PKI joue désormais un rôle essentiel dans notre vie quotidienne, et c'est pourquoi il n'est pas surprenant qu'il ait été un thème récurrent des PrimeKey Tech Days depuis 2015.
Tomas GustavssonChief PKI Officer chez PrimeKey Keyfactor, a dirigé ce sujet chaque année, en sélectionnant personnellement les sujets PKI les plus difficiles à aborder lors de chaque discussion. Et 2021 n'a pas déçu. Voici un aperçu des points saillants de son exposé de 2021 sur les sujets les plus difficiles PKI.
Certificats Covid
Les certificats Covid et le concept de modification des normes figuraient également à l'ordre du jour du site PKI en 2020. Mais, à l'instar de ce qui se passe dans le monde, beaucoup de choses se sont produites au cours de l'année écoulée qui ont justifié que l'on revienne sur ce sujet.
Pour commencer, il est important de noter qu'il ne s'agit pas de certificats certificats x509 comme ceux dont nous discutons généralement dans le monde PKI , mais généralement d'un certificat ISO9000 ou ISO27001 ou ISO27001. En fait, plusieurs normes différentes émergent dans ce domaine de la part de l'UE, de l'OMS, de l'OACI, etc.
Les équipes à l'origine de ces certificats numériques Covid ont progressé rapidement dans le développement et le déploiement à l'échelle mondiale, et ce, en grande partie pour deux raisons. Premièrement, parce qu'elles se sont appuyées sur des normes et des modèles déjà existants, robustes et bien testés, et deuxièmement, parce que nombre d'entre elles utilisent également le codeopen-source accessible via Github.
Examinons deux exemples qui illustrent ce phénomène.
Scellés numériques visuels de l'OACI (VDS)
Le SDV de l'OACI s'appuie sur la partie 12 de l'OACI 9303 pour son infrastructure PKI , qui est une autorité de certification signée par le pays qui a déjà été utilisée pour délivrer des documents tels que des passeports et des cartes d'identité électroniques. Plus récemment, elle a ajouté des capacités de signature de codes-barres. L'OACI travaille actuellement sur la personnalisation et la construction de codes-barres 2D avec un sceau numérique, mais le fait d'avoir commencé avec cette infrastructure bien établie et fiable représente un grand pas en avant dans le processus de développement.
Certificat numérique de confiance de l'UE (EU DCC)
Le DCC de l'UE adopte une approche très similaire au VDS de l'OACI du point de vue de PKI , en réutilisant les mêmes concepts robustes et bien connus de l'OACI 9303, ce qui a permis à de nombreux pays de le déployer relativement facilement. Toutefois, le DCC de l'UE adopte une approche légèrement différente pour construire les codes-barres 2D en insérant une signature au milieu de ceux-ci. Il a développé le code open-source disponible sur Github pour le processus de création des données et de vérification des signatures, ce qui l'a également aidé à accélérer le déploiement.
(I)IoT Normes
La prochaine étape, les normes IoT - ou les normes IIoT (Industrial IoT) selon le cas - revisite également certains thèmes de 2020, mais la gestion de ces normes reste un défi alors que les verticales qui s'appuient sur elles continuent de croître rapidement.
Plus précisément, l'espace industriel prend la sécurité très au sérieux et le marché des infrastructures critiques est très réglementé, ce qui a exercé une forte pression sur l'élaboration de ces normes. Du point de vue de PKI , cela a entraîné une explosion des appels d'offres et des demandes de renseignements pour l'élaboration de nouvelles normes, mais la plupart des organisations n'ont toujours pas une idée précise de ce qui est le plus pertinent dans ces normes.
Prenons l'exemple d'un échange de données de comptage d'électricité qui utilise la norme CEI 62056 . Si la norme comporte 24 parties et que vous ne savez pas quelle partie est pertinente pour Si la norme comporte 24 parties et que vous ne savez pas quelle partie est pertinente pour PKI, vous devez passer en revue les 24 parties pour documenter la conformité.
En fin de compte, cela conduit à un plus grand nombre de protocoles et de modes de protocole, à de nouveaux types d'AC et à une plus grande souplesse dans l'utilisation des ressources. types d'AC et des profils plus complexes avec "plus d'options" - ce qui crée encore plus de choix et plus de choses à gérer lors de l'élaboration et du respect de ces normes.
Intégration des écosystèmes complexes
Lorsque vous souhaitez vous intégrer pleinement dans un écosystème, cela peut s'avérer assez complexe dans certains cas, ce qui lui a valu de figurer cette année sur la liste des PKI les plus acharnés.
Lorsque l'on développe un nouveau système complexe ou que l'on commence à s'intégrer dans un écosystème, une chose revient toujours : on peut développer les concepts et les fonctionnalités initiaux assez rapidement, mais une fois que l'on passe à la production, chaque groupe d'utilisateurs veut faire les choses différemment et l'on se retrouve soudain avec de nombreux nouveaux détails et cas d'utilisation à prendre en compte.
