Autorité de certification

Slides:



Advertisements
Présentations similaires
Les Systèmes de Paiements Électroniques. Les Systèmes de paiements Électroniques Moyens de paiements « traditionnels » Nécessite double coïncidence des.
Advertisements

Chap.IV La cryptographie asymétrique (à clé publique)
Mines nancy > ici, c’est déjà demain LES CHARTES EN ENTREPRISE SUR LA BONNE UTILISATION DES TIC 101/03/16Jules ARBELOT & Benjamin SALEM.
SRT 2 NTP. Nécessité ● Les ordinateurs utilisent des horloges à quartz – Peu de précision – Tendance à dériver – Parfois plusieurs secondes par jour.
QuickPlace de LOTUS Logiciel générateur de SITE WEB : Installé sur un serveur (grenet), Permet de créer / gérer / utiliser un site privé, De donner des.
Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.
1 Impacts organisationnels du déploiement des certificats de personnes TCS Jean-François GUEZOU
TECHNOLOGIE 3 ème Gr 4 Equipe 2 Compte Rendu Compétence : Lorsque j'utilise ou transmets des documents, je vérifie que j'en ai le droit. Domaine : C.2.3.
Réalisé & présenté par Mouna BEN ISHAK Année universitaire
Découvrir FranceConnect
GPG signature et chiffrement
« Mon compte partenaire » 1er services en ligne : CDAP et HAPPS
Noms prénoms des élèves du groupe
Découvrir FranceConnect
Comment Sécuriser Le Système d’information de son entreprise
Mars 2017 Politique de Sécurité Ionis-STM - David MARKOWICZ.
Messagerie (Orange - Gmail)
FARAH.Z "Cours sécurité1" /2016
Comment accroître le nombre de contributions externes ?
ASSURER LE SUIVI DES MESSAGES TELEPHONIQUES
Les Bases de données Définition Architecture d’un SGBD
NuFW, un parefeu authentifiant
Chiffrement de bout en bout
SECURITE DU SYSTEME D’INFORMATION (SSI)
2ème partie – mise en oeuvre
La carte d’identité électronique au service de l’e-gouvernement wallon
FARAH.Z "Cours sécurité1" /2016
1ers pas des utilisateurs migrés
Recip-e La prescription ambulatoire électronique
Mise en place d’une stratégie de groupe
Exercice des nouvelles Besoin croissant d'échanges dématérialisés
Documentation technique (Linux)
Création Et Modification De La Structure De La Base De Données
Commerce électronique Elbekri Sarra Hamdi Amel Zriba Mariam
DATA WEARHOUSE 1ère année LA: Technologies systèmes d’information
Formation sur les bases de données relationnelles.
LA RGPD 2018 Mise en conformité de votre OF
Vérifier des papiers d’identité pour protéger vos bureaux
L1 Technique informatique
Observatoire de la Sécurité des Systèmes d'Information et des Réseaux
5 Analyse avec Designer d'Oracle
LLAGONNE Vincent MAUPIN Nicolas FERNANDEZ Quentin
Découvrir FranceConnect
Découvrir FranceConnect
Découvrir FranceConnect
Découvrir FranceConnect
Déploiement Windows 10 Forum du CEG 2017 Polyvalence Qualité
DEVELOPPER LE PANIER MOYEN
Chapitre V La Procédure Comptable
Circuit du médicament à l’hôpital .
Sommaire : Les capteurs de force. Les capteurs à jauges de contraintes
7- Nouveaux services pédagogiques pour les élèves
PRESENTATION LETTRE RECOMMANDEE EN LIGNE
La dématérialisation des marchés publics
03/05/2019 L’organisation et la gestion des fichiers sur le site collaboratif Martine Cochet 2SitePleiadeGestionFichiers.
Découvrir FranceConnect
LE RGPD ET LES DROITS A LA PERSONNE - LE DROIT D’ACCES
Dématérialisation des
Backup des Postes de Travail
Découvrir FranceConnect
Retour d’expérience Solutions organisationnelles
Découvrir FranceConnect
Découvrir FranceConnect
AUTORITE DE CERTIFICATION SOUS WINDOWS SERVEUR 2012 R2. HISSEIN BANAYE HASSAN
Découvrir FranceConnect
Découvrir FranceConnect
INFRASTRUCTURE À CLÉS PUBLIQUES || PUBLIC KEY INFRASTRUCTURE. | HISSEIN BANAYE HASSAN
Gestion des destinataires (recipients)
RECTORAT DE MARTINIQUE Division des Affaires Financières
Transcription de la présentation:

