Keyfactor Tech Days - Maintenant à la demande ! | Les sessions enregistrées permettent d'obtenir des informations sur le PQC.

Qu'est-ce que PKI? Guide définitif de l'infrastructure à clé publique

L'infrastructure à clé publique (PKI) régit l'émission de certificats numériques pour protéger les données sensibles, fournir des identités numériques uniques pour les utilisateurs, les appareils et les applications et sécuriser les communications de bout en bout.

Qu'est-ce que PKI - Infrastructure à clé publique
Table des matières

Qu'est-ce que PKI?

Aujourd'hui, Aujourd'hui, les organisations s'appuient sur le site PKI pour gérer la sécurité par le biais du chiffrement.ption. Plus précisément, la forme la plus courante de cryptage utilisée aujourd'hui implique une clé publique, que n'importe qui peut utiliser pour crypter un message, et une clé privée (également appelée clé secrète), qu'une seule personne doit pouvoir utiliser pour décrypter ces messages. Ces clés peuvent être utilisées par des personnes, par des personnes, des appareils et des applications.

PKI La sécurité électronique est apparue dans les années 1990 pour aider à régir les clés de chiffrement par la délivrance et la gestion de certificats numériques. Ces certificats PKI vérifient le propriétaire d'une clé privée et l'authenticité de cette relation pour aider à maintenir la sécurité.Ces certificats vérifient le propriétaire d'une clé privée et l'authenticité de cette relation afin de contribuer au maintien de la sécurité. Les certificats s'apparentent à un permis de conduire ou à un passeport pour le monde numérique.

Aujourd'hui, les exemples les plus courants de sécurité PKI sont les certificatsSSL sur les sites web, qui permettent aux visiteurs de savoir qu'ils envoient des informations au destinataire prévu.La sécurité est également assurée par les certificats d'authentification, les signatures numériques et l'authentification des appareils de l'internet des objets.

Votre site PKI est-il trop complexe ? Essayez le Cloud PKI as-a-Service.

En savoir plus

Comment fonctionne PKI ?

Comment fonctionne le site PKI ?

Pour comprendre comment fonctionne PKI il est important de revenir auxaux principes de base qui régissent le cryptage. Dans cette optique, nous allons nous pencher sur les algorithmes cryptographiques et les certificats numériques.

Éléments constitutifs de la cryptographie à clé publique

Les algorithmes cryptographiques sont des formules mathématiques définies et très complexes utilisées pour crypter et décrypter les messages. complexes utilisées pour crypter et décrypter les messages. Ils constituent également les éléments de base de l'authentification sur le site PKI . Ces algorithmes varient en complexité et les premiers les plus anciens sont antérieurs à la technologie moderne.

Chiffrement symétrique

Lechiffrement symétrique est un algorithme cryptographique simple selon les normes actuelles, mais il était autrefois considéré comme le nec plus ultra de la cryptographie. En fait, l'armée allemande l'a utilisé pour envoyer des communications privées pendant la Seconde Guerre mondiale. Le film Le jeu de l'imitation fait en fait explique assez bien le fonctionnement du cryptage symétrique et le rôle qu'il a joué pendant la Seconde Guerre mondiale.et le rôle qu'il a joué pendant la guerre.

Avec le cryptage symétrique, un message tapé en clair passe par des permutations mathématiques pour être crypté. Le message crypté est difficile à déchiffrer parce que la même lettre du texte en clair n'est pas toujours la même dans le message crypté. n'est pas toujours la même dans le message crypté. Par exemple, le message "HHH" ne sera pas crypté avec trois caractères identiques.

Pour crypter et décrypter le message, vous avez besoin de la même clé, d'où le nom de cryptage symétrique. Bien qu'il soit extrêmement difficile de décrypter est extrêmement difficile sans la clé, le fait que la même clé doive être utilisée pour crypter et décrypter le message comporte un risque important. En effet, si le canal de distribution utilisé pour partager la clé est compromis, c'est tout le système de sécurisation des messages qui est rompu. messages sécurisés est rompu.

Chiffrement asymétrique

Lechiffrement as ymétrique, ou cryptographie asymétrique, résout le problème d'échange qui affectait le chiffrement symétrique. Pour ce faire, il crée deux clés cryptographiques différentes (d'où le nom de chiffrement asymétrique) : une clé privée et une clé publique.

