cryptanalyse : Etude des procédés de décryptage et de la sécurité des algorithmes de chiffrement. La Cryptologie : Cryptographie + Cryptanalyse. Cryptographie Définitions

5 5© William MAES – David-Olivier MILLIAT LAuthentification : – Vérification de lidentité dun objet, dune personne. LIntégrité dun objet : (document, fichier, message …) –Garantie que cet objet na pas été modifié. La Confidentialité : –Lassurance quun document ne sera pas lu par un tiers qui nen a pas le droit. La Non-répudiation : –Lémetteur dun message ne peut pas nier lavoir envoyé et le récepteur lavoir reçu. Authenticité = Authentification + Intégrité Cryptographie Les Objectifs

6 6© William MAES – David-Olivier MILLIAT Utilisateur BUtilisateur A ____ ___ ____ ___ Canal sûr Clé Secrète Algorithmes : DES, 3-DES, IDEA, RC2, RC4, … n(n-1)/2 clés à gérer pour n personnes Problème de transmission de la clé secrète par un canal sûr Cryptographie Cryptographie Symétrique

7 7© William MAES – David-Olivier MILLIAT Publique Privée Avantages –Pas de partage de secret –Pas de problème de distribution des clés publiques Cryptographie Cryptographie Asymétrique (1/2) La Cryptographie Asymétrique est la solution pour chiffrer et signer numériquement des documents Principe : un Bi-Clé (une clé privée, une clé publique) – La Clé privée doit rester secrète – La Clé publique est divulguée à tout le monde sous forme de certificat – La Clé privée ne peut pas être déduite de la clé publique en un temps raisonnable

8 8© William MAES – David-Olivier MILLIAT Utilisateur A Clé publique de BClé publique de A CCAABBDDEE ____ ___ Publique Privée ____ ___ Utilisateur B ____ ___ Publique Privée Algorithmes : RSA, DSA, El Gamal, … 2n échanges de clés nécessaires pour n personnes 100 à fois plus lent que le chiffrement symétrique Cryptographie Cryptographie Asymétrique (2/2)

9 9© William MAES – David-Olivier MILLIAT Fonction de Hachage à sens unique 45KLM33KO4 Empreinte Algorithmes : –MD5 : calcul dempreinte sur 128 bits, –SHA-1 : empreinte de 160 bits, plus sûr que MD5 Principe : Transformation d une chaîne de caractères de longueur quelconque en une chaîne de caractères de longueur fixe. ____ ___ Cryptographie Fonction de Hachage

10 10© William MAES – David-Olivier MILLIAT Utilisateur A ____ ___ LMERK360G Utilisateur B 45KLM33KO4 ____ ___ LMERK360G 45KLM33KO4 ____ ___ 45KLM33KO4 = ? Si les 2 empreintes sont identiques, lauthenticité du document est avérée Cryptographie La signature numérique Publique A Privée A Transfert

11 11© William MAES – David-Olivier MILLIAT ____ ___ Utilisateur A Utilisateur B Générateur de clés de session symétriques ____ ___ Publique BPrivée BSession Cryptographie Le Chiffrement de messages

12 12© William MAES – David-Olivier MILLIAT Certificats – Autorité de Certification Infrastructure de Gestion de Clés Le Projet PKI Cryptographie Les Offres Commerciales Sommaire

13 13© William MAES – David-Olivier MILLIAT Problématique Dans une architecture à clés publiques : Les clés privées doivent être générées et stockées de manière sûre Les clés publiques doivent être diffusées le plus largement possible. Lorsquon utilise la clé dun correspondant, il est nécessaire de sassurer : quelle appartient bien à ce correspondant que lémetteur de cette clé est digne de confiance quelle est toujours valide Certificats & AC

14 14© William MAES – David-Olivier MILLIAT Notion de confiance Besoin de confiance sur ce que prétend être le correspondant. La limite de la cryptographie à clé publique réside dans la confiance que l'on donne aux informations échangées (clés publiques). La confiance est obtenue en associant au bi-clef un certificat délivré et géré par un tiers de confiance. Certificats & AC

