Public Key Infrastructure Responsable : Mr. Stephan

Présentation au sujet: "Public Key Infrastructure Responsable : Mr. Stephan"— Transcription de la présentation:

1 Public Key Infrastructure Responsable : Mr. Stephan
26 Juillet 2002 Public Key Infrastructure & Certificats X.509 TCOM Promo 2003 Responsable : Mr. Stephan

2 Introduction Cryptography Certificates and Certification Authority
What is a PKI ? What is a trust model? Solutions

3 Certificats – Autorité de Certification
Sommaire Cryptographie Cryptographie Certificats – Autorité de Certification Infrastructure de Gestion de Clés Le Projet PKI Les Offres Commerciales

4 Définitions Le Chiffrement :
Cryptographie Le Chiffrement : Transformer une information claire en information chiffrée, appelé cryptogramme. La Cryptographie : Science qui étudie les procédés de chiffrement et de déchiffrement. La Cryptanalyse : Etude des procédés de décryptage et de la sécurité des algorithmes de chiffrement. La Cryptologie : Cryptographie + Cryptanalyse.                                               

5 Les Objectifs L’Authentification :
Cryptographie L’Authentification : Vérification de l’identité d’un objet, d’une personne. L’Intégrité d’un objet : (document, fichier, message …) Garantie que cet objet n’a pas été modifié. La Confidentialité : L’assurance qu’un document ne sera pas lu par un tiers qui n’en a pas le droit. La Non-répudiation : L’émetteur d’un message ne peut pas nier l’avoir envoyé et le récepteur l’avoir reçu. Authenticité = Authentification + Intégrité

6 Cryptographie Symétrique
Utilisateur A Utilisateur B ____ ___ ____ ___ Canal sûr Clé Secrète Algorithmes : DES, 3-DES, IDEA, RC2, RC4, … n(n-1)/2 clés à gérer pour n personnes Problème de transmission de la clé secrète par un canal sûr

7 Cryptographie Asymétrique (1/2)
La Cryptographie Asymétrique est la solution pour chiffrer et signer numériquement des documents Principe : un Bi-Clé (une clé privée, une clé publique) La Clé privée doit rester secrète La Clé publique est divulguée à tout le monde sous forme de certificat La Clé privée ne peut pas être déduite de la clé publique en un temps raisonnable Publique Privée Avantages Pas de partage de secret Pas de problème de distribution des clés publiques

8 Cryptographie Asymétrique (2/2)
B D E Utilisateur B Utilisateur A ____ ___ ____ ___ ____ ___ Clé publique de B Publique Privée Publique Privée Clé publique de A Algorithmes : RSA, DSA, El Gamal, … 2n échanges de clés nécessaires pour n personnes 100 à fois plus lent que le chiffrement symétrique

9 Fonction de Hachage Principe :
Cryptographie Principe : Transformation d ’une chaîne de caractères de longueur quelconque en une chaîne de caractères de longueur fixe. ____ ___ 45KLM33KO4 Empreinte Fonction de Hachage à sens unique Algorithmes : MD5 : calcul d’empreinte sur 128 bits, SHA-1 : empreinte de 160 bits, plus sûr que MD5

10 La signature numérique
Cryptographie Si les 2 empreintes sont identiques, l’authenticité du document est avérée Utilisateur A Utilisateur B ____ ___ ____ ___ Publique A ____ ___ Transfert LMERK360G 45KLM33KO4 45KLM33KO4 Privée A = ? LMERK360G 45KLM33KO4

11 Le Chiffrement de messages
Cryptographie Publique B Privée B Session Utilisateur A Utilisateur B Générateur de clés de session symétriques 1 4 ____ ___ ____ ___ 2 3

12 Certificats – Autorité de Certification
Sommaire Cryptographie Certificats – Autorité de Certification Infrastructure de Gestion de Clés Le Projet PKI Les Offres Commerciales

13 Problématique Dans une architecture à clés publiques :
Certificats & AC Dans une architecture à clés publiques : Les clés privées doivent être générées et stockées de manière sûre Les clés publiques doivent être diffusées le plus largement possible. Lorsqu’on utilise la clé d’un correspondant, il est nécessaire de s’assurer : qu’elle appartient bien à ce correspondant que l’émetteur de cette clé est digne de confiance qu’elle est toujours valide

14 Notion de confiance Certificats & AC Besoin de confiance sur ce que prétend être le correspondant. La limite de la cryptographie à clé publique réside dans la confiance que l'on donne aux informations échangées (clés publiques). La confiance est obtenue en associant au bi-clef un certificat délivré et géré par un tiers de confiance.

