Pourquoi parlons-nous d'assurance ?
Dans le domaine de PKI, l'assurance est l'un des sujets qui, à coup sûr, fait basculer une réunion de conception de PKI dans un trou de souris. Et malheureusement, de nombreux clients préfèrent la pilule bleue plutôt que de s'engager dans un effort proportionnel à un examen rigoureux du risque, de l'impact et de l'assurance dans l'espace de certification.
Franchement, je ne les blâme pas. En réalité, la plupart des gens ont simplement besoin que les certificats fonctionnent. En d'autres termes, ils ont besoin de cocher la case confirmant qu'un vestige d'authentification par certificat est actuellement utilisé dans leur environnement. Il s'agit généralement d'une réponse à un audit de conformité, ce qui est tout à fait compréhensible.
Mais à quoi sert un certificat sans aucune garantie ? Si un certificat n'est pas en mesure de préciser le degré de confiance qu'il faut lui accorder, la manière dont il doit être utilisé ou(ce qui est peut-être plus important) la manière dont il ne faut pas l'utiliser, alors quelle est exactement son utilité ?
Les certificats n'ont pas de sens s'ils ne sont pas accompagnés d'une politique
Je dis souvent à mes clients que les certificats qui ne véhiculent pas de politique n'offrent pas aux propriétaires d'applications et aux parties utilisatrices la possibilité de discerner ce qu'un certificat donné devrait être capable d'authentifier ou comment il devrait être utilisé. Par exemple, tout certificat d'utilisateur doit-il être utilisé à des fins de non-répudiation ? La plupart des gens répondraient par la négative, mais pour déterminer quels certificats devraient être utilisés à des fins de non-répudiation, il faudrait très certainement engager une conversation sur la politique en matière de certificats. Et c'est là que les choses commencent à se gâter.
Je considère que tout certificat dépourvu de politique est un certificat incapable de transmettre un niveau d'assurance spécifique. Mais la désignation d'un niveau d'assurance est plus qu'un simple nom arbitraire. Spécifier des niveaux d'assurance revient à raconter une histoire. C'est à l'architecte du site PKI qu'il incombe de raconter cette histoire de fiabilité et d'assurance. Il s'agit d'une histoire qui s'articule dans le langage des politiques de certification, des déclarations de pratiques de certification et des processus opérationnels conformes. En tant qu'architecte PKI , je considère donc la politique comme un thème central fondamental dans mon approche philosophique de la conception et de l'architecture PKI .
Ce que signifie l'assurance
L'assurance est généralement définie comme la confiance qu'une partie se fiant à un certificat peut avoir dans le fait que le sujet figurant sur un certificat est bien celui qui présente le certificat en question. Si la plupart des clients peuvent facilement s'identifier à cette affirmation, cela signifie que les définitions de l'assurance doivent être rendues tangibles. L'assurance doit être décrite de manière à être facilement comprise et acceptée par tous.
PKI vient de devenir réelle.
Alors, par où commencer dans cette description de l'assurance ? J'ai constaté qu'un bon point de départ pour une conversation basée sur l'assurance est une liste des risques potentiels qui peuvent être associés à une mauvaise utilisation des certificats. En d'autres termes, quelles sont les mauvaises choses qui pourraient se produire dans le cas où un certificat malveillant ou mal configuré est émis et utilisé à partir d'un site interne PKI? Cette liste pourrait ressembler à ce qui suit :
- Atteinte à la réputation
- Perte financière
- Dommage au produit ou à l'entreprise
- Communication d'informations sensibles
- Sécurité personnelle
- Violations civiles / pénales
L'affinement de cette liste d'impact en niveaux d'impact élevé/moyen/faible permet aux clients d'associer facilement tout cas d'utilisation d'un certificat à un ensemble de niveaux d'impact définis. A titre d'exemple...
- Niveau 1 - Faible confiance dans l'identité affirmée
- Niveau 2 - Confiance moyenne dans l'identité affirmée
- Niveau 3 - Grande confiance dans l'identité affirmée
L'élaboration d'une matrice risques/impacts complète, qui détaille les dommages potentiels par rapport aux niveaux d'impact, permet aux équipes chargées des risques au sein des entreprises d'assigner des exigences d'assurance non arbitraires à un cas d'utilisation de certificat donné, à une politique de certificat et à des exigences de conception sur le site PKI .
Note : Ce processus est très bien décrit par l'Office de la gestion et du budget du gouvernement fédéral américain : https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf
L'attribution de valeurs non arbitraires aux niveaux d'assurance est essentielle pour normaliser les conversations basées sur le risque et l'assurance au sein d'une entreprise. Cela permet aux propriétaires d'applications et aux responsables de la politique de certification de faire correspondre avec précision les risques à des niveaux d'assurance bien compris. Le développement d'une compréhension commune de l'assurance permet à toutes les parties de sélectionner correctement les AC et les processus de cycle de vie des certificats appropriés pour répondre à leurs besoins en matière de certificats.
Comme on peut l'imaginer, développer cette compréhension commune du risque, de l'impact et de l'assurance est une entreprise non triviale. Elle nécessite des connaissances dans plusieurs disciplines différentes telles que PKI, le risque et la conformité. Souvent, un travail d'équipe est nécessaire pour y parvenir avec succès. Et malheureusement, ce niveau d'effort est rare.
Le plus souvent, les administrateurs se contentent de demander des certificats.
Ce que signifie l'absence d'assurance
Je dirais que dans de nombreux cas (plus que je ne veux l'admettre), la politique et l'assurance sont des considérations secondaires lorsqu'un client demande une conception PKI . Dans la grande majorité des conceptions PKI , on me pose des questions sur la signature, l'échange de clés ou d'autres algorithmes cryptographiques. Mais la politique est rarement au premier plan de ces discussions.
En l'absence d'une politique de certification affirmée, il ne peut y avoir de revendication légitime d'un niveau d'assurance spécifique. C'est ce manque d'orientation qui permet à n'importe quel certificat, délivré dans n'importe quelle circonstance, d'être considéré comme utile pour n'importe quelle application.
Le moins que l'on puisse dire, c'est que ce n'est pas idéal.
Cette sorte d'anarchie cryptographique permettrait d'utiliser les certificats les moins sûrs pour protéger les actifs les plus précieux des entreprises. Pourquoi ne pas le faire ? Qui peut dire le contraire ? Pensez-y de la manière suivante : quelqu'un se fierait-il à un certificat d'utilisateur enregistré automatiquement pour protéger la formule secrète utilisée par l'entreprise ?
L'absence de politique en matière de certificats signifie l'absence d'assurance, et l'absence d'assurance conduit souvent à des risques. Non seulement parce que les certificats peuvent être utilisés dans des situations où ils ne devraient manifestement pas l'être, mais aussi parce que la simple utilisation de certificats confère un sentiment de sécurité souvent faussement élevé. En fait, les certificats numériques mis en œuvre pour améliorer la position de sécurité d'une entreprise peuvent en fait aggraver la situation selon la manière dont le site PKI est conçu et exploité.
C'est pour ces raisons que je considère la création d'une politique de certification significative et suffisamment détaillée comme un thème central lors de la conception d'une entreprise PKI. La capacité de prescrire des opérations de certification par rapport aux capacités techniques d'assurance des certificats est essentielle pour évaluer avec précision les risques liés à PKI et vérifier la conformité à PKI .