15 15© William MAES – David-Olivier MILLIAT Solution Charger une autorité de signer les clés publiques Elle crypte une empreinte de la clé publique de la personne avec la clé privée de lautorité. On sassure de la provenance de la clé publique en vérifiant la signature qui y a été apposée avec la clé publique de lautorité de certification. Une clé publique signée par un tiers de confiance est appelée Certificat. Certificats & AC

16 16© William MAES – David-Olivier MILLIAT Quest ce quun Certificat ? Il correspond à l'association de : la clé publique l'identité de son propriétaire l'usage qui peut être fait de la clé Un certificat est léquivalent dune carte didentité ou dun passeport. Il est délivré par une Autorité de Certification. Un certificat est un document électronique émis par une tierce partie de confiance qui permet de garantir lauthenticité dune clé publique. Certificats & AC

17 17© William MAES – David-Olivier MILLIAT Autorité de Certification Lautorité de certification (AC) est une autorité centrale responsable de certifier les clés publiques des utilisateurs Lautorité de certification (AC) est une autorité centrale responsable de certifier les clés publiques des utilisateurs « Tiers de confiance » - Génération des certificats - Authentification auprès dautres autorités de certification - Génération des certificats - Authentification auprès dautres autorités de certification Possède un bi-clé certifié - Perte/vol/date de péremption - Compromission de clefs - Perte/vol/date de péremption - Compromission de clefs Révoque les certificats - Politique de certification ( « facteur humain » ) Définit les règles d attribution des certificats Certificats & AC

18 18© William MAES – David-Olivier MILLIAT Politique de Certification Génération des certificats et conditions dattribution Authentification et Identification des utilisateurs Révocation et renouvellement des certificats Journalisation, archivage, reprise sur incident Contrôles de sécurité physique et logique Gestion du stockage et de lutilisation des bi-clés ProcéduresProcédures Définition « Un ensemble de règles, nommé, qui indique si un certificat est applicable à une communauté particulière ou une classe d application d un type de certificat avec des exigences de sécurité communes. » Normalisé IETF dans la RFC 2527 « Certificate Policy and Certification Practises Framework ». Certificats & AC Contenu

19 19© William MAES – David-Olivier MILLIAT Hiérarchie de AC AC Root (Autorité racine) AC Région 1 AC Région 2 AC Région 3 AC Région 4 AC Département 3 AC Département 2 AC Département 1 Chemin de certification LAutorité de Certification racine est le point de confiance. Certificats & AC Identrust et GTA

20 20© William MAES – David-Olivier MILLIAT Cross-Certification AC qui se font mutuellement confiance dans leur domaine de confiance. EPITAStevens SRS GISTRTCOM Prof Élèves Masters Élèves Certificats & AC Inter-Opérabilité

21 21© William MAES – David-Olivier MILLIAT Demande de certificat L AC génère un bi-clé pour un nouvel utilisateur Internet ISP Autorité de Certification Annuaire (LDAP) Stocké sur un Jeton Lutilisateur stock ces données sur un jeton hardware ou software Le certificat de lutilisateur est publié dans un annuaire publique Clé Publique Clé Privée _____ ____ Certificat Clé Privée _____ ____ Certificat Réseau local Client Firewall L AC crée un certificat numérique contenant la clé publique de lutilisateur, des informations didentification (nom, pays, …) L AC transmet à lutilisateur le certificat et la clé privée de façon sécurisée (transfert physique ou session cryptée) _____ ____ Certificat Certificats & AC

22 22© William MAES – David-Olivier MILLIAT Révocation dun certificat Rôle de lAutorité de Certification La révocation est le « talon dAchilles » de tout système à clés publiques... Possibilité de révoquer un certificat avant son expiration Publication dune Liste de Certificats Révoqués CRL = Certificate Revocation List « Black List » des certificats Informe les autres utilisateurs lorsquun certificat cesse dêtre valide Certificats & AC

23 23© William MAES – David-Olivier MILLIAT CRL/LRC Les CRLs sont standardisées dans la RFC 2459 Chaque entrée contient : le numéro de série du certificat la date de la révocation d autres infos comme la cause de la révocation Les CRLs sont signées par lAC lors des échanges Taille des listes augmente avec la taille de la PKI Méthodes permettant de réduire les données et améliorer leur traitement delta-CRL CDP OCSP Certificats & AC