Avec le cryptage asymétrique, un message passe toujours par des permutations mathématiques avant de devenir un message.permutations mathématiques pour devenir crypté, mais nécessite une clé privée (qui ne doit être connue que du destinataire) pour être décrypté et une clé publique (qui peut être partagée avec n'importe qui) pour crypter un message.

Voici comment cela fonctionne :

  • Alice souhaite envoyer un message privé à Bob, elle utilise donc la clé publique de Bob pour générer un texte chiffré que seule la clé privée de Bob peut déchiffrer.
  • Comme seule la clé privée de Bob peut décrypter le message, Alice peut l'envoyer en sachant que personne d'autre ne peut le lire - pas même une personne qui écoute - tant que Bob veille à ce que personne d'autre ne possède sa clé privée.n une oreille indiscrète - tant que Bob veille à ce que personne d'autre ne possède sa clé privée.

 

Le chiffrement asymétrique permet également d'effectuer d'autres actions qui sont plus difficiles à réaliser avec le chiffrement symétrique, comme les signatures numériques, qui fonctionnent de la manière suivante :

  • Bob peutpeut envoyer un message à Alice et crypter une signature à la fin à l'aide de sa clé privée.
  • Lorsque Alice reçoit le message, elle peut utiliser la clé publique de Bob pour vérifier deux choses : 
    • Bob, ou une personne possédant la clé privée de Bob, a envoyé le message suivant
    • Le message n'a pas été modifié ien transit, car s'il est modifié, la vérification échouera.

 

Dans ces deux exemples, Alice n'a pas généré sa propre clé. Grâce à un simple échange de clés publiques, Alice peut envoyer des messages cryptés à Bob et vérifier des documents que Bob a signés.Il est important de noter que ces actions ne sont qu'à sens unique. Pour inverser les actions afin que Bob puisse envoyer des messages privés à Alice et vérifier sa signature, Alice devrait générer sa propre clé privée et partager la clé publique correspondante.

Éléments constitutifs de la cryptographie à clé publique

Aujourd'hui, il existe trois propriétés mtions mathématiques populaires utilisées pour générer des clés privées et publiques : RSA, ECC et Diffie-Hellman. Chacune d'entre elles utilise des algorithmes différents pour générer des clés de chiffrement. de chiffrement mais elles reposent toutes sur les mêmes principes de base en ce qui concerne la relation entre la clé publique et la clé privée.ivate key.

Examinons l'algorithme RSA 2048 bits à titre d'exemple. Cet algorithme génère aléatoirement deux nombres premiers de 1024 bits chacun, puis les multiplie. La réponse à cette équation est la clé publique, tandis que les deux nombres premiers qui ont créé la réponse sont la clé privée.premiers qui ont créé la réponse constituent la clé privée.

Cette approche fonctionne parce qu'il est extrêmement difficile d'inverser le calcul lorsqu'il implique deux nombres premiers de cette taille, ce qui rend relativement facile le calcul de la clé publique à partir de la clé privée, mais impossible le calcul de la clé privée à partir de la clé publique.relativement facile de calculer la clé publique à partir de la clé privée, mais impossible de calculer la clé privée à partir de la clé publique.

Comment le chiffrement symétrique et asymétrique est-il utilisé aujourd'hui ?

Le cryptage symétrique et le cryptage asymétrique sont tous deux utilisés fréquemment aujourd'hui. Le cryptage asymétrique est beaucoup plus lent que le cryptage symétrique, c'est pourquoi les deux sont souvent utilisés en tandem. Par exemple, quelqu'un peut crypter un message à l'aide du cryptage symétrique, puis envoyer la clé pour décrypter le message à l'aide du cryptage asymétrique (ce qui accélère le processus de décryptage puisque la clé est beaucoup plus petite que l'ensemble du message).

Chiffrement symétrique et asymétrique

Aujourd'hui, le cryptage asymétrique permet de réaliser des choses comme :

  • Algorithmes SSH
  • SSL/TLS
  • Courrier électronique crypté S/MIME
  • Signature du code
  • Bitcoin/Blockchain
  • Messagerie privée Signal
  • Signatures numériques

 

En particulier, le cryptage asymétrique permet d'accéder au site PKI.

L'émergence de PKI pour régir les clés de chiffrement

Le chiffrement symétrique et le chiffrement asymétrique ont tous deux un défi majeur à relever : comment savoir si la clé publique a été reçue par le destinataire ?Comment savez-vous que la clé publique que vous avez reçue appartient appartient réellement à la personne que vous pensez qu'elle appartient ?