Autorité de certification SRT3 Autorité de certification

Public Key Infrastructure Rôle : Délivrer des certificats numériques, permettant d'offrir les garanties suivantes : confidentialité : seul le destinataire (ou le possesseur) légitime d'un message pourra en avoir une vision intelligible authentification : lors de l'envoi d'un bloc de données ou d'un message ou lors de la connexion à un système, on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté intégrité : on a la garantie qu'un bloc de données ou un message expédié n'a pas été altéré, accidentellement ou intentionnellement non-répudiation : l'auteur d'un bloc de données ou d'un message ne peut pas renier son œuvre.

PKI : entités Application de processus de vérification d'identité rigoureux Mise en oeuvre de solutions cryptographiques fiables Fait l'objet de nombreux contrôles Le statut de PKI n'est pas délivré à n'importe qui PKI contient 4 entités avec des rôles bien précis : L'Autorité de Certification (AC ou CA) qui a pour mission de signer les demandes de certificat (CSR : Certificate Signing Request) et de signer les listes de révocation (CRL : Certificate Revocation List), cette autorité est la plus critique.

PKI : entités (suite) L'Autorité d'Enregistrement (AE ou RA) qui a pour mission de générer les certificats, et d'effectuer les vérifications d'usage sur l'identité de l'utilisateur final (les certificats numériques sont nominatifs et uniques pour l'ensemble de l'IGC). L'Autorité de Dépôt (Repository) qui a pour mission de stocker les certificats numériques ainsi que les listes de révocation (CRL). L'Entité Finale (EE : End Entity) L’utilisateur ou le système qui est le sujet d’un certificat (En général, le terme “entité d’extrémité” (EE) est préféré au terme “sujet” afin d’éviter la confusion avec le champ Subject.)

Certificats numériques certificats de signature : signer des documents ou s'authentifier sur un site web) certificats de chiffrement : clé publique utilisée pour chiffrement, clé privée détenue par le destinataire utilisée pour déchiffrer Repose sur la technique des des clés asymétriques, ou clés publiques Association entre un certificat publique et une donnée privée

Certificats Un certificat numérique porte les caractéristiques de son titulaire : nom et prénom, nom de structure (par exemple, son entreprise ou son... État !), nom d'entité d'appartenance. Pour un équipement informatique (comme une passerelle d'accès ou un serveur d'application sécurisé), le nom est remplacé par l'URI du service. À ces informations d'identification s'ajoute la partie publique du biclef Le certificat est donc un en-tête + clé publique Clé privée pas diffusée

Cryptographie asymétrique Reposé sur l'existence de fonction à sens unique On applique une fonction à un message qui devient caché Impossible de retrouver le message clair A moins d'avoir la clé de chiffrement Cryptographie symétrique : pour chiffrer et déchiffrer le message : même clé Cryptographie asymétrique : une clé pour chiffrer, une clé pour déchiffrer

Pour le chiffrement Alice souhaite pouvoir recevoir des messages chiffrés de n'importe qui. 1) Elle génère alors une bipaire clé publique / clé privéeà l'aide d'un algorithme de chiffrement asymétrique, par exemple RSA. Elle diffuse la clé publique permettant de chiffrer le message Mais garde la clé privée permettant de déchiffrer le message 2) Bob chiffre le message avec la clé publique et envoie le message chiffré 3) Alice est la seule à pouvoir déchiffrer le message grâce à sa clé privée (illustration des cadenas)

Chiffrement étape 1

Chiffrement étape 2 et 3

Pour l'authentification Dans ce cas, on inverse un peu les fonctions : Pour un message donné, Alice génére un condensat de message, puis utilise sa clé privée pour générer le condensat chiffré Alice envoie le condensat avec le message Bob utilise la clé publique d'Alice sur le condensat chiffré pour obtenir le condensat original du message Il compare avec le condensat du message qu'il a calculé lui- même S'ils sont identiques, le message provient bien d'Alice