24 24© William MAES – David-Olivier MILLIAT Vérification dun certificat - Vérifie létat dun certificat - Mécanisme de requête/réponse - Utilisation des CRLs comme source dinformation. - Vérifie létat dun certificat - Mécanisme de requête/réponse - Utilisation des CRLs comme source dinformation. OCSP Online Certificate Status Protocol La vérification d'un certificat consiste non seulement à vérifier sa signature, mais aussi à interpréter les données présentes pour vérifier que la clé certifiée est bien valide. Définition Inconnu Révoqué Bon Etats possibles Certificats & AC

25 25© William MAES – David-Olivier MILLIAT Distinguished Name (DN) Distinguished Name : nom distinctif absolu (unique) Certificat X.509 : Le DN va permettre didentifier l AC et le propriétaire du certificat. ROOT FR EPITA TCOM Murphy Country Organization Organization Unit Common Name {C=FR} {C=FR, O=EPITA} {C=FR, O=EPITA, OU=TCOM} {C=FR, O=EPITA, OU=TCOM, CN=Murphy} DN Certificats & AC

26 26© William MAES – David-Olivier MILLIAT Le standard X.509 Principal format utilisé pour les certificats Basé sur la norme X.500 Normalisé IETF dans la RFC 2459 « Internet X.509 Public Key Infrastructure Certificate and CRL Profile » Versions successives 1988 : V : V2 = V1 + 2 nouveaux champs 1996 : V3 = V2 + extensions Certificats & AC

27 27© William MAES – David-Olivier MILLIAT Type Criticality Value Type Criticality Value Criticality Value Subject unique identifier Issuer unique identifier Information clé publique Nom du sujet Période de validité Nom de lemetteur Algorithme de signature Numéro de série Version Signature AC V1 (88) V2 (93) V3 (96) Format dun certificat X.509 v3 Chiffrement avec la clé privée de lautorité de certification 45KLM33KO4 LMERK360G Création dune empreinte à laide dune fonction de hachage Certificats & AC

28 28© William MAES – David-Olivier MILLIAT Certificate : Version: 3 (0x2) Serial Number:7 (0x7) Signature Algorithm:md5WithRSAEncryption Issuer:C=FR, ST=France, L=Paris, O=EPITA, OU=ADM, CN=ROOT Validitye:Not Before: Sep 11 09:49: GMT Not After : Sep 11 09:49: GMT Subject:C=FR, ST=France, L=Paris, O=EPITA, OU=TCOM, CN=MURPHY Subject Public Key Info:Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) 00:d3:8a:78:15:90:bb:7f:62:50:37:e1:7f:ee:fd:7c:0e:86:c2:1f:50:d9 X509v3 extensions:Netscape CA Revocation Url: Netscape Comment : Autorite de Certification CNRS-DSI Signature Algorithm: md5WithRSAEncryption 47:27:8b:b6:4e:7c:22:aa:00:93:9a:c1:e0:04:ad:55:cf:51:c7: BEGIN CERTIFICATE----- MIIC7TCCAlagAwIBAgIBBzANBgkqhkiG9w0BAQQFADCBhjELMAkGA1UEBhMCRlIxfK khXGEkWafhxb3ilCqAFxif4J7DPEX2fgmLEcwDqccR -----END CERTIFICATE----- Exemple dun certificat X.509 v3 (1/2) Certificats & AC

29 29© William MAES – David-Olivier MILLIAT Exemple dun certificat X.509 v3 (2/2) Certificats & AC

30 30© William MAES – David-Olivier MILLIAT Extensions(optionnel) Revoked Certificate Extensions LCR Date de révocation N° de série du certificat Revoked Certificate Next update Last update Nom de lémetteur Algorithme de signature Format des CRL X.509 Version Signature AC V2 Chiffrement avec la clé privée de lautorité de certification 45KLM33KO4 LMERK360G Création dune empreinte à laide dune fonction de hachage V2 Certificats & AC

31 31© William MAES – David-Olivier MILLIAT Types de certificats (1/2) Hébergé sur un PC, carte à puce, jeton USB … Usage privé Messagerie, chiffrement, achat en ligne … Certificat Personnel Certificat Serveur Hébergé sur un serveur Web Lié à une adresse de type Internet (http://… ) Sécuriser les échanges électroniques (SSL) Certificats & AC

32 32© William MAES – David-Olivier MILLIAT Types de certificats (2/2) Intégré à certains browser (IE, Netscape) Donne le droit à certaines applications de se lancer Applets, scripts Certificat Développeur Hébergé sur des routeurs Chiffre les flux transitant entre lui et un autre équipement réseau VPN, Tunnel IPSEC Certificat IPSEC Certificats & AC

33 33© William MAES – David-Olivier MILLIAT Cycle de vie dun certificat Demande de certificat Utilisation du certificat Certificats & AC

34 34© William MAES – David-Olivier MILLIAT Stockage du certificat Disque dur (faible sécurité) Token USB (haute sécurité) Carte add-on (haute sécurité) Certificats & AC Carte à puce (très haute sécurité)

35 35© William MAES – David-Olivier MILLIAT Certificats – Autorité de Certification Infrastructure de Gestion de Clés Le Projet PKI Cryptographie Les Offres Commerciales Sommaire

36 36© William MAES – David-Olivier MILLIAT Nom donné aux infrastructures permettant la mise en œuvre de la cryptographie à clés publiques Un standard : Certificats X.509 But : Créer un environnement de CONFIANCE PKI « Public Key Infrastructure » IGC « Infrastructures de Gestion de Clefs » ICP « Infrastructures à Clefs Publiques » PKI - IGC - ICP Présentation

37 37© William MAES – David-Olivier MILLIAT Le rôle de la PKI est dassurer une gestion et une diffusion fiable de clés / cartes /certificats utilisés au quotidien, au travers dapplications sécurisées. Définition PKI - IGC - ICP Cest un ensemble de moyens – Matériels, – Logiciels, – Organisationnels, nécessaires pour déployer à grande échelle un système cryptographique basé sur les certificats X509.

38 38© William MAES – David-Olivier MILLIAT PKI Certificat Signature et Certificat INTEGRITE NON-REPUDIATION AUTHENTIFICATIONSignature CONFIDENTIALITE Chiffrement Les enjeux PKI - IGC - ICP

39 39© William MAES – David-Olivier MILLIAT Enregistrer les utilisateurs Générer les clés et les certificats Émettre les clés et les certificats aux utilisateurs Publier les certificats dans un annuaire Révoquer les certificats si nécessaire Renouveler les clés et les certificats en fin de période de validité Gérer la production des cartes à puce / tokens Les fonctions de base Les fonctions avancées Service de séquestre et de recouvrement des clés Fonction dhorodatage Validation de la politique de certification Les fonctionnalités PKI - IGC - ICP

40 40© William MAES – David-Olivier MILLIAT Infrastructure de confiance Certificats S/MIME – SSL – SET – IPSEC – cartes à puce Infrastructure de communication IP – GSM - … Commerce électronique VPN Applications spécifiques Formulaires signés Messagerie sécurisée Une PKI est une infrastructure fournissant des services de sécurité à des applications Une PKI est une infrastructure fournissant des services de sécurité à des applications Motivations PKI - IGC - ICP

41 41© William MAES – David-Olivier MILLIAT Document signé Identité confirmée Autorité dEnregistrement Utilisateur AUtilisateur B Principe (signature) PKI - IGC - ICP Autorité de Certification Certificat Clé publique (A) Annuaire Clé privéeCertificat Clé publique (A) Identité vérifiée

42 42© William MAES – David-Olivier MILLIAT Lautorité de certification (AC) est une autorité centrale responsable de certifier les clés publiques des utilisateurs Lautorité de certification (AC) est une autorité centrale responsable de certifier les clés publiques des utilisateurs Définition Autorité de Certification (AC) PKI - IGC - ICP Émettre les certificats par apposition de sa signature Gérer le cycle de vie des certificats Générer les bi-clés Gérer les clés (distribution, recouvrement, etc.) Révoquer les certificats – Émettre et gérer les LCR Réaliser la certification croisée avec dautres AC Rôles et responsabilités : (PKI centralisée)

43 43© William MAES – David-Olivier MILLIAT Enregistrer les demandes de certificats Vérifier lidentité des demandeurs ou porteurs de certificats Récupérer la clé publique du demandeur Soumettre les demandes de génération de certificats à lAC CSR (Certificat Signing Request) Soumettre les demandes de révocation de certificats Lautorité denregistrement (AE) représente le lien physique entre les utilisateurs et la PKI Lautorité denregistrement (AE) représente le lien physique entre les utilisateurs et la PKI Définition Autorité dEnregistrement (AE) PKI - IGC - ICP Rôles et responsabilités :

44 44© William MAES – David-Olivier MILLIAT Rend disponible, à lensemble des utilisateurs, les certificats émis par une Autorité de Certification Publie une liste de certificats valides (LAR) Publie une liste de certificats révoqués (LCR) Le Service de Publication correspond à un annuaire contenant lensemble des certificats Le Service de Publication correspond à un annuaire contenant lensemble des certificats Définition Service de Publication PKI - IGC - ICP Il sagit en général dun annuaire supportant le standard X.500/LDAP Rôle :

45 45© William MAES – David-Olivier MILLIAT Elle garantit la date qui est apposée sur les documents et signatures issues de lAC (Time-stamping) Non-répudiation Elle garantit la date qui est apposée sur les documents et signatures issues de lAC (Time-stamping) Non-répudiation Autorité dHorodatage Conserve les clés secrètes de chiffrement des utilisateurs (perte, vol, …) Conserve les clés secrètes de chiffrement des utilisateurs (perte, vol, …) Autorité de Recouvrement Vérifie létat dun certificat (bon, révoqué, inconnu) On peut lassimiler à un serveur OCSP Vérifie létat dun certificat (bon, révoqué, inconnu) On peut lassimiler à un serveur OCSP Autorité de Validation Délivre les clés privées et les certificats aux utilisateurs (fichier, carte à puce, clé USB) Délivre les clés privées et les certificats aux utilisateurs (fichier, carte à puce, clé USB) Centre de Distribution Autres PKI - IGC - ICP

46 46© William MAES – David-Olivier MILLIAT AUTORITE DENREGISTREMENT Autorité de ValidationAutorité de Recouvrement Centre de DistributionAutorité dHorodatage Postes Clients AUTORITE DE CERTIFICATION ANNUAIRE LDAP – X500 Les Composantes PKI - IGC - ICP

47 47© William MAES – David-Olivier MILLIAT Son rôle est la mise en oeuvre d'une plate-forme opérationnelle, fonctionnelle et sécurisée dans le respect des procédures de la Politique de Certification. Architecture très sécurisée (Bunker, redondance des machines, …) Il est dépositaire de la clé privée de lAutorité de Certification. L'Opérateur de Certification assure la partie technique de la production des certificats en cas dexternalisation de la PKI L'Opérateur de Certification assure la partie technique de la production des certificats en cas dexternalisation de la PKI Définition Opérateur de Services de Certification (OSC) Opérateur de Certification (OC) PKI - IGC - ICP

48 48© William MAES – David-Olivier MILLIAT Demande de certificat Remise de certificat Demande de fabrication Fabrication de certificat OC : Principe PKI - IGC - ICP Transfert de la demande Vérification identité ACAEOC

49 49© William MAES – David-Olivier MILLIAT Demande de certificat Vérification des données personnelles Édition dun certificat Signature du certificat Vérification de la signature de lAE Génération du certificat et signature Récupération du certificat Informe de la disponibilité du certificat Transfert de la demande AEAC Publication ANNUAIRE Informe que le certificat est créé Scénario de demande de certificat PKI - IGC - ICP