Même avec le chiffrement asymétrique, le risque de "l'homme du milieu" existe. Par exemple, que se passerait-il si quelqu'un interceptait la clé publique de Bob, créait sa propre clé privée et générait ensuite une nouvelle clé publique pour Alice ? clé privée, puis générait une nouvelle clé publique pour Alice ? Dans ce cas, Alice chiffrerait les messages pour Bob, l'homme du milieu pourrait les déchiffrer, les modifier et les chiffrer à nouveau, sans que ni Alice ni Bob ne s'en aperçoivent.

PKI résout ce cen délivrant et en gérant des certificats numériques qui confirment l'identité des personnes, des appareils ou des applications qui possèdent des clés privées et les clés publiques correspondantes. En bref, PKI attribue des identités aux clés afin que les destinataires puissent vérifier avec précision l'identité des propriétaires.les propriétaires. Cette vérification donne aux utilisateurs l'assurance que s'ils envoient un message crypté à cette personne (ou à cet appareil), le destinataire prévu est bien le propriétaire de la clé. (ou appareil), le destinataire prévu est bien celui qui le lira. réellement le lire et non pas quelqu'un d'autre qui pourrait être assis comme un "homme au milieu".

Le rôle des certificats numériques dans PKI

PKI régit les clés de chiffrement en émettant et en gérant des certificats numériques. Les certificats numériques sont également appelés certificats X.509 et certificats PKI .

Quel que soit le nom qu'on lui donne, un certificat numérique possède les qualités suivantes :

  • Est l'équivalent électronique d'un permis de conduire ou d'un passeport
  • Contient des informations sur une personne ou une entité
  • Est délivré par un tiers de confiance
  • Résistant à l'effraction
  • Contient des informations qui peuvent prouver son authenticité
  • Peut être retracé jusqu'à l'émetteur
  • A une date d'expiration
  • Est présenté à quelqu'un (ou à quelque chose) pour validation

 

La façon la plus simple de comprendre comment PKI régit les certificats numériques pour vérifier les identités est de le considérer comme un DMV numérique. À l'instar du Department of Motor Vehicles (DMV), PKI introduit un tiers de confiance pour prendre les décisions relatives à l'attribution d'identités à un certificat numérique. De plus, à l'instar des permis de conduire, les tout comme les permis de conduire, les certificats numériques sont difficiles à falsifier, contiennent des informations permettant d'identifier le propriétaire et ont une date d'expiration.

Enfin, c'est à la personne qui vérifie le certificat numérique qu'il revient de déterminer la nature du processus de vérification et l'attention qu'il convient d'accorder au certificat en fonction du cas d'utilisation. et le degré d'attention qu'il convient d'accorder au certificat en fonction du cas d'utilisation.

Présentation des autorités de certification

Les autorités de certification (AC) sont chargées de créer des certificats numériques et sont responsables des politiques, des pratiques et des procédures de contrôle des destinataires et de délivrance des certificats. l'approbation des destinataires et la délivrance des certificats.

Plus précisément, les propriétaires et les exploitants d'une AC déterminent :

  • Méthodes de vérification des bénéficiaires de certificats
  • Types de certificats délivrés
  • Paramètres contenus dans le certificat
  • Procédures de sécurité et d'exploitationsionnelles
PKI Autorités de certification

Une fois que les autorités de certification ont pris ces décisions, elles doivent documenter officiellement leurs politiques. À partir de là, il appartient aux consommateurs de certificats de décider du degré de confiance qu'ils souhaitent accorder aux certificats d'une autorité de certification donnée.

Fonctionnement du processus de création de certificats

Le processus de création de certificats repose en grande partie sur le chiffrement asymétrique et se déroule comme suit :

  • Une clé privée est créée et la clé publique correspondante est calculée
  • L'autorité de certification demande toutes les caractéristiques d'identification du propriétaire de la clé privée et vérifie ces informations. informations
  • La clé publique et les attributs d'identification sont encodés dans une demande de signature de certificat (CSR).
  • La RSC est signée par le propriétaire de la clé pour prouver qu'il possède cette clé privée.
  • L'autorité de certification émettrice valide la demande et signe le certificat avec la clé privée du CA avec sa propre clé privée
PKI Processus de création de certificats

N'importe qui peut utiliser la partie publique d'un certificat pour vérifier qu'il a bien été émis. effectivement délivré par l'autorité de certification en confirmant qui possède la clé privée utilisée pour signer le certificat. Et, en supposant qu'ils jugent cette autorité de certification digne de confiance, ils peuvent vérifier que tout ce qu'ils envoient au détenteur du certificat le sera également. au détenteur du certificat ira effectivement au destinataire prévu et que tout ce qui a été signé à l'aide de la clé privée du détenteur du certificat a bien été signé par cette personne ou cet appareil.

