1. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Architectures PKI
S´bastien VARRETTE
e
Universit´ du Luxembourg - Laboratoire LACS, LUXEMBOURG
e
CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG
Sebastien.Varrette@imag.fr
http://www-id.imag.fr/~svarrett/
Cours ”Cryptographie & Securit´ R´seau” Master Info
e e
Universit´ de Yaound´
e e
S´bastien VARRETTE
e Architectures PKI
2. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Quelques r´f´rences bibliographiques. . . (avant que j’oublie)
ee
Menezes A. J., Vanstone S. A. and Oorschot P.
C. V., Handbook of Applied Cryptography,
Computer Sciences Applied Mathematics Engineering, CRC
Press, Inc., 1st edition, 1996,
http://www.cacr.math.uwaterloo.ca/hac/
Schneier B., ”Cryptographie Appliqu´e”,
e
Vuibert, Wiley and International Thomson Publishing, NY,
2nd edition, 1997.
http://www.schneier.com/book-applied.html
Stinson D.R, Cryptography : Theory and Practice,
Chapman & Hall/CRC Press, 2nd edition, 2002.
http://www.cacr.math.uwaterloo.ca/~dstinson/CTAP2/CTAP2.html
Ebrahimi T., Leprevost F. and Warusfeld Ed.,
´
Cryptographie et Securit´ des syst`mes et r´seaux,
e e e
Hermes/Lavoisier,
http://www-id.imag.fr/~svarrett/book_secu_mult.html
S´bastien VARRETTE
e Architectures PKI
3. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Plan
1 Principe g´n´ral
e e
2 El´ments d’une infrastructure PKI
e
3 Architectures hi´rarchiques reposant sur X509
e
4 Architectures non hi´rarchiques : PGP
e
5 Politique de s´curit´ et contre-mesures
e e
S´bastien VARRETTE
e Architectures PKI
4. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Motivations
Comment r´cup´rer et ˆtre sˆr d’une cl´ publique ?
e e e u e
En effet, Oscar peut se faire passer pour le destinataire !
Il faut un moyen de prouver la correspondance entre une cl´e
publique et une personne !
Plus g´n´ralement : comment g´rer des authentifiants dans un
e e e
environnement distribu´/r´seau ?
e e
S´bastien VARRETTE
e Architectures PKI
5. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Principe g´n´ral
e e
PKI = Public Key Infrastructure
Ensemble d’infrastructures permettant de r´aliser
e
effectivement des ´changes s´curis´s.
e e e
PKI ne distribue pas des cl´s mais des certificats !
e
Un certificat contient une cl´ publique
e
Il contient aussi des donn´es d’identit´
e e
Pour une personne : ´tat civil, adresse, mail...
e
Pour un serveur : nom de domaine, adresse IP, mail de
l’administrateur etc...
Un certificat est valid´ par un tiers de confiance
e
On parle d’autorit´ de certification = CA
e
La PKI assure la gestion des certificats
cr´ation/distribution...
e
S´bastien VARRETTE
e Architectures PKI
6. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Cr´ation d’un certificat
e
Alice g´n`re ses cl´s Ke et Kd
e e e
Clé privée
Génération d’une paire
de clés Ke : cl´ publique
e
¡
¡
¡
¡
¡
¡
¡
¡
Kd : cl´ priv´e
e e
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
Elle ´met une requˆte au CA pour
e e
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
Alice
Clé publique
un certificat de Ke
Requete de certificat
CA valide la cl´, authentifie Alice
e
et g´n`re un certificat
e e
CA le certificat est sign´ par le CA
e
Cette signature certifie l’origine
du certificat & son int´grit´.
e e
¢ ¢ ¢ ¢ ¢
£ £ £ £
¢ ¢ ¢ ¢ ¢
£ £ £ £
¢
¢
¢
£
¢
£
¢
£
¢
£
¢
£
¢
£
¢
£
¢
£
Clé
¢ ¢
£
¢
£
¢
£
¢
£
publique
Certificat de la
ANNUAIRE
clé publique
d’Alice =
Coordonné du porteur
(nom : Alice
...)
