La Notion de TPC : Tierce Partie de Confiance

La loi du 26 juillet 1996, introduit la notion de TPC. Nous avons analysé les principales fonctions relatives à l’utilisation d’une PKI générateur de moyens de signature ou de chiffrement, nous allons maintenant traiter la notion de TPC.

Le certificat d’un utilisateur, ne possède de réalité que par la signature de L’AC, donc par sa clef privée. Il apparaît alors un certain nombre de questions attachées à la fonction PKI :

Comment avoir confiance dans la clef privée de L’AC, ou comment avoir confiance dans une clef de chiffrement fournie. Cela pose principalement plusieurs types de questions :

1. La seconde relève des potentialités que des intrus auraient de modifier la clef de l’AC
2. La troisième traite de l’intégrité des hommes qui gèrent la PKI
3. La quatrième analyse les procédures humaines et techniques qui régissent le fonctionnement de la PKI et la consistance de la clef de l’AC

La notion de TPC propose d’organiser des solutions à ces questions.

La protection physique du site du TPC ainsi que sa protection vis-à-vis des accès réseaux, sont un des premiers éléments à traiter dans la conception d’un TPC.

Sans s’étendre sur la protection physique des bâtiments du TPC, ils doivent garantir une protection élevée contre la pénétration d’intrus humains ou de rayonnement : sas d’entré, pas de fenêtres, système alarme, salle protégée sur le plan électromagnétique, etc.
Sur le plan des accès réseaux, aucun accès direct à des machines contenant ou qui génèrent des clefs privés ne sont acceptés.

Le deuxième point, relève des accréditations des personnes qui gèrent le TPC, en effet, la confiance des utilisateurs envers les moyens générés par le TPC, est confortée si le système est sous le contrôle de structure étatique.

Les procédures de génération sont un des points clefs du TPC, elles vont décrire les différentes étapes de génération, le nombre de personnes qui vont intervenir et dans quel ordre.

Les moyens informatiques utilisés, leurs différents constituants autorisés vont être décrits, la technique cryptologique utilisée va être contrôlée afin de garantir la consistance des clefs générées.
Les relations avec les clients sont aussi codifiées afin de structurer les échanges et éviter les litiges : politique de certification.
L’ensemble de ces mesures doivent alors passer les tests d’intrusion et d’analyse de sécurité : chaine des éléments physiques utilisés et des enchainements des procédures.
La fonction de TPC se retrouve soit en interne d’entreprise ou d’entité administrative soit comme système destiné et ouvert au public.