Il est important de noter que l'autorité de certification possède sa propre clé de private et la clé publique correspondante, ce qui crée la nécessité de hiérarchies d'AC.

Comment les hiérarchies d'AC et les AC racine créent des couches de confiance

Étant donné que chaque autorité de certification possède son propre certificat, des couches de confiance sont créées par le biais de hiérarchies d'autorités de certification, dans lesquelles les autorités de certification émettent des certificats pour d'autres autorités de certification.ertificats pour d'autres AC. Toutefois, ce processus n'est pas circulaire, puisqu'il existe en fin de compte un certificat racine. Normalement, les certificats ont un émetteur et un sujet comme deux parties distinctes, mais ce sont les mêmes parties pour les AC racine, ce qui signifie que les certificats racine sont auto-signés.racine sont auto-signés. Par conséquent, les gens doivent intrinsèquement faire confiance à l'autorité de certification racine pour faire confiance à tous les certificats qui remontent jusqu'à elle.

PKI Hiérarchies d'AC et AC racine

Comment sécuriser une autorité de certification racine

Tout cela rend la sécurité des clés privées particulièrement importante pour les autorités de certification. Une clé privée qui tombe entre de mauvaises mains est mauvaise dans tous les cas, mais elle est particulièrement dévastateur pour les AC, car quelqu'un peut alors émettre des certificats de manière frauduleuse.

Les contrôles de sécurité et lLes contrôles de sécurité et l'impact d'une perte deviennent encore plus graves à mesure que l'on remonte la chaîne dans la hiérarchie de l'autorité de certification, car il n'y a aucun moyen de révoquer un certificat racine. Si une autorité de certification racine est compromise, l'organisation doit rendre publique cette faille de sécurité. C'est pourquoi les AC racine ont les mesures de sécurité les plus strictes.

Pour répondre aux normes de sécurité les plus élevées, les autorités de certification racines ne devraient presque jamais être en ligne. Selon les meilleures pratiques, les AC racine devraient stocker leurs clés privées dans des coffres-forts de qualité NSA situés dans des locaux à la pointe de la technologie. de l'état de l'art de données à la pointe de la technologie, sécurisés 24 heures sur 24 et 7 jours sur 7 par des caméras et des gardes physiques.rité 24 heures sur 24, 7 jours sur 7, grâce à des caméras et à des gardes physiques. Toutes ces Ces mesures peuvent sembler extrêmes, mais elles sont nécessaires pour protéger l'authenticité d'un certificat racine.

Bien que l'autorité de certification racine doive être hors ligne 99,9 % du temps, il existe certains cas où elle doit être mise en ligne. en ligne. En particulier, les AC racines doivent être en ligne pour la création de clés publiques, de clés privées et de nouveaux certificats, ainsi que pour s'assurer que leurs propres clés sont toujours légitimes et qu'elles n'ont pas été endommagées ou compromises de quelque manière que ce soit. légitimes et qu'ils n'ont pas été endommagés ou compromis de quelque manière que ce soit. Idéalement, les AC roes AC racine devraient effectuer ces tests environ 2 à 4 fois par an.

Enfin, il est important de noter que les certificats racine expirent. La durée de vie d'un certificat racine est généralement de 15 à 20 ans (contre environ sept ans pour les certificats des autorités de certification subordonnées). L'introduction d'une nouvelle racine et laIl n'est pas facile d'introduire et d'instaurer la confiance dans une nouvelle racine, mais il est important que ces certificats expirent, car plus ils durent longtemps, plus ils sont vulnérables aux risques de sécurité.

Déterminer le niveau optimal de la hiérarchie des CA de votre site PKI

La hiérarchie d'une ACLa hiérarchie d'une autorité de certification comporte généralement deux niveaux, suivant la chaîne Autorité de certification racine → Autorités de certification subordonnées → Certificats d'entités finales.