Le certificat est publi´ dans un
e
CA
Signature du certificat
par le CA
annuaire publique
S´bastien VARRETTE
e Architectures PKI
7. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
V´rifier l’authenticit´ du tiers de confiance
e e
Chaque CA poss`de lui-mˆme un certificat
e e
La cl´ priv´e associ´e permet de signer les certificats ´mis par
e e e e
le CA
Ce certificat est sign´ par un autre CA etc...
e
=⇒ Chaˆ de certificat
ıne
Le dernier certificat de la chaˆ est sign´ par lui-mˆme
ıne e e
On parle de certificat auto-sign´ ou certificat racine
e
Definition (PKI)
Ensemble de technologies, organisations, proc´dure et pratiques
e
qui supporte l’impl´mentation et l’exploitation de certificats bas´s
e e
sur la cryptographie ` cl´ publique.
a e
S´bastien VARRETTE
e Architectures PKI
8. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Normes PKI
Il existe plusieurs normes pour les PKI
la plupart sont en cours d’´volution
e
Deux types d’infrastructures :
1 architectures hi´rarchiques
e
reposent sur diff´rents CA, qui sont distincts des utilisateurs.
e
Ex : PKIX (Public Key Infrastructure X.509)
2 architectures non-hi´rarchiques
e
chaque utilisateur est son propre CA
initialement con¸ues pour la messagerie comme PGP et le
c
P2P s´curis´s
e e
confiance mutuelle entre les utilisateurs
Ex : SPKI (Simple Public Key Infrastructure, Spooky), SDSII
(Simple Distributed Security Infrastucture ou Sudsy)
S´bastien VARRETTE
e Architectures PKI
9. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Fonctions d’une PKI
´mettre des certificats ` des entit´s pr´alablement
e a e e
authentifi´es ;
e
r´voquer des certificats, les maintenir ;
e
´tablir, publier et respecter des pratiques de certification pour
e
´tablir un espace de confiance ;
e
rendre les certificats publics par le biais de services
d’annuaires ;
´ventuellement, g´rer les cl´s et fournir des services
e e e
d’archivage.
S´bastien VARRETTE
e Architectures PKI
10. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Gestion des cl´s
e
1 Gestion des clefs (Key management).
cr´ation, distribution, stockage, utilisation
e
recouvrement, l’archivage et destruction
Repose sur des r`gles ` respecter imp´rativement :
e a e
1 Les clefs secr`tes doivent l’ˆtre et le rester
e e
2 Les clefs secr`tes doivent exister seulement en clair `
e a
l’int´rieur d’un module r´sistant.
e e
3 Limiter le d´ploiement des clefs
e
4 S´parer les clefs par utilisation
e
5 Synchroniser les clefs
6 Journal d’´v´nements
e e
2 Mise en commun des clefs (cf DH)
3 Transport des clefs
Alice Bob
C=Epub (K) C=Dpriv A (K)
bob C
S´bastien VARRETTE
e Architectures PKI
11. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Acteurs d’une PKI
D´tenteur d’un certificat
e
entit´ qui poss`de une cl´ priv´e
e e e e
le certificat num´rique contient la cl´ publique associ´e.
e e e
Plusieurs type de certificat : client, serveur, VPN etc...
Utilisateur d’un certificat
r´cup`re le certificat
e e
utilise la cl´ publique dans sa transaction avec le d´tenteur.
e e
L’ Autorit´ de Certification (CA1 )
e
Ens. de ressources d´fini par son nom et sa cl´ publique qui :
e e
g´n`re des certificats ;
e e
´met et maintient les informations sur les CRL2
e
publie les certificats non encore expir´s ;
e
maintient les archives des certificats expir´s/r´voqu´s.
e e e
Entit´ juridique et morale d’une PKI
e
1
Certification Authority
2
Certification Revocation List
S´bastien VARRETTE
e Architectures PKI
12. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Acteurs d’une PKI (2)
Autorit´ d’enregistrement (RA3 )
e
Interm´diaire entre le d´tenteur de la cl´ et le CA.
e e e
V´rifie les requˆtes des utilisateurs
e e
Transmet les requˆtes au CA
e
niveau de v´rification d´pend de la politique de s´curit´
e e e e
Chaque CA a une liste de RA accr´dit´s.
e e
Un RA est connu d’un CA par son nom et sa cl´ publique.
e
CA v´rifie les informations du RA par le biais de sa signature
e
Emetteur de CRL
3
Registration Authority
S´bastien VARRETTE
e Architectures PKI
13. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Acteurs d’une PKI (3)
D´pˆt ou Annuaire (Repository)
e o
Distribue les certificats et les CRL.
Accepte les certificats et les CRL d’autres CA et les rend
disponibles aux utilisateurs.