15 Solution Charger une autorité de signer les clés publiques
Certificats & AC Charger une autorité de signer les clés publiques Elle crypte une empreinte de la clé publique de la personne avec la clé privée de l’autorité. On s’assure de la provenance de la clé publique en vérifiant la signature qui y a été apposée avec la clé publique de l’autorité de certification. Une clé publique signée par un tiers de confiance est appelée Certificat.

16 Qu’est ce qu’un Certificat ?
Certificats & AC Un certificat est un document électronique émis par une tierce partie de confiance qui permet de garantir l’authenticité d’une clé publique. Il correspond à l'association de : la clé publique l'identité de son propriétaire l'usage qui peut être fait de la clé Un certificat est l’équivalent d’une carte d’identité ou d’un passeport. Il est délivré par une Autorité de Certification.

17 Autorité de Certification
Certificats & AC L’autorité de certification (AC) est une autorité centrale responsable de certifier les clés publiques des utilisateurs « Tiers de confiance » Génération des certificats Authentification auprès d’autres autorités de certification Possède un bi-clé certifié Perte/vol/date de péremption Compromission de clefs Révoque les certificats Politique de certification (« facteur humain » ) Définit les règles d attribution des certificats

18 Politique de Certification
Certificats & AC Définition «  Un ensemble de règles, nommé, qui indique si un certificat est applicable à une communauté particulière ou une classe d ’application d ’un type de certificat avec des exigences de sécurité communes. » Normalisé IETF dans la RFC 2527   « Certificate Policy and Certification Practises Framework ». Contenu Procédures Authentification et Identification des utilisateurs Génération des certificats et conditions d’attribution Révocation et renouvellement des certificats Journalisation, archivage, reprise sur incident Contrôles de sécurité physique et logique Gestion du stockage et de l’utilisation des bi-clés

19 Chemin de certification
Hiérarchie de AC Certificats & AC L’Autorité de Certification racine est le point de confiance. Identrust et GTA AC Root (Autorité racine) AC Région 1 Région 2 Région 3 Région 4 Chemin de certification AC Département 1 AC Département 2 AC Département 3

20 Cross-Certification Certificats & AC AC qui se font mutuellement confiance dans leur domaine de confiance. EPITA Stevens SRS GISTR TCOM Prof Élèves Masters Inter-Opérabilité

21 Demande de certificat Internet
Certificats & AC Réseau local Clé Privée _____ ____ Certificat Client _____ ____ Certificat Clé Publique Privée Autorité de Certification Stocké sur un Jeton L’utilisateur stock ces données sur un jeton hardware ou software _____ ____ Certificat Firewall ISP ISP Annuaire (LDAP) Internet L’ AC transmet à l’utilisateur le certificat et la clé privée de façon sécurisée (transfert physique ou session cryptée) L’ AC génère un bi-clé pour un nouvel utilisateur L’ AC crée un certificat numérique contenant la clé publique de l’utilisateur, des informations d’identification (nom, pays, …) Le certificat de l’utilisateur est publié dans un annuaire publique

22 Révocation d’un certificat
Certificats & AC Rôle de l’Autorité de Certification La révocation est le « talon d’Achilles » de tout système à clés publiques... Possibilité de révoquer un certificat avant son expiration Publication d’une Liste de Certificats Révoqués CRL = Certificate Revocation List « Black List » des certificats Informe les autres utilisateurs lorsqu’un certificat cesse d’être valide Possibilité de révoquer un certificat avant son expiration

23 CRL/LRC Les CRLs sont standardisées dans la RFC 2459
Certificats & AC Les CRLs sont standardisées dans la RFC 2459 Chaque entrée contient : le numéro de série du certificat la date de la révocation d ’autres infos comme la cause de la révocation Les CRLs sont signées par l’AC lors des échanges Taille des listes augmente avec la taille de la PKI Méthodes permettant de réduire les données et améliorer leur traitement delta-CRL CDP OCSP