PKI Hiérarchie de l'AC 

A hiérarchie à deux niveaux Une hiérarchie à deux niveaux est absolument nécessaire au minimum parce qu'une autorité de certification racine doit être hors ligne 99,9ce qui constitue une norme difficile à respecter pour les AC subordonnées qui émettent régulièrement des certificats, puisqu'elles doivent être en ligne pour émettre de nouveaux certificats.

Bien que les AC subordonnées fassent le mieux pour protéger leurs certificats, elles présentent un risque de sécurité beaucoup plus élevé que les autorités de certification racine.risque de sécurité beaucoup plus élevé que les AC racine. Contrairement aux AC racine, les AC subordonnées ont la possibilité de révoquer les certificats, de sorte que toute atteinte à la sécurité est plus facile à réparer que pour les AC racine (qui ne peuvent pas révoquer les certificats).

Ceci étant dit, a hiérarchie est généralement suffisante pour assurer la sécurité. Plus il y a de niveaux dans la hiérarchie d'une AC, plus la facilité d'utilisation et l'évolutivité de l'adresse PKI posent problème. En effet, les niveaux supplémentaires augmentent la complexité des politiques et des procédures régissant l'AC PKI.

Gestion de la révocation au moyen de listes de révocation de certificats

Si une autorité de certification subordonnée est compromise de quelque manière que ce soit ou souhaite révoquer un certificat pour quelque raison que ce soit, elle doit publier une liste de révocation de tous les certificats émis qui ne doivent pas être pris en compte.tés. Cette liste est connue sous le nom de liste de révocation de certificats (CRL) et est essentielle à la conception de PKI .

PKI Listes de révocation de certificats

Bien que les autorités de certification soient tenues d'émettre des LCR, les consommateurs de certificats sont libres de vérifier ces listes et de réagir si un certificat a été révoqué. Une fois de plus, il s'agit là d'un excellent exemple de la façon dont les certificats numériques sont similaires aux certificats de sécurité. similaires aux permis de conduire puisque le processus de vérification dépend généralement de la nécessité du certificat (pensez à la différence entre l'utilisation d'un permis récemment expiré pour acheter de l'alcool et le passage d'un point de contrôle de l'autorité d'horodatage (TSA)).

Dans de nombreux cas, les consommateurs de certificats choisissent de ne pas vérifier les LCR car cela ralentit le processus d'authentification. Les consommateurs de certificats peuvent également choisir jusqu'où remonter dans la hiérarchie de l'autorité de certification dans le cadre de la vérification, en gardant à l'esprit que plus ils remontent dans le temps, plus le processus est long.

Bien que la vérification des CRL - et d'aller jusqu'à l'autorité de certification racine pour le faire - ralentit le processus d'authentification, cette pratique devient de plus en plus courante à mesure que de plus en plus d'objets sont mis en ligne et s'appuient sur des certificats numériques pour leur sécurité. Prenons le cas des navigateurs web. De nombreux navigateurs pAuparavant, de nombreux navigateurs ne vérifiaient pas les certificats parce que cela ralentissait la navigation, mais aujourd'hui, ces vérifications sont monnaie courante, car la sécurité de l'internet devient de plus en plus importante.

Les LCR ont elles-mêmes une date d'expiration, et si une LCR expire, tous les certificats émis par l'autorité de certification deviennent invalides.ificate émis par l'autorité de certification devient invalide. Si les autorités de certification s'attachent principalement à veiller à ce que les certificats n'expirent pas - ce qui est important - il est également important qu'elles veillent à ce que les LCR n'expirent pas, car si cela se produit, c'est toute l'infrastructure PKI qui risque de s'effondrer. Lorsque les Cracine sont en ligne, elles vérifient également que les LCR des AC subordonnées n'ont pas expiré pour cette raison.

Certificats racine de confiance

Aujourd'hui, chaque appareil et système qui est en ligne (téléphones, ordinateurs portables, serveurs, systèmes d'exploitation) doit interagir avec des certificats.avec des certificats. Cette interaction généralisée avec les certificats a conduit au concept de certificat racine de confiance au sein des appareils et des systèmes d'exploitation.