50 50© William MAES – David-Olivier MILLIAT Définition des formats des éléments de cryptographie : 15 Standards : PKCS #1 : recommandations pour limplémentation de systèmes crypto utilisant RSA PKCS #3 : échange de clés par Diffie Hellman PKCS #5 : utilisation de mot de passe en cryptographie PKCS #7 : syntaxe de messages cryptographiques (certificat…) PKCS #8 : syntaxe pour des données mémorisant des clés privés PKCS #10 : syntaxe pour une requête de certification PKCS #11 : API "Cryptoki" pour des équipements contenant des informations cryptographiques et réalisant des fonctions cryptographiques etc. … PKCS ( Public Key Cryptography Standards ) PKI - IGC - ICP Ensemble de standards pour la mise en place des PKI Contribution de la société américaine RSA

51 51© William MAES – David-Olivier MILLIAT L authentification : du serveur (SSL v2), du client (SSL v3) Signature de codes actifs (Java, JavaScript, ActiveX,...) Signature de formulaires Messagerie sécurisée (S/MIME, PGP) Groupware, EDI, Workflow sécurisés Commerce électronique (SET, C-SET, SSL) Protection des réseaux (IPSec) Sécurisation des postes clients (contrôle d accès, chiffrement de disque) Les infrastructures (PKI-X, ISO) Les Applications (1/2) PKI - IGC - ICP

52 52© William MAES – David-Olivier MILLIAT Les Applications (2/2) PKI - IGC - ICP Source: Aberdeen Group, PKI Multi-Client Study, December % 62% 58% 43% 21% Web VPN Spécifique ERP Relatif à lensemble des entreprises possédant une solution PKI Relatif à lensemble des entreprises possédant une solution PKI

53 53© William MAES – David-Olivier MILLIAT SSL « Secure Socket Layer » Authentification par certificat Du serveur (V2) Du client (V3) Chiffrement Canal sécurisé pour le transport des données de lapplication Sécurisation de http, ftp, telnet, messagerie… Extension : TLS « Transport Layer Security » IPSEC « IP SECurity protocol » Communication entre équipements Authentification des intervenants dans la communication Protocole supportant les VPNs « Virtual Private Network » Implémentation propriétaires Les Standards (1/2) PKI - IGC - ICP

54 54© William MAES – David-Olivier MILLIAT ISAKMP « Internet Security Association and Key Management Protocol » Négociation pour les algorithmes et les clefs Échange des clefs et authentification À donné naissance à IKE « Internet Key Exchange » S-MIME « Multi purpose Internet Mail Extensions » Authentification, intégrité, non-répudiation de lorigine, confidentialité de messages électroniques Supporté par Netscape, Lotus, Microsoft SET « Secure Electronic Transaction » Protocole de paiement par carte bancaire Orienté commerce électronique Banques, Certplus, carte Visa Les Standards (2/2) PKI - IGC - ICP

55 55© William MAES – David-Olivier MILLIAT Le serveur envoie une copie de son certificat serveur au navigateur Le navigateur vérifie la signature apposée sur le certificat serveur auprès de lAC associée Le navigateur génère une clé de session (symétrique) Le navigateur chiffre la clé de session avec la clé publique du serveur et transmet Le navigateur se connecte au serveur sécurisé Lautorité de validation de L AC contrôle létat du certificat et répond au navigateur Échange de données sur un canal chiffré avec la clé de session Le serveur déchiffre la clé de session grâce à sa clé privée SSL 2.0 et HTTPS PKI - IGC - ICP

56 56© William MAES – David-Olivier MILLIAT La gestion centralisée de lensemble du cycle de vie des certificats La compatibilité avec les différents standards de Token (soft, carte puce, jeton USB) offrant différents niveaux de sécurité pour la protection des clés privées La distribution sûre des clés publiques grâce au format de certificat normalisé X.509 Le support des mécanismes de gestion des droits et privilèges (Certificats dattributs, BD de gestions des droits, Annuaires, …) La compatibilité avec les applications majeures de sécurité (SSL, S/mime, IPSec, VPN…) Avantages dune PKI PKI - IGC - ICP