24 Vérification d’un certificat
Certificats & AC La vérification d'un certificat consiste non seulement à vérifier sa signature, mais aussi à interpréter les données présentes pour vérifier que la clé certifiée est bien valide. Définition Vérifie l’état d’un certificat Mécanisme de requête/réponse Utilisation des CRLs comme source d’information. OCSP Online Certificate Status Protocol Inconnu Révoqué Bon Etats possibles

25 Distinguished Name (DN)
Certificats & AC Distinguished Name : nom distinctif absolu (unique) Certificat X.509 : Le DN va permettre d’identifier l’ AC et le propriétaire du certificat. ROOT DN FR Country {C=FR} EPITA Organization {C=FR, O=EPITA} {C=FR, O=EPITA, OU=TCOM} TCOM Organization Unit {C=FR, O=EPITA, OU=TCOM, CN=Murphy} Murphy Common Name

26 Le standard X.509 Principal format utilisé pour les certificats
Certificats & AC Principal format utilisé pour les certificats Basé sur la norme X.500 Normalisé IETF dans la RFC 2459 « Internet X.509 Public Key Infrastructure Certificate and CRL Profile » Versions successives 1988 : V1 1993 : V2 = V1 + 2 nouveaux champs 1996 : V3 = V2 + extensions

27 Format d’un certificat X.509 v3
Certificats & AC Version Création d’une empreinte à l’aide d’une fonction de hachage Numéro de série Algorithme de signature V1 (88) Nom de l’emetteur Période de validité Nom du sujet 45KLM33KO4 Information clé publique V2 (93) Chiffrement avec la clé privée de l’autorité de certification Issuer unique identifier Subject unique identifier Type Criticality Value V3 (96) Type Criticality Value LMERK360G Type Criticality Value Signature AC

28 Exemple d’un certificat X.509 v3 (1/2)
Certificats & AC Certificate : Version : 3 (0x2) Serial Number : 7 (0x7) Signature Algorithm : md5WithRSAEncryption Issuer : C=FR, ST=France, L=Paris, O=EPITA, OU=ADM, CN=ROOT Validitye : Not Before: Sep 11 09:49: GMT Not After : Sep 11 09:49: GMT Subject : C=FR, ST=France, L=Paris, O=EPITA, OU=TCOM, CN=MURPHY Subject Public Key Info : Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) 00:d3:8a:78:15:90:bb:7f:62:50:37:e1:7f:ee:fd:7c:0e:86:c2:1f:50:d9 X509v3 extensions : Netscape CA Revocation Url : Netscape Comment : Autorite de Certification CNRS-DSI Signature Algorithm : md5WithRSAEncryption 47:27:8b:b6:4e:7c:22:aa:00:93:9a:c1:e0:04:ad:55:cf:51:c7:11 -----BEGIN CERTIFICATE----- MIIC7TCCAlagAwIBAgIBBzANBgkqhkiG9w0BAQQFADCBhjELMAkGA1UEBhMCRlIxfK khXGEkWafhxb3ilCqAFxif4J7DPEX2fgmLEcwDqccR -----END CERTIFICATE-----

29 Exemple d’un certificat X.509 v3 (2/2)
Certificats & AC

30 Format des CRL X.509 Version Algorithme de signature Nom de l’émetteur
Certificats & AC Version Algorithme de signature Création d’une empreinte à l’aide d’une fonction de hachage Nom de l’émetteur Last update Next update Revoked Certificate 45KLM33KO4 N° de série du certificat Chiffrement avec la clé privée de l’autorité de certification Date de révocation V2 Extensions LCR Revoked Certificate LMERK360G V2 Extensions(optionnel) Signature AC

31 Types de certificats (1/2)
Certificats & AC Hébergé sur un PC, carte à puce, jeton USB … Usage privé Messagerie, chiffrement, achat en ligne … Certificat Personnel Certificat Serveur Hébergé sur un serveur Web Lié à une adresse de type Internet ( ) Sécuriser les échanges électroniques (SSL)

32 Types de certificats (2/2)
Certificats & AC Intégré à certains browser (IE, Netscape) Donne le droit à certaines applications de se lancer Applets, scripts Certificat Développeur Hébergé sur des routeurs Chiffre les flux transitant entre lui et un autre équipement réseau VPN, Tunnel IPSEC Certificat IPSEC

33 Cycle de vie d’un certificat
Certificats & AC Demande de certificat Utilisation du certificat

34 Stockage du certificat
Certificats & AC Disque dur (faible sécurité) Token USB (haute sécurité) Carte add-on (haute sécurité) Carte à puce (très haute sécurité)