Par exemple, tous les ordinateurs Microsoft disposent d'un magasin racine de confiance. Tout certificat pouvant être rattaché à ce magasin racine de confiance sera automatiquement approuvé par l'ordinateur.à ce magasin racine de confiance sera automatiquement approuvé par l'ordinateur. Chaque appareil et système d'exploitation Chaque appareil et système d'exploitation Chaque appareil et système d'exploitation est livré avec un magasin racine de confiance prédéfini, mais les propriétaires de machines peuvent définir des règles pour faire confiance à des certificats supplémentaires ou pour ne pas faire confiance à des certificats qui ont été prédéfinis comme étant de confiance. qui ont été prédéfinis comme fiables.

PKI Certificats racine de confiance

Pourquoi PKI est-il si important à l'ère numérique ?

PKI est si importante à l'ère numérique actuelle, car il existe désormais des millions d'applications et d'appareils connectés qui nécessitent une certification. L'authentification et le maintien des certificats pour ces technologies est essentiel pour assurer la sécurité de notre monde hautement connecté.

Pour illustrer pleinement l'importance de PKI à l'ère numérique, suivons son évolution depuis sa création au milieu des années 1990.

La première vague : Les débuts de PKI (1995-2002)

La première vague de PKI ne comprenait qu'un petit nombre de certificats, qui avaient une valeur élevée et n'étaient utilisés que dans des cas très spécifiques.

À cette époque, la principale utilisation de PKI consistait à délivrer des certificats aux sites web de commerce électronique, qui affichaient alors une icône de verrouillage dans le navigateur pour donner aux consommateurs l'assurance qu'ils visitaient le bon site web et que la connexion était sécurisée lorsqu'ils communiquaient des informations de carte de crédit pour effectuer un achat.ésentaient alors l'icône du cadenas dans le navigateur pour donner aux consommateurs l'assurance qu'ils visitaient le bon site web et que la connexion était sécurisée lorsqu'ils communiquaient les informations de leur carte de crédit pour effectuer un achat.

Certaines grandes organisations ont déployé PKI, mais ces projets ont généralement duré deux ans et coûté des millions de dollars pour n'aboutir qu'à quelques certificats. ces projets se sont généralement étalés sur deux ans et ont coûté des millions de dollars, pour n'aboutir qu'à une poignée de certificats. délivrés de certificats, ce qui laisse beaucoup de potentiel inexploité.

À cette époque, presque tous les certificats étaient achetés auprès de vendeurs publics et pouvaient coûter des milliers d'euros. pouvaient coûter des milliers de dollars. Cela a créé un flux de revenus pour ces vendeurs qui garantissaient qu'ils surveilleraient l'expiration des certificats et alerteraient les destinataires en conséquence. Par conséquent, la gestion de PKI était relativement facile pour les organisations qui avaient réussi à démarrer quelque chose.de quelque chose.

La deuxième vague : L'émergence de l'entreprise PKI (2003-2010)

La deuxième vague de PKI a vu les cas d'utilisation par les entreprises exploser et a entraîné une série de nouveaux défis.

Le début des années 2000 a vu l'essor de la main-d'œuvre mobile, lorsque presque tous les employés ont reçu des ordinateurs portables et que la possibilité de travailler à distance est devenue monnaie courante. ATout d'un coup, les employés ont eu besoin d'accéder à des ressources en dehors du bureau.L'authentification des appareils et la sécurisation de l'accès des utilisateurs distants aux systèmes sont donc devenues plus importantes que jamais.

En réponse, les organisations ont identifié PKI comme le meilleur moyen d'authentifier leur personnel nouvellement mobile.y pour authentifier leur nouvelle main-d'œuvre mobile. Plus précisément, elles ont commencé à placer des certificats sur les ordinateurs portables des employés (et sur tout autre appareil comme les téléphones portables) afin de vérifier que les appareils se connectant au VPN ou accédant aux ressources depuis l'extérieur du bureau étaient bien des appareils d'employés et qu'ils disposaient de l'antivirus adéquat pour accéder à ces systèmes.d employés et qu'ils disposaient de l'antivirus adéquat software pour accéder à ces systèmes.

À cette époque, les certificats émis par les entreprises sont devenus comme des badges d'identification de l'entreprise. Les organisations pouvaient déployer leurs propres certificats et même placer des certificats SSL ou TLS sur les serveurs web internes pour améliorer la sécurité en empêchant les mots de passe en clair de circuler sur le réseau.ates sur les serveurs web internes afin d'améliorer la sécurité en empêchant les mots de passe en clair de circuler sur le réseau.