Notre équipe a beaucoup travaillé sur ce type d'intégration au cours de l'année écoulée afin d'être en mesure de soutenir pleinement l'écosystème Microsoft et de s'y fondre (même s'il est utile que Microsoft dispose d'une implémentation de référence que vous pouvez imiter, même si elle est assez détaillée).
En ce qui concerne l'intégration de l'écosystème Microsoft, notre équipe s'est concentrée sur deux domaines principaux au cours de l'année écoulée : Natif l'inscription automatique à Microsoft et Azure Intune et la prise en charge de l'inscription à Azure Intune.
Voici un aperçu de ce qui a été fait :
- Inscription automatique de Microsoft : Notre équipe a travaillé à l'ajout de l'inscription automatique de Microsoft à l'aide de l'API du service web. Cela inclut EJBCA alias qui permettent des configurations multiples pour prendre en charge plusieurs domaines et, par conséquent, exécuter plusieurs autorités de certification dans la même instance.
- Inscription à Azure Intune : Nous avons également ajouté des paramètres Azure AD pour prendre en charge les demandes d'inscription à Azure Intune, soit directement, soit par l'intermédiaire d'un proxy.
- Éléments supplémentaires : Lorsque nous avons commencé à passer à la production, les utilisateurs ont commencé à demander des fonctionnalités qui allaient au-delà des domaines dans lesquels nous avions commencé. Cela a conduit à quelques éléments supplémentaires sur lesquels nous allons travailler :
- Récupération des clés/descrow pour les certificats de cryptage S/MIME avec Intune
- Attestation de clé avec modules TPM
- Méthodes d'authentification de l'inscription supplémentaires en dehors de Kerberos, telles que les certificats clients ou le nom d'utilisateur/mot de passe.
- Introduction de DCOM pour certains cas d'utilisation qui nécessitent l'ancienne API (par opposition à l'API des services web, qui couvre environ 90 % des cas d'utilisation).
Hardware Modules de sécurité
Cela nous amène à notre dernier sujet de fond PKI : les modules de sécurité Hardware (HSM), qui ont fait partie de la discussion de fond PKI en 2018 et 2019 également.
Les HSM ont refait leur apparition cette année parce que nous avons constaté que la norme Java PKCS11 que nous utilisons depuis des décennies n'est plus assez souple pour assurer la sécurité des HSM modernes. Plus précisément, il n'offre pas suffisamment de contrôle.
En réponse, notre équipe a travaillé sur la manière d'accroître le contrôle et de prendre en charge un grand nombre de clés de signature au sein du HSM. Pour ce faire, nous avons utilisé une interface Java P11 directe qui nous permet également de prendre en charge EdDSA, qui est une fonctionnalité PKCS#11v3. Il est important de noter que la prise en charge de l'EdDSA peut aujourd'hui être légèrement différente selon le HSM que vous utilisez, car de nombreux fournisseurs ont commencé à la prendre en charge avant que la norme PKCS#11v3 ne soit officiellement spécifiée.
Parallèlement, nous constatons que les HSM en nuage deviennent très populaires, malgré le fait que de nombreuses personnes étaient sceptiques lorsque ces HSM hébergés en externe ont commencé à émerger. Aujourd'hui, cependant, les organisations commencent à se sentir beaucoup plus à l'aise avec l'hébergement en nuage et ont trouvé plusieurs avantages à la facilité d'utilisation d'un HSM en nuage.
Bonus : Qu'est-ce qui n'a pas été retenu pour "Hardcore PKI" ?
Enfin, il y a des sujets qui n'ont pas été retenus pour le site PKI, non pas parce qu'ils sont inintéressants, mais tout simplement parce qu'ils ne sont pas assez "hardcore". Voici un bref aperçu de ces derniers :
- Pipelines de produits : Nous travaillons sur un exemple utilisant les conteneurs comme éléments de construction pour livrer le code source dans un produit complet pour l'utilisateur.
- Attaques de la chaîne d'approvisionnement : Les cycles de développement sécurisés de software ont fait l'objet d'une attention particulière l'année dernière.
- Souveraineté numérique : Cette notion a des significations différentes selon les personnes, mais elle est souvent associée à l'utilisation des cadres open-source .
Vous souhaitez en savoir plus ?
L'idée du "hardcore PKI" n'est pas près de disparaître - PKI est un concept complexe et en constante évolution, et c'est pourquoi nous continuerons à rencontrer de nouveaux défis et de nouvelles façons de faire au fur et à mesure que la technologie évoluera.
Vous souhaitez en savoir plus sur les sujets qui ont été retenus cette année ? Cliquez ici pour regarder la session complète sur Hardcore PKI avec Tomas Gustavsson de PrimeKey Tech Days 2021..