35 Certificats – Autorité de Certification
Sommaire Cryptographie Certificats – Autorité de Certification Infrastructure de Gestion de Clés Le Projet PKI Les Offres Commerciales

36 Présentation PKI « Public Key Infrastructure »
PKI - IGC - ICP PKI « Public Key Infrastructure » IGC « Infrastructures de Gestion de Clefs » ICP « Infrastructures à Clefs Publiques » “ Nom donné aux infrastructures permettant la mise en œuvre de la cryptographie à clés publiques ” Un standard : Certificats X.509 But : Créer un environnement de CONFIANCE

37 Définition C’est un ensemble de moyens Matériels, Logiciels,
PKI - IGC - ICP C’est un ensemble de moyens Matériels, Logiciels, Organisationnels, nécessaires pour déployer à grande échelle un système cryptographique basé sur les certificats X509. Le rôle de la PKI est d’assurer une gestion et une diffusion fiable de clés / cartes /certificats utilisés au quotidien, au travers d’applications sécurisées.

38 Signature et Certificat
Les enjeux PKI - IGC - ICP Certificat AUTHENTIFICATION Chiffrement Signature PKI CONFIDENTIALITE INTEGRITE NON-REPUDIATION Signature et Certificat

39 Les fonctionnalités Les fonctions de base Les fonctions avancées
PKI - IGC - ICP Les fonctions de base Enregistrer les utilisateurs Générer les clés et les certificats Émettre les clés et les certificats aux utilisateurs Publier les certificats dans un annuaire Révoquer les certificats si nécessaire Renouveler les clés et les certificats en fin de période de validité Gérer la production des cartes à puce / tokens Les fonctions avancées Service de séquestre et de recouvrement des clés Fonction d’horodatage Validation de la politique de certification

40 Infrastructure de confiance
Motivations PKI - IGC - ICP Une PKI est une infrastructure fournissant des services de sécurité à des applications Messagerie sécurisée Formulaires signés Commerce électronique VPN Applications spécifiques Infrastructure de confiance Certificats S/MIME – SSL – SET – IPSEC – cartes à puce Infrastructure de communication IP – GSM - …

41 Principe (signature) PKI - IGC - ICP Autorité d’Enregistrement
de Certification Annuaire Certificat Clé publique (A) Identité vérifiée Certificat Clé publique (A) Clé privée Certificat Utilisateur A Utilisateur B Identité confirmée Document signé

42 Autorité de Certification (AC)
PKI - IGC - ICP L’autorité de certification (AC) est une autorité centrale responsable de certifier les clés publiques des utilisateurs Définition Rôles et responsabilités : (PKI centralisée) Émettre les certificats par apposition de sa signature Gérer le cycle de vie des certificats Générer les bi-clés Gérer les clés (distribution, recouvrement, etc.) Révoquer les certificats – Émettre et gérer les LCR Réaliser la certification croisée avec d’autres AC

43 Autorité d’Enregistrement (AE)
PKI - IGC - ICP L’autorité d’enregistrement (AE) représente le lien physique entre les utilisateurs et la PKI Définition Rôles et responsabilités : Enregistrer les demandes de certificats Vérifier l’identité des demandeurs ou porteurs de certificats Récupérer la clé publique du demandeur Soumettre les demandes de génération de certificats à l’AC CSR (Certificat Signing Request) Soumettre les demandes de révocation de certificats

44 Service de Publication
PKI - IGC - ICP Le Service de Publication correspond à un annuaire contenant l’ensemble des certificats Définition Il s’agit en général d’un annuaire supportant le standard X.500/LDAP Rôle : Rend disponible, à l’ensemble des utilisateurs, les certificats émis par une Autorité de Certification Publie une liste de certificats valides (LAR) Publie une liste de certificats révoqués (LCR)

45 Autres Autorité d’Horodatage Autorité de Recouvrement
PKI - IGC - ICP Elle garantit la date qui est apposée sur les documents et signatures issues de l’AC (Time-stamping)  Non-répudiation Autorité d’Horodatage Conserve les clés secrètes de chiffrement des utilisateurs (perte, vol, …) Autorité de Recouvrement Vérifie l’état d’un certificat (bon, révoqué, inconnu) On peut l’assimiler à un serveur OCSP Autorité de Validation Délivre les clés privées et les certificats aux utilisateurs (fichier, carte à puce, clé USB) Centre de Distribution

46 Les Composantes PKI - IGC - ICP Autorité de Validation
Autorité de Recouvrement Postes Clients AUTORITE DE CERTIFICATION AUTORITE D’ENREGISTREMENT ANNUAIRE LDAP – X500 Centre de Distribution Autorité d’Horodatage

47 Opérateur de Certification (OC)
PKI - IGC - ICP L'Opérateur de Certification assure la partie technique de la production des certificats en cas d’externalisation de la PKI Définition Opérateur de Services de Certification (OSC) Son rôle est la mise en oeuvre d'une plate-forme opérationnelle, fonctionnelle et sécurisée dans le respect des procédures de la Politique de Certification. Architecture très sécurisée (Bunker, redondance des machines, …) Il est dépositaire de la clé privée de l‘Autorité de Certification.

48 OC : Principe PKI - IGC - ICP AC OC Fabrication de certificat
Demande de fabrication Transfert de la demande Remise de certificat AE Demande de certificat Vérification identité Remise de certificat

49 Scénario de demande de certificat
PKI - IGC - ICP AE AC Informe que le certificat est créé Demande de certificat Transfert de la demande Informe de la disponibilité du certificat Vérification des données personnelles Vérification de la signature de l’AE Édition d’un certificat Génération du certificat et signature Signature du certificat ANNUAIRE Publication Récupération du certificat

50 PKCS ( Public Key Cryptography Standards )
PKI - IGC - ICP Ensemble de standards pour la mise en place des PKI Contribution de la société américaine RSA Définition des formats des éléments de cryptographie : 15 Standards : PKCS #1 : recommandations pour l’implémentation de systèmes crypto utilisant RSA PKCS #3 : échange de clés par Diffie Hellman PKCS #5 : utilisation de mot de passe en cryptographie PKCS #7 : syntaxe de messages cryptographiques (certificat…) PKCS #8 : syntaxe pour des données mémorisant des clés privés PKCS #10 : syntaxe pour une requête de certification PKCS #11 : API "Cryptoki" pour des équipements contenant des informations cryptographiques et réalisant des fonctions cryptographiques etc. …

51 Les Applications (1/2) PKI - IGC - ICP L ’authentification : du serveur (SSL v2), du client (SSL v3) Signature de codes actifs (Java, JavaScript, ActiveX, ...) Signature de formulaires Messagerie sécurisée (S/MIME, PGP) Groupware, EDI, Workflow sécurisés Commerce électronique (SET, C-SET, SSL) Protection des réseaux (IPSec) Sécurisation des postes clients (contrôle d ’accès, chiffrement de disque) Les infrastructures (PKI-X, ISO)

52 Les Applications (2/2) Web VPN E-Mail Spécifique ERP PKI - IGC - ICP
Source: Aberdeen Group, PKI Multi-Client Study, December 2000 68% 62% 58% 43% 21% Web VPN Spécifique ERP Relatif à l’ensemble des entreprises possédant une solution PKI

53 Les Standards (1/2) SSL « Secure Socket Layer »
PKI - IGC - ICP SSL « Secure Socket Layer » Authentification par certificat Du serveur (V2) Du client (V3) Chiffrement Canal sécurisé pour le transport des données de l’application Sécurisation de http, ftp, telnet, messagerie… Extension : TLS « Transport Layer Security » IPSEC « IP SECurity protocol » Communication entre équipements Authentification des intervenants dans la communication Protocole supportant les VPNs « Virtual Private Network » Implémentation propriétaires

54 Les Standards (2/2) PKI - IGC - ICP ISAKMP « Internet Security Association and Key Management Protocol » Négociation pour les algorithmes et les clefs Échange des clefs et authentification À donné naissance à IKE « Internet Key Exchange » S-MIME « Multi purpose Internet Mail Extensions » Authentification, intégrité, non-répudiation de l’origine, confidentialité de messages électroniques Supporté par Netscape, Lotus, Microsoft SET « Secure Electronic Transaction » Protocole de paiement par carte bancaire Orienté commerce électronique Banques, Certplus, carte Visa