Si cette approche de PKI a permis aux entreprises de résoudre d'importants problèmes liés à l'authentification du personnel mobile et au cryptage des systèmes internes, elle a également créé un nouvel ensemble de défis liés à la garantie d'un programme sain. systèmes internes, elle a également créé une nouvelle série de défis pour garantir un programme sain.

Tout d'abord, les organisations ont dû consacrer beaucoup d'efforts à la conception d'infrastructures de clés publiques robustes et sûres, conformes aux meilleures pratiques. Deuxièmement, elles devaient trouver des moyens de suivre correctement leurs ICP pour s'assurer que les certificats n'ont pas expiré et/ou qu'ils n'ont pas été compromis et doivent être révoqués. n'étaient pas compromis et devaient être révoqués. Pour relever ces défis, la plupart des organisations ont mis en place des programmes de gestion PKI dirigés en interne par des employés possédant l'expertise nécessaire.

La troisième vague : Nouvelles utilisations et difficultés croissantes (2011-aujourd'hui)

La troisième vague de PKI, que nous connaissons encore aujourd'hui, comprend plusieurs nouvelles utilisations autour de l'internet des objets (IoT ) et quelques problèmes de croissance liés à la mise à l'échelle. problèmes de croissance liés à la mise à l'échelle PKI en cours de route.

Aujourd'hui, les entreprises émettent des millions de certificats pour authentifier une main d'œuvre totalement mobile et multi-appareils. Au-delà des appareils des employés, les organisations doivent également doivent également gérer des certificats intégrés dans toutes sortes de systèmes en nuage. Enfin, l'essor du site IoT a donné naissance à des millions de nouveaux appareils connectésChacun d'entre eux doit être sécurisé, authentifié et capable d'obtenir des mises à jour du micrologiciel. Toutes ces Toutes ces connexions rendent PKI plus important que jamais et ont entraîné une énorme croissance dans ce domaine.nt une croissance énorme dans ce domaine.

Mais à mesure que PKI devient plus important et plus répandu, il devient aussi plus difficile. Plus précisément, le monde numérique connecté d'aujourd'huid'aujourd'hui crée PKI des défis de gestion Le monde numérique connecté d'aujourd'hui crée des défis de gestion qui consistent à acheminer les certificats là où ils doivent aller, à s'assurer que les certificats sont correctement vérifiés et cartographiés, et à contrôler les certificats déjà émis. Les systèmes hérités qui ont été construits pendant la deuxième vague ont du mal à suivre - en fait, 98 % des entreprises d'aujourd'hui reconstruiraient leur système d'information, 98 % des organisations actuelles reconstruiraient leur site PKI si elles le pouvaient.

Superviser, gérer et mettre à jour des millions de certificats est une tâche si ardue que la plupart des organisations s'appuient désormais sur des fournisseurs de services gérés tiers.que la plupart des organisations font désormais appel à des fournisseurs de services gérés par des tiers et à des outils de gestion de certificats spécialisés pour gérer leurs certificats. des outils spécialisés de gestion des certificats pour gérer leurs PKI. Cette tendance est similaire à Cette tendance est similaire au passage à l'informatique en nuage.Cette tendance est similaire à l'évolution vers l'informatique en nuage, les organisations passant des serveurs de données qu'elles possèdent à des fournisseurs tiers d'informatique en nuage.

Faire appel à un prestataire de services géréspour PKI permet à chaque organisation de concentrer l'expertise de ses employés sur des domaines directement liés à son secteur d'activité (plutôt que sur l'infrastructure d'exploitation) et de se prémunir contre la rotation des experts sur le site PKI . Plus important encore, cela améliore la gestion et la sécurité de PKI en donnant accès à une grande équipe spécialisée dans l'élaboration et la mise en œuvre de programmes PKI fondés sur les meilleures pratiques.

Quels sont les défis courants que PKI résout ?

Parmi les cas d'utilisation les plus courants de PKI , on peut citer

  • SSL/TLS certificats pour sécuriser la navigation et les communications sur le web
  • Signatures numériques sur software
  • Accès restreint aux intranets et VPN de l'entreprise
  • Sans mot de passe Wifi accès basé sur la propriété de l'appareil
  • Cryptage des courriels et des données

 

L'une des tendances à l'origine de l'explosion des certificats et de PKI est IoT. Ces cas d'utilisation s'étendent à tous les secteurs, car tout appareil connexes, car tout appareil connecté - aussi inoffensif qu'il puisse paraître - doit être sécurisé à notre époque. à l'heure actuelle. Par exemple, la violation de données de Home Depot a commencé parce que des pirates ont pu accéder au système de point de vente du détaillant en s'introduisant dans le réseau en se faisant passer pour un employé non authentifié de l'entreprise de chauffage, de ventilation et de climatisation.s'étant fait passer pour une unité de chauffage, de ventilation et de climatisation non authentifiée.