57 57© William MAES – David-Olivier MILLIAT Le coût : le coût dexploitation de la PKI est élevé car : Elle doit respecter des exigences de sécurité très fortes Elle nécessite une infrastructure réseaux, annuaires, TTS,.. Elle nécessite des équipes compétentes La diversité des standards : Plusieurs protocoles de gestion des certificats Plusieurs formats de requêtes, pkcs#10, crmf,.. Plusieurs protocoles de validation OCSP, DSV, …. Plusieurs tendances de standardisation PKIX, SPKI,.. Inconvénients dune PKI PKI - IGC - ICP

58 58© William MAES – David-Olivier MILLIAT Certificats – Autorité de certification Infrastructure de gestion de clés Le Projet PKI Cryptographie Les Offres Commerciales Sommaire

59 59© William MAES – David-Olivier MILLIAT Définition de la durée de vie des clefs (privée, publique et/ou de session) de la durée de vie des certificats de la gestion des listes de révocation Étude des moyens de distribution des certificats style « carte de crédit » : récupération en main propre ? via communications sécurisées type « VPN » Définir la nécessité dun recouvrement des clefs privées Prévoir linteraction avec dautres communautés Impact sur les structures existantes … Le Projet PKI Plan de déploiement Définition de politiques de certification

60 60© William MAES – David-Olivier MILLIAT Lauto-certification (sans tiers de confiance) Bâtir une solution avec un produit du marché Utiliser les services dun tiers de confiance externe Utiliser les services dun Opérateur de Certification Le Projet PKI Choix de la solution PKI

61 61© William MAES – David-Olivier MILLIAT Facilité de déploiement Ne nécessite aucune infrastructure (postes clients uniquement) Faible coût Problème de diffusion des clés publiques Problème de révocation des certificats Inadaptée aux entreprises La gestion des certificats est assurée par les utilisateurs Avantages Inconvénients Pas de tiers de confiance / Pas dannuaire Le Projet PKI Lauto-certification

62 62© William MAES – David-Olivier MILLIAT Maîtriser et contrôler lensemble de la chaîne de confiance Interopérabilité totale entre les services de la PKI Flexibilité du service offert en fonction des exigences de sécurité et du besoin Installation, configuration et maintenance de lensemble des composants de la PKI Maintenir une équipe pour la gestion de linfrastructure Support des nouvelles applications et des nouveaux standards Avantages Inconvénients Le Projet PKI Produit du marché Postes Clients Postes Clients AE L AE AR AH annuaire CD AC AV Client

63 63© William MAES – David-Olivier MILLIAT Facilité et rapidité de déploiement Infrastructure complètement déportée Faible infrastructure à gérer (AEL et postes clients) Coût abordable pour les petites communautés La conformité aux standards Chaîne de confiance Gestion des données sensibles Les adaptations Coût élevé pour grandes communautés Limite de garantie et de responsabilité Avantages Inconvénients Le Projet PKI Tiers de confiance externe AR AE L AH AE AC AV annuaire Postes Clients Postes Clients CD Prestataire Client

64 64© William MAES – David-Olivier MILLIAT Infrastructure semi déportée sur le site de lOSC Facilité de déploiement Contrôle partiel de la chaîne de confiance Bon rapport coût / sécurité pour les grandes communautés Flexibilité du service offert par lOSC Nécessite de maintenir une infrastructure minimale Choix des composants PKI réduit Choix des outils réduits (si non imposé) Mauvais rapport coût / sécurité pour les petites communautés Avantages Inconvénients Le Projet PKI Opérateur de Certification annuaire CD AE L OC AR AE AC AH AV AE L Postes Clients Postes Clients Prestataire Client

65 65© William MAES – David-Olivier MILLIAT Deux visions bien différentes : Le Projet PKI PKI = Projet ou Produit ? Les produits PKI marchent sur un modèle économique basé sur le nombre de certificats vendus La vision du vendeur de PKI est la suivante : 70 % Technique % Organisation 0-5 % Juridique. La réalité dun projet typique dit « PKI » : % Technique % Organisation 20-30% Juridique

66 66© William MAES – David-Olivier MILLIAT Le Projet PKI État de lart des PKI Source: Aberdeen Group, PKI Multi-Client Study, December % 31% 18% 30% 2% 1% 2% Nutiliseront pas Planifié Phase dévaluation Phase pilote En déploiement Prévu avant 2002 Prévu aprés 2002 Relatif à lensemble des entreprises possédant une solution PKI Relatif à lensemble des entreprises possédant une solution PKI