55 SSL 2.0 et HTTPS PKI - IGC - ICP 1 2 3 4 5 Le navigateur se connecte
au serveur sécurisé 2 Le serveur envoie une copie de son certificat serveur au navigateur 3 Le navigateur vérifie la signature apposée sur le certificat serveur auprès de l’AC associée 4 L’autorité de validation de L’ AC contrôle l’état du certificat et répond au navigateur Le navigateur génère une clé de session (symétrique) Le navigateur chiffre la clé de session avec la clé publique du serveur et transmet 5 Le serveur déchiffre la clé de session grâce à sa clé privée Échange de données sur un canal chiffré avec la clé de session

56 Avantages d’une PKI PKI - IGC - ICP La gestion centralisée de l’ensemble du cycle de vie des certificats La compatibilité avec les différents standards de Token (soft, carte puce, jeton USB) offrant différents niveaux de sécurité pour la protection des clés privées La distribution sûre des clés publiques grâce au format de certificat normalisé X.509 Le support des mécanismes de gestion des droits et privilèges (Certificats d’attributs, BD de gestions des droits, Annuaires, …) La compatibilité avec les applications majeures de sécurité (SSL, S/mime, IPSec, VPN…)

57 Inconvénients d’une PKI
PKI - IGC - ICP Le coût : le coût d’exploitation de la PKI est élevé car : Elle doit respecter des exigences de sécurité très fortes Elle nécessite une infrastructure réseaux, annuaires, TTS, .. Elle nécessite des équipes compétentes La diversité des standards : Plusieurs protocoles de gestion des certificats Plusieurs formats de requêtes , pkcs#10, crmf,.. Plusieurs protocoles de validation OCSP, DSV, …. Plusieurs tendances de standardisation PKIX, SPKI, ..

58 Certificats – Autorité de certification
Sommaire Cryptographie Certificats – Autorité de certification Infrastructure de gestion de clés Le Projet PKI Les Offres Commerciales

59 Définition de politiques de certification
Plan de déploiement Le Projet PKI Définition de la durée de vie des clefs (privée, publique et/ou de session) de la durée de vie des certificats de la gestion des listes de révocation Étude des moyens de distribution des certificats style « carte de crédit » : récupération en main propre ? via communications sécurisées type « VPN » Définir la nécessité d’un recouvrement des clefs privées Prévoir l’interaction avec d’autres communautés Impact sur les structures existantes … Définition de politiques de certification

60 Choix de la solution PKI
Le Projet PKI L’auto-certification (sans tiers de confiance) Bâtir une solution avec un produit du marché Utiliser les services d’un tiers de confiance externe Utiliser les services d’un Opérateur de Certification

61 L’auto-certification
Le Projet PKI Pas de tiers de confiance / Pas d’annuaire Avantages Facilité de déploiement Ne nécessite aucune infrastructure (postes clients uniquement) Faible coût Inconvénients Problème de diffusion des clés publiques Problème de révocation des certificats Inadaptée aux entreprises La gestion des certificats est assurée par les utilisateurs

62 Produit du marché Avantages Inconvénients
Le Projet PKI Avantages Postes Clients AEL AE AR AH annuaire CD AC AV Client Maîtriser et contrôler l’ensemble de la chaîne de confiance Interopérabilité totale entre les services de la PKI Flexibilité du service offert en fonction des exigences de sécurité et du besoin Inconvénients Installation, configuration et maintenance de l’ensemble des composants de la PKI Maintenir une équipe pour la gestion de l’infrastructure Support des nouvelles applications et des nouveaux standards

63 Tiers de confiance externe
Le Projet PKI Avantages AR AEL AH AE AC AV annuaire Postes Clients CD Prestataire Client Facilité et rapidité de déploiement Infrastructure complètement déportée Faible infrastructure à gérer (AEL et postes clients) Coût abordable pour les petites communautés La conformité aux standards Inconvénients Chaîne de confiance Gestion des données sensibles Les adaptations Coût élevé pour grandes communautés Limite de garantie et de responsabilité

64 Opérateur de Certification
Le Projet PKI Avantages annuaire CD AEL OC AR AE AC AH AV Postes Clients Prestataire Client Infrastructure semi déportée sur le site de l’OSC Facilité de déploiement Contrôle partiel de la chaîne de confiance Bon rapport coût / sécurité pour les grandes communautés Flexibilité du service offert par l’OSC Inconvénients Nécessite de maintenir une infrastructure minimale Choix des composants PKI réduit Choix des outils réduits (si non imposé) Mauvais rapport coût / sécurité pour les petites communautés