Certains des cas d'utilisation les plus convaincants du site PKI concernent aujourd'hui le site IoT. Les constructeurs automobiles et fabricants d'appareils médicaux sont deux excellents exemples d'industries qui introduisent actuellement PKI pour les appareils IoT .

Constructeurs automobiles et PKI

Les voitures produites aujourd'hui sont très connectées grâce à des fonctionnalités telles que le GPS intégré, les services d'appel à l'aide comme OnStar et les pièces du véhicule qui s'auto-contrôlent pour les besoins de la maintenance. Ces capacités créent une variété de points de connexion où des données et des mises à jour sont transmises d'un côté à l'autre.et les mises à jour de software .

Si l'une de ces connexions n'est pas sécurisée, les résultats pourraient être catastrophiques, car cela ouvrirait la porte à des parties malveillantes qui pourraient pirater la voiture pour accéder à des données sensibles ou envoyer des messages malveillants aux véhicules afin qu'ils nuisent délibérément aux personnes.e aux véhicules afin qu'ils blessent délibérément des personnes. C'est pourquoi il est essentiel que tout élément de la voiture qui est connecté reçoive un certificat numérique pour garantir la sécurité.

Fabricants de dispositifs médicaux et PKI

Médical Les appareils médicaux, tels que les robots chirurgicaux et les stimulateurs cardiaques de nouvelle génération, sont de plus en plus connectés et nécessitent par conséquent des précautions de sécurité accrues.. En outre, la FDA a désormais exigé que toutEn outre, la FDA a désormais imposé que tout site software faisant partie d'un dispositif médical de nouvelle génération soit actualisable, afin que les fabricants puissent facilement corriger les bogues involontaires et remédier aux problèmes de sécurité.

Si ce mandat est très utile pour rendre cette nouvelle génération plus avancée, il n'en reste pas moins qu'il est nécessaire d'améliorer la qualité de l'air et de l'eau dans la région. software plus avancée, il ouvre également ouvre vulnérabilités en créant davantage de points de connexion que des parties malveillantes peuvent pirater et contrôler. PKI limite ces vulnérabilités en délivrant des certificats aux appareils et à toute software avec laquelle ils communiquent, afin que chaque partie puisse authentifier les sources de données pour s'assurer qu'elles n'acceptent que les données et les mises à jour de la source prévue.de manière à ce que chaque partie puisse authentifier les sources de données afin de s'assurer qu'elles n'acceptent que les données et les mises à jour provenant de la source prévue.

Prêt à démarrer avec PKI?

PKI contribue à sécuriser notre monde numérique en protégeant les données et les communications sensibles et en vérifiant les identités numériques.sions et en vérifiant les identités numériques. Avec l'explosion du nombre d'appareils et d'applications connectés, l'importance de cette sécurité ne cesse de croître.

Êtes-vous prêt à expérimenter PKI de première main ? Explorez notre communauté open-source et profitez des essais gratuits. Créez votre premier site robuste PKI pour vous familiariser avec software, ou émettez facilement des certificats pour votre produit pendant la phase de prototypage.

Pour les entreprisesen particulier, l'introduction de PKI est essentielle, mais ce n'est que la première étape. Il n'est pas facile de mettre en place et de maintenir un programme de meilleures pratiques qui gère des millions de certificats numériques.e programme PKI qui gère des millions de certificats numériques n'est pas facile, mais c'est le défi auquel sont confrontées les entreprises d'aujourd'hui.

Vous souhaitez plus d'informations ? Que vous commenciez à utiliser PKI ou que vous ayez besoin d'aide pour améliorer la gestion du programme PKI , La cléfacteur peut vous aider. Contactez-nous et obtenez les bons conseils des experts de PKI .

Prêt à démarrer ? Découvrez comment la plateforme Keyfactor peut moderniser votre PKI, prévenir les pannes de certificat, et bien plus encore.

Obtenir une démonstration