3. Présentation & Objectif
Une infrastructure PKI consiste à générer et délivrer des certificats sur
l’ensemble d’un Système d’Information.
Une infrastructure à clé publique (PKI) est un moyen de garantir :
Confidentialité (chiffrement / cryptage)
Authentification
Intégrité
Non répudiation
4. Avantages
Centralise la gestion des certificats
Permet la délégation de la délivrance et de la révocation des certificats en
fonction des besoins organisationnels (par service, succursales ou pays en
fonction de l'organisation de l'entreprise et du SI)
Gestion des clés par un tiers de confiance reconnu par toutes les machines
du SI
Facilite la mise en place de nouveaux services nécessitant des certificats
Permet de renforcer la sécurité du SI par l'utilisation de moyens sécurisés
(DNSSEC, EFS, HTTPS, SMTPS, POPS, la signature des scripts et
exécutables...)
5. Inconvénients
La PKI devient le cœur de la sécurité du SI, et ainsi un système très
critique. La compromission d'une machine ou du certificat racine de
l'infrastructure entraîne la compromission totale du SI.
Une fois mis en place l'infrastructure à clés publiques devient
indispensable au fonctionnent du SI, il faut donc s'assurer de sa haute
disponibilité.
Processus organisationnels à mettre en place pour la délivrance et la
révocation des certificats.
6. Fonctionnement de l’infrastructure à
clés publiques
Une Infrastructure PKI repose sur un système hybride de chiffrement
avec une fonction de hachage.
Chiffrement symétrique
(RC4, DES, IDEA, AES, etc…)
Chiffrement asymétrique
(RSA)
Fonction de hachage
(MD5, SHA, etc…)
7. Fonctionnement de l’infrastructure à
clés publiques
Une PKI se compose :
Autorité de certification racine : L'AC racine est le plus haut niveau
d’une hiérarchie d’une AC.
Autorité de certification Intermédiaire: Elle a pour but de protéger
l ’AC Racine en ajoutant un niveau de sécurité.
Autorité de certification Émettrice: Son rôle est de délivrer et
d’approuver les demandes de certificat.
8. Certificat X509
Version :Version du certificat X509
Numéro de série : Numéro de série du certificat
Clé publique : clé publique du certificat
Emetteur : L’autorité de certification qui a émis le certificat
Validité : la date début et fin de validité du certificat
Signature : Signature de l’autorité de certification
Objet :Type de certificat
9. Service & Sensibilisation
Attaques
Man in the Middle
ARP Poisoning
Usurpation d’identité
Vol de données
Exécution de programmes et
scripts non signés
Défenses
IPSec, DNSSEC
VPN - SSL
Authentification par carte à puce
Signature numérique
Messagerie sécurisée
(SMTPS,IMAPS,POPS)
Chiffrement des données (EFS-
BitLocker)
10. Service & Sensibilisation
Pour synthétiser une infrastructure à clés publiques
permet de:
Renforce la sécurité du SI
Réduit la surface d’attaque
Facilite la gestion de la sécurité
Incontournable pour l’obtention de certifications liées à la
sécurité de son SI (PCI, ISO 2700x...), ainsi que pour
respecter certaines obligations légales concernant la
protection des données (CNIL, lois européennes…)