65 PKI = Projet ou Produit ? Deux visions bien différentes :
Le Projet PKI Deux visions bien différentes : La vision du vendeur de PKI est la suivante : 70 % Technique 25-30 % Organisation 0-5 % Juridique. La réalité d’un projet typique dit « PKI » : 20-30 % Technique 30-60 % Organisation 20-30% Juridique Les produits PKI marchent sur un modèle économique basé sur le nombre de certificats vendus

66 État de l’art des PKI N’utiliseront pas Planifié Phase d’évaluation
Le Projet PKI Source: Aberdeen Group, PKI Multi-Client Study, December 2000 16% 31% 18% 30% 2% 1% N’utiliseront pas Planifié Phase d’évaluation Phase pilote En déploiement Prévu avant 2002 Prévu aprés 2002 Relatif à l’ensemble des entreprises possédant une solution PKI

67 Évolution du marché Le Projet PKI Revenu (M$)
Source: Frost & Sullivan, “US Encryption Application Market”, December 2000 $0 $500 $1,000 $1,500 $2,000 $2,500 $3,000 $3,500 $4,000 $4,500 $5,000 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 Revenu (M$)

68 Certificats – Autorité de certification
Sommaire Cryptographie Certificats – Autorité de certification Infrastructure de gestion de clés Le Projet PKI Les Offres Commerciales

69 Les principaux acteurs
Les Offres PKI Produits : Tiers de confiance : OC : Auto-certification :

70 Les éditeurs de logiciels clients
Les Offres PKI Source : IDC, Les éditeurs de logiciels client PKI

71 Les offres des constructeurs PKI
Les Offres PKI Baltimore : UniCERT 5.0 Entrust Technologies : Security Manager 6.0 VeriSign : OnSite RSA Security : RSA Keon 5.7 Sagem : Confidence OpenCA : OpenCA 0.9.0

72 L'Offre INITIALE de Certplus :
Une offre PKI en détail Les Offres PKI L'Offre INITIALE de Certplus : Mise à disposition de l'infrastructure hautement sécurisée de Certplus Création de votre Autorité de Certification Mise à disposition d’une Autorité d’enregistrement personnalisée Kit d'administration INITIALE Assistance technique (1 journée & demie) Licence annuelle des certificats Support technique Prix : A partir de € HT

73 Un cas concret Les Offres PKI Sécurisation d’un portail, utilisant des certificats X.509, dimensionné pour d’utilisateurs Coût annuel dans une démarche « produit » : 1,8 M€ Annuaire LDAP M€ PKI (soft) K€ Intégration K€ Support /maintenance K€ Consulting K€ Coût annuel dans une démarche Open Source : 800 K€ Annuaire , PKI € Intégration K€ Support , maintenance K€ Consulting, juridique K€

74 Les coûts des certificats
Les Offres PKI Prix 1 an Renou. 1 an Prix 1 an Renou. 1 an Certificat Personnel Gratuit 15 € Certificat Serveur 125 € 100 € 400 € 300 € Certificat Développeur 200 € 100 € 700 € Certificat IPSEC Non disponible 60 € (Go Secure! For VPN)

75 Les coûts cachés Lecteur avec carte à puce : de 30 à 75 € (HT)
Les Offres PKI Lecteur avec carte à puce : de 30 à 75 € (HT) Token USB : de 15 à 50 € (HT) Carte add-on : de 700 à 1500 € (HT) Renouvellement Biométrie : Reconnaissance digitale Environ 200 € (HT) Reconnaissance vocale + iris Jusqu’à 8000 € (HT)

76 Bilan Métiers Intégrées OpenSource Avantages Inconvénients Acteurs
Les Offres PKI Métiers Intégrées OpenSource Evolutivité Indépendance des applications Beaucoup de services Coût Respect des standards Stabilité Coût Déploiement Avantages Support / Maintenance Interface Coût élevé Maintenance Fonctionnalités faibles Peu évolutif Inconvénients RSA Baltimore Entrust Open Ca IDX-PKI Microsot Outlook Lotus Notes Acteurs

77 Conclusion To conclude PKI, combined with X.509 Certificates are interesting and promising, but we must remain realistic PKI are a trend set by vendors The technology and products are neither stable nor mature A PKI is not a goal in itself, it has to be used by applications A PKI is a big initial investment and a long term commitment; it should not be launched lightly.

78 Questions Questions