Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PKI (Private Key Infrastructure) et TPC : Tiers Partie de Confiance

août 2010 par Jean-Pierre Cabanel

Chapitre 2


Sommaire
1. Description d’une PKI : Private Key Infrastructure 3
C . Les problèmes de sécurité dans une PKI 7

C. Introduction aux problèmes de sécurité dans une PKI

1. La protection de la clef privée de l’AC

Dans cet exemple, il y a séparation physique entre le processeur Signer qui contient le biclef de l’AC et le processeur Accès qui est accédé de l’extérieur de manière contrôlée (population connue).
Les communications entre les deux processeurs sont toujours contrôlées par le processeur Signer, aucun trafic ne peut être initialisé par Accès vers Signer.
Les communications entre les deux processeurs sont chiffrées et chaque échange est authentifié. Il existe un seul port utilisable entre les deux processeurs.

Le risque de leurrer le Signer par une autre machine Accès est très faible car en plus des mesures décrites précédemment, il est encore possible de filtrer les communications entre les deux processeurs.
Les risques potentiels peuvent venir des accès extérieurs au processeur Accès : virus, destruction d’Accès et/ou de Signer par l’intermédiaire d’Accès.

2. La protection du serveur Accès

• L’accès des AE est contrôlé par une authentification forte : carte à puce spécifique, identifiant spécifique, certificat qualifié, signature de son certificat par l’AE avant de le présenter au serveur Accès et chiffrement souhaité pour les communications.

• L’accès des Bornes pour le renouvellement des certificats est contrôlé à partir d’une authentification (certificat et signature du certificat). Dans le cas de la création initiale d’un certificat et du chargement dans la carte à puce, l’accès doit être contrôlé par un ensemble de mécanismes. Les communications entre une Borne et le serveur Accès sont chiffrées. Les Bornes peuvent aussi être gérées par les AE, cela améliore la sécurité mais rend plus lourd l’exploitation du système.

3. Les autorités d’enregistrement

Les AE communiquent avec le serveur Accès, afin de fournir au point central l’ensemble des informations concernant l’utilisateur, ces dernières sont de trois types :

• Les informations propres au certificat
• Les informations relatives à l’identification de l’utilisateur
• Les informations sur les droits d’accès (si utilisation)

Une AE est gérée par le serveur Accès, et elle utilise une carte à puce qualifiée AE, avec son identifiant.

Dans cet exemple, les fonctions de base d’une AE sont les suivantes :

• Après identification d’un utilisateur, émission pour ce dernier d’un formulaire représentant une requête certifiée de certificat au serveur Accès.
• Révocation d’un utilisateur
• Consultation du journal des AE qui présente les informations sur l’ensemble des certificats demandés et générés.

Chaque certificat utilisateur contiendra l’identifiant de l’AE d’authentification.

L’accès des AE est contrôlé par une authentification : carte à puce (code PIN à 8 caractères) spécifique, identifiant spécifique, certificat qualifié, signature de son certificat par l’AE (clef privée gardée en mémoire) avant de le présenter au serveur Accès et chiffrement souhaité pour les communications.
Le serveur accès contrôle la signature de l’AC du certificat (intégrité du certificat), sa qualification AE, la signature du certificat par l’AE (authentification du propriétaire) et son existence dans le LDAP (existence non révoqué).
On peut en plus imaginer que l’intégrité de l’authentification d’une AE pendant la durée de sa communication avec le serveur Accès soit sauvegardée, par un mécanisme de référence dynamique, afin d’éviter toute pénétration d’une communication après la phase d’authentification de l’AE par Accès.

4. Nécessité d’une administration et d’une traçabilité des opérations.

Il doit exister plusieurs journaux mémorisant l’ensemble des opérations et des informations :

• Le journal des AE qui mémorisent par AE, les opérations, l’état du certificat, et les informations associées.
• Le journal central qui compile l’ensemble des informations relatives aux AE, plus celles relatives à l’administrateur du site.
• La base des certificats qui mémorise uniquement les informations contenues dans les certificats et leurs états.

Ces journaux et l’ensemble des deux systèmes Signer et Accès doivent être régulièrement sauvegardés et archivés afin de pouvoir restaurer la PKI dans le cas de panne ou de malveillance.

5. Les révocations et les CRL

Les AE et l’administrateur central peuvent révoquer un certificat.
L’information de révocation est automatiquement mémorisée dans les différents journaux et le LDAP.
Le Signer génère alors une CRL et la signe, cette dernière peut être émise vers les administrations de serveurs applicatifs, de mail ou vers les utilisateurs.
La révocation est protégée par les mécanismes déjà énoncés vis à vis de la protection d’accès des AE et de l’administrateur central


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants