L'infrastructure à clé publique (PKI) régit l'émission de certificats numériques pour protéger les données sensibles, fournir des identités numériques uniques pour les utilisateurs, les appareils et les applications et sécuriser les communications de bout en bout.
PKI Défini : Résumé du fonctionnement de PKI
PKI gère la sécurité par le biais du cryptage asymétrique, qui implique une clé publique que n'importe qui (personne, appareil ou application) peut utiliser pour crypter un message et une clé privée qu'une seule personne (ou appareil ou application) devrait être en mesure d'utiliser pour décrypter ces messages.
PKI régit les clés de chiffrement en émettant et en gérant des certificats numériques qui vérifient le propriétaire d'une clé privée. Les certificats sont comme un permis de conduire ou un passeport pour le monde numérique. Cette approche permet de maintenir la sécurité en protégeant contre un "homme du milieu" qui prétend être quelqu'un d'autre et intercepte les messages, les décrypte, les modifie et les recrypte ensuite pour le destinataire prévu.
Bien que PKI soit apparu pour la première fois dans les années 1990, il a explosé depuis. PKI est plus important - et plus compliqué - que jamais dans le monde numérique d'aujourd'hui, car il existe maintenant des millions d'applications et d'appareils connectés qui nécessitent des certificats numériques pour maintenir la sécurité des communications en ligne.
Les exemples courants de PKI sont aujourd'hui les suivants SSL/TLS les certificats sur les sites web pour que les visiteurs sachent qu'ils envoient des informations au destinataire prévu, les signatures numériques et l'authentification pour les appareils de l'internet des objets.
L'ABC de PKI: Définition des principaux termes de PKI que vous devez connaître
Prêt à approfondir vos connaissances sur PKI? Cliquez ici pour obtenir The Definitive Guide to PKIqui offre une vue approfondie de ce qu'est PKI , comment fonctionne PKI , pourquoi PKI est si important dans l'ère numérique d'aujourd'hui, les défis courants que PKI résout et les cas d'utilisation courants de PKI.
Présentation du guide définitif de la PKI
S'engager dans une conversation sur PKI peut être une sorte de soupe à l'alphabet si vous n'êtes pas familier avec les termes utilisés. Pour vous aider à mieux naviguer dans ces ressources, voici une liste complète des termes et des définitions que vous devez connaître concernant PKI.
Chiffrement symétrique
Le cryptage symétrique utilise des permutations mathématiques pour crypter un message en texte clair. La même clé est utilisée pour chiffrer et déchiffrer ces messages. Le décryptage des messages est extrêmement difficile sans la clé, mais le fait que la même clé soit utilisée pour le cryptage et le décryptage crée un risque de distribution, puisque quiconque intercepte la clé pendant la transmission peut alors compromettre le système de communications sécurisées.
Chiffrement asymétrique
Le chiffrement asymétrique résout le risque de transmission du cryptage symétrique en créant deux clés différentes - une clé publique (qui peut être partagée avec n'importe qui) pour crypter les messages et une clé privée (qui ne doit être connue que du destinataire) pour décrypter les messages. Le chiffrement asymétrique permet également de vérifier une identité numérique grâce à l'utilisation de signatures numériques, dans lesquelles le propriétaire de la clé privée chiffre une "signature" avec cette clé privée, que n'importe qui peut ensuite vérifier en utilisant la clé publique correspondante.
Clé de chiffrement
Une Clé de chiffrement est générée par des algorithmes mathématiques avancés et est utilisée pour crypter et décrypter les messages dans le cadre du cryptage symétrique et asymétrique. Par exemple, le chiffrement asymétrique utilise aujourd'hui généralement l'une des trois propriétés les plus répandues pour générer des clés de chiffrement : RSA, ECC et Diffie-Hellman. Chacune utilise des algorithmes différents, mais elles reposent toutes sur les mêmes principes de base pour faire en sorte qu'il soit relativement facile de calculer la clé publique à partir de la clé privée, mais presque impossible de calculer la clé privée à partir de la clé publique. L'algorithme RSA 2048 bits, par exemple, génère aléatoirement deux nombres premiers de 1024 bits chacun, puis les multiplie. La réponse à cette équation est la clé publique, tandis que les deux nombres premiers qui ont créé la réponse sont la clé privée.
Signature numérique
A signature numérique est un moyen de vérifier l'authenticité par l'utilisation d'un identifiant numérique unique. Les signatures numériques reposent sur le cryptage asymétrique, car le propriétaire d'une clé privée peut utiliser cette clé pour signer numériquement un message. Des tiers peuvent alors utiliser la clé publique correspondante pour vérifier la signature et confirmer que le message n'a pas été modifié en cours de route, ce qui ferait échouer la vérification. Les signatures numériques offrent également une non-répudiation, car les signataires ne peuvent pas nier leur signature.
Hachures
A hachage s'apparente à une empreinte digitale numérique et est couramment utilisé dans les signatures numériques et pour s'assurer que les données n'ont pas été altérées. Plus précisément, il s'agit d'un algorithme à sens unique utilisé pour convertir une valeur en une autre afin de masquer des informations par le biais d'une sortie mathématique. Les algorithmes de hachage sécurisés souvent utilisés aujourd'hui sont SHA-1, SHA-2 (SHA-256, SHA-512) et MD5.
Certificat numérique
A certificat numérique confirme l'identité des personnes, des appareils ou des applications qui possèdent des clés privées et les clés publiques correspondantes. En bref, il s'agit d'un permis de conduire ou d'un passeport pour le monde numérique et il est souvent présenté à quelqu'un (ou à quelque chose) pour validation. Les certificats numériques contiennent des informations sur une personne ou une entité, sont émis par un tiers de confiance et peuvent être retracés jusqu'à l'émetteur. Ils sont également inviolables, contiennent des informations prouvant leur authenticité et ont une date d'expiration.
Autorité de certification (AC)
Les autorités de certification créent des certificats numériques et sont responsables des politiques, des pratiques et des procédures de contrôle des destinataires et d'émission des certificats. Il appartient aux propriétaires et aux opérateurs d'une autorité de certification de déterminer les méthodes de contrôle des destinataires des certificats, les types de certificats qu'ils émettront, les paramètres contenus dans chaque certificat et les procédures de sécurité et d'exploitation. Il appartient ensuite aux consommateurs de certificats de déterminer le degré de confiance qu'ils accordent aux certificats d'une autorité de certification donnée.
Demande de signature de certificat (CSR)
A Demande de signature de certificat est essentielle au processus de création d'un certificat. La CSR enregistre les informations d'identification d'une personne ou d'un appareil qui possède une clé privée, ainsi que des informations sur la clé publique correspondante. Le propriétaire de la clé doit ensuite signer la RSC pour prouver qu'il possède cette clé privée. Enfin, l'autorité de certification émettrice valide la demande et signe le certificat avec sa propre clé privée
Hiérarchie de l'AC
Les hiérarchies d'AC créent des couches de confiance dans lesquelles les autorités de certification émettent des certificats pour d'autres autorités de certification. Ce processus n'est pas circulaire, puisqu'il existe en fin de compte une autorité de certification racine qui émet et signe ses propres certificats. Les hiérarchies d'autorités de certification comportent généralement deux niveaux qui se présentent comme suit : Autorité de certification racine → Autorités de certification subordonnées → Certificats d'entités finales. Ce type de hiérarchie offre un niveau de sécurité suffisant pour garantir la validité des certificats émis sans créer trop de couches qui rendent l'extensibilité difficile.
AC racine
A AC racine délivre des certificats à d'autres AC mais délivre également ses propres certificats (qui sont auto-signés), car elle se trouve au sommet de la hiérarchie des AC. Par conséquent, les gens doivent intrinsèquement faire confiance à l'autorité de certification racine pour faire confiance à tous les certificats qui remontent jusqu'à elle, ce qui rend la sécurité des autorités de certification racine absolument essentielle. En fait, il n'existe aucun moyen de révoquer un certificat racine, de sorte que si une autorité de certification racine est compromise, l'organisation doit rendre cette faille de sécurité publique. Pour atteindre le niveau de sécurité nécessaire, les autorités de certification racines doivent être hors ligne 99,9 % du temps, ne se connectant que pour la création de clés publiques, de clés privées et de nouveaux certificats, ainsi que pour s'assurer que leurs propres clés sont toujours légitimes et n'ont pas été endommagées ou compromises de quelque manière que ce soit.
AC subordonnée ou autorité d'enregistrement (AE)
A AC subordonnée (également connue sous le nom d'autorité d'enregistrement) se situe en dessous des autorités de certification racine dans la hiérarchie des autorités de certification. Ces autorités de certification émettent régulièrement des certificats, ce qui fait qu'il leur est difficile de rester hors ligne aussi souvent que les autorités de certification racine. Toutefois, les AC subordonnées ont la possibilité de révoquer des certificats, ce qui permet de remédier plus facilement à une éventuelle faille de sécurité (contrairement aux AC racine, qui ne peuvent pas révoquer de certificats).
Certificat d'entité finale
Un certificat de fin d'identité certificat d'entité finale se situe au bas de la hiérarchie de l'autorité de certification et ne peut être utilisé pour signer d'autres certificats. Les personnes, les applications et les appareils qui ont besoin de certificats pour vérifier les identités et communiquer utilisent des certificats d'entité finale.
Base de données des certificats
A base de données de certificats contient des informations sur tous les certificats émis par une autorité de certification, y compris le propriétaire du certificat, sa date d'expiration et son état actuel. Les autorités de certification doivent consulter régulièrement leur base de données de certificats pour s'assurer de leur validité et gérer les révocations.
Liste de révocation des certificats (CRL)
A Liste de révocation des certificats contient des informations sur tous les certificats qui ont été révoqués par une autorité de certification subordonnée en raison de la compromission du certificat lui-même ou de l'ensemble du système. Les autorités de certification sont tenues de publier des LCR, mais c'est aux consommateurs de certificats qu'il appartient de vérifier ces listes et de déterminer comment ils réagissent si un certificat a été révoqué. Dans de nombreux cas, les consommateurs de certificats ne vérifient pas les LCR (ou ne vont pas jusqu'au bout de la hiérarchie de l'autorité de certification pour vérifier les LCR) parce que cela ralentit le processus d'authentification, qui nécessite de télécharger une liste de tous les certificats et vérifier l'état de révocation d'un certificat spécifique.
Protocole d'état des certificats en ligne (OCSP)
Protocole d'état des certificats en ligne offre un moyen plus rapide de vérifier l'état d'un certificat que le téléchargement d'une CRL. Avec OCSP, le consommateur d'un certificat peut soumettre une demande à l'autorité de certification émettrice pour obtenir l'état d'un certificat spécifique.
Certificats racine de confiance
Certificats racine de confiance sont des certificats qui sont automatiquement approuvés par un appareil ou un système d'exploitation sur la base d'entrées prédéfinies. Le concept de certificat racine de confiance est apparu lorsque l'utilisation des certificats s'est généralisée. Étant donné que chaque appareil et système en ligne aujourd'hui doit interagir avec des certificats, les certificats racine de confiance rendent certaines interactions plus efficaces.
Magasin de racines de confiance
A magasin de racines de confiance héberge tous les certificats racine de confiance d'un appareil ou d'un système d'exploitation spécifique. Par exemple, tous les ordinateurs Microsoft disposent d'un magasin racine de confiance. Chaque appareil et système d'exploitation est livré avec un magasin racine de confiance prédéfini, mais les propriétaires des machines peuvent définir des règles pour faire confiance à des certificats supplémentaires ou pour ne pas faire confiance à des certificats qui ont été prédéfinis comme étant de confiance.
Normes de cryptographie à clé publique (PKCS)
Normes de cryptographie à clé publique Les normes de cryptographie à clé publique favorisent l'utilisation de techniques de cryptographie standard dans les programmes PKI . Ces normes sont définies et publiées par RSA Security LLC et comprennent des techniques telles que PKCS 7, PKCS 10, PKCS 11 et PCKS 12, qui couvrent des aspects tels que la syntaxe et le formatage des messages pour les certificats numériques et la manière dont les clés privées sont stockées.