67 67© William MAES – David-Olivier MILLIAT Source: Frost & Sullivan, US Encryption Application Market, December 2000 $0 $500 $1,000 $1,500 $2,000 $2,500 $3,000 $3,500 $4,000 $4,500 $5, Revenu (M$) Le Projet PKI Évolution du marché

68 68© William MAES – David-Olivier MILLIAT Certificats – Autorité de certification Infrastructure de gestion de clés Le Projet PKI Cryptographie Les Offres Commerciales Sommaire

69 69© William MAES – David-Olivier MILLIAT Produits : Tiers de confiance : OC : Auto-certification : Les principaux acteurs Les Offres PKI

70 70© William MAES – David-Olivier MILLIAT Les éditeurs de logiciels clients Source : IDC, Les éditeurs de logiciels client PKI Les Offres PKI

71 71© William MAES – David-Olivier MILLIAT Baltimore :UniCERT 5.0 Entrust Technologies:Security Manager 6.0 Les offres des constructeurs PKI OpenCA:OpenCA RSA Security:RSA Keon 5.7 Sagem:Confidence Les Offres PKI VeriSign:OnSite

72 72© William MAES – David-Olivier MILLIAT Une offre PKI en détail Prix : A partir de HT Support technique Licence annuelle des certificats Assistance technique (1 journée & demie) Kit d'administration INITIALE Mise à disposition dune Autorité denregistrement personnalisée L'Offre INITIALE de Certplus : Création de votre Autorité de Certification Mise à disposition de l'infrastructure hautement sécurisée de Certplus Les Offres PKI

73 73© William MAES – David-Olivier MILLIAT Un cas concret Coût annuel dans une démarche « produit » : 1,8 M Annuaire LDAP1 M PKI (soft)300 K Intégration150 K Support /maintenance250 K Consulting80 K Coût annuel dans une démarche Open Source : 800 K Annuaire, PKI0 Intégration400 K Support, maintenance250 K Consulting, juridique150 K Sécurisation dun portail, utilisant des certificats X.509, dimensionné pour dutilisateurs Les Offres PKI

74 74© William MAES – David-Olivier MILLIAT Les coûts des certificats Prix 1 an Renou. 1 an Certificat Développeur Certificat Personnel Gratuit 15 Certificat Serveur Prix 1 an Renou. 1 an Certificat IPSEC Non disponible 60 (Go Secure! For VPN) Les Offres PKI

75 75© William MAES – David-Olivier MILLIAT Les coûts cachés Lecteur avec carte à puce:de 30 à 75 (HT) Token USB:de 15 à 50 (HT) Carte add-on:de 700 à 1500 (HT) Biométrie : Reconnaissance digitale Environ 200 (HT) Reconnaissance vocale + iris Jusquà 8000 (HT) Les Offres PKI Renouvellement

76 76© William MAES – David-Olivier MILLIAT Bilan Les Offres PKI Evolutivité Indépendance des applications Beaucoup de services Microsot Outlook Lotus Notes Fonctionnalités faibles Peu évolutif Métiers Open Ca IDX-PKI Support / Maintenance Interface Coût Respect des standards Stabilité IntégréesOpenSource Avantages Inconvénients Acteurs Coût élevé Maintenance RSA Baltimore Entrust Coût Déploiement

77 77© William MAES – David-Olivier MILLIAT PKI, combined with X.509 Certificates are interesting and promising, but we must remain realistic PKI are a trend set by vendors The technology and products are neither stable nor mature A PKI is not a goal in itself, it has to be used by applications A PKI is a big initial investment and a long term commitment; it should not be launched lightly. Conclusion To conclude

78 78© William MAES – David-Olivier MILLIAT Questions


Télécharger ppt "1© William MAES – David-Olivier MILLIAT TCOM Promo 2003 Responsable : Mr. Stephan Public Key Infrastructure & Certificats X.509 26 Juillet 2002."

Présentations similaires


Annonces Google