Autorité de certification Dans le cas de la signature et authentification de documents : N'importe qui peut créer son certificat et vous le délivrer en même temps que les données A vous de lui faire confiance Utilisation d'un tiers de confiance pour validation du certificats Le CA signe le certificat qu'on vous envoie Vous devez disposer des certificats publiques du CA préinstallés ou téléchargeable Comparer le certificat reçu par l'émetteur d'un message avec le certificat du CA : le certificat a-t'il bien été signé par le CA ? Permet de vérifier l'identité

Gestion Client fait un demande de certificat : CSR Certificat Signing Request, soumise à une Autorité d'Enregistrement Opérateur d'Autorité d'Enregistrement examine la demande doit juger de la légitimité de la demande de l'utilisateur et accorder, ou non, la confiance de l'organisation doit suivre une série de procédures, plus ou moins complètes Politique de Certification (PC) Déclaration des Pratiques de Certification (DPC)

Gestion En fonction des enjeux de la certification, vérifications plus ou moins poussées : rencontre en face-à-face, validation hiérarchique, etc. L'objectif de l'Opérateur d'AE est d'assurer que les informations fournies par l'utilisateur sont exactes et que ce dernier est bien autorisé à solliciter la création d'un certificat. Si la demande est validée, elle est alors adressé à l'Autorité de Certification

Gestion L'AC vérifie que la demande a bien été validée par un Opérateur d'AE digne de confiance et, si c'est le cas, signe la CSR. Une fois signée, une CSR devient... un certificat. Le certificat, qui ne contient aucune information confidentielle, peut par exemple être publié dans un annuaire d'entreprise : c'est la tâche du Module de Publication, souvent proche de l'AC.

Modes de création mode décentralisé (mode le plus courant) L'utilisateur créé la biclef cryptographique et de joindre la partie publique de la clef dans la CSR. L'Infrastructure n'a donc jamais connaissance de la clef privée de l'utilisateur, qui reste confinée sur son poste de travail ou dans sa carte à puce.

Modes de création mode centralisé consiste en la création du biclef par l'AC : CSR produit par l'utilisateur, sans clé publique Clé publique produite par l'AC, ainsi que la clé privée L'AC peut ainsi avoir de bonnes garanties sur la qualité de la clef (aléa) et peut en détenir une copie protégée Mais nécessite de transmettre à l'utilisateur son certificat et sa clé privée doit être entrepris avec beaucoup de précaution et de sécurité, car toute personne mettant la main sur un fichier PKCS#12 peut détenir la clef de l'utilisateur.

Modes de création mode décentralisé : pour certificats d'authentification et de signature (juridiquement, le signataire doit être le seul possesseur de la clef : en mode décentralisé, l'IGC n'a jamais accès à la clef privée). mode centralisé : pour certificats de chiffrement si lorsqu'un utilisateur a perdu sa clef (par exemple, sa carte est perdue ou dysfonctionne), un opérateur peut, au terme d'une procédure de recouvrement, récupérer la clef de chiffrement et la lui remettre. Chose qui est impossible à faire avec des clefs qui n'ont pas été séquestrées.

Fin de vie Deux scénarios possibles de fin de vie d'un certificat numérique le certificat numérique expire (chaque certificat numérique contient une date de « naissance » et de « péremption »). le certificat est révoqué, pour quelque raison que ce soit (perte de la clé privée associée, etc.) et dans ce cas, l'identifiant du certificat numérique est ajouté à une liste de certificats révoqués (CRL pour Certificates Revocation List) pour informer les applications qu'elles ne doivent plus faire confiance à ce certificat. Il est aussi possible que les applications s'informent en quasi temps réel de l'état du certificat avec le protocole OCSP.

Précautions de déploiement Pour une PKI publique, certaines précautions sont à prendre Sinon risque de pllage Qui sont les utilisateurs Cadres juridiques Sécurité technique : protection maximum de la PKI Pour une PKI privée, seule les questions techniques se posent