Connu par son adresse et son protocole d’acc`s.
e
Archive
stockage sur le long terme des informations pour le compte
d’un CA.
permet de r´gler les litiges
e
en sachant quel certificat ´tait valable ` telle ´poque.
e a e
S´bastien VARRETTE
e Architectures PKI
14. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Emission d’un certificat
Autre entité Entité
utilisant les certificats
(Alice)
(Bob)
(5) (Eventuellement)
CA fournit le
certificat à Alice (1) Requete de (2) Authentification
certificat du demandeur
Utilisateur de la PKI
Administration de la PKI
Consultation
RA
Annuaire
(3) Requete de
certificat
(4) CA publie le certificat
Certificats CA
+
CRL
S´bastien VARRETTE
e Architectures PKI
15. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
PGP, un premier exemple de certificat
Format de certificat PGP a ´t´ d´fini par Phil Zimmermann.
ee e
Contient les informations suivantes :
Num. de la version de PGP (identifie l’algo utilis´ pour cr´er la
e e
clef)
la clef publique et l’algorithme associ´
e
RSA, DH (Diffie-Hellman) ou DSA (Digital Signature
Algorithm).
la signature digitale du CA
identit´ du porteur : nom, num´ro ID, photographie, etc.
e e
la p´riode de validit´ du certificat
e e
l’algorithme sym´trique (` clef priv´e) pr´f´r´.
e a e eee
Particularit´ : un certificat peut contenir plusieurs signatures.
e
plusieurs personnes ` titre de CA peuvent certifier l’association
a
”clef/identification”
S´bastien VARRETTE
e Architectures PKI
16. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Le certificat X.509
Information Certificat Numérique X.509
C (country) : France
Version v3 (0x2) Version
L (Locality) : Grenoble
ST : (State or Province) : Isère Serial Number 14 (0xE) Serial Number
O (Organisation) : INRIA
SO (Organizational Unit) : icluster Signature Algorithm ID md5WithRSAEncryption Signature Algorithm ID
CN (Common Name) : Icluster_CA
STREET (Adress): 50 av Jean KuntzMann Issuer Name Issuer Name
E (Email) : ca@inria.imag.fr Validity Périod Not Before : Validity Périod
− Start Date/Time Jun 8 14:52:40 2003 GMT − Start Date/Time
C (country) : France Not After
L (Locality) : Grenoble − End Date/Time − End Date/Time
Jun 7 14:52:40 2004 GMT
ST : (State or Province) : Isère Subject Name Subject Name
O (Organisation) : INRIA
SO (Organizational Unit) : Labo ID−IMAG Subjet Public Key Info : Public Key Algorithm : Subjet Public Key Info :
CN (Common Name) : Sebastien Varrette rsaEncryption
− Algorithm ID − Algorithm ID
STREET (Adress): 51 av Jean KuntzMann − Public Key Value RSA Public Key (1024bit) − Public Key Value
E (Email) : sebastien.varrette@imag.fr Modulus (1024 bits) :
Issuer Unique ID 00:b3:e4:4f:....... Issuer Unique ID
Exponent : 65537 (0x10001)
Subject Unique ID Subject Unique ID
Extension Extension
Signature
− Algorithm ID
Clé privée du CA − Signature Value
Signature
S´bastien VARRETTE
e Architectures PKI
17. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Signification des champs d’un certificat X.509
Version : Indique ` quelle version de X.509 correspond ce certificat.
a
Serial number : Num´ro de s´rie du certificat (propre ` chaque CA).
e e a
Signature Algo ID : Identifiant du type de signature utilis´e.
e
Issuer Name : Distinguished Name(DN) du CA qui ´met le certificat
e
Validity period : P´riode de validit´.
e e
Subject Name : Distinguished Name (DN) du d´tenteur de la cl´ publique
e e
Subject pub. key info : Informations sur la clef publique de ce certificat.
Issuer Unique ID : Identifiant unique de l’´metteur de ce certificat
e
Subject Unique ID : Identifiant unique du d´tenteur de la cl´ publique
e e
Extensions : Extensions g´n´riques optionnelles.
e e
Signature : Signature num´rique du CA sur les champs pr´c´dents
e e e
S´bastien VARRETTE
e Architectures PKI
18. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
G´n´ration et contenu d’une CRL X.509
e e
Information CRL
Version (v1=0;v2=1) Version (v1=0;v2=1)
Signature Algorithm ID Signature Algorithm ID
Issuer Name Issuer Name
This Update Date/Time This Update Date/Time
Next Update Date/Time Next Update Date/Time
CRL : CRL :
Certificate Serial Number Certificate Serial Number
Revocation Date Revocation Date
Certificate Serial Number Certificate Serial Number
Revocation Date Revocation Date
Certificate Serial Number Certificate Serial Number
Revocation Date Revocation Date
CRL Extensions CRL Extensions
Signature
− Algorithm ID
Clé privée du CA − Signature Value
Signature
S´bastien VARRETTE
e Architectures PKI
19. Principe g´n´ral
e e Fonctions d’une PKI
El´ments d’une infrastructure PKI
e Acteurs d’une PKI
Architectures hi´rarchiques reposant sur X509
e Emission d’un certificat
Architectures non hi´rarchiques : PGP
e PGP, un premier exemple de certificat
Politique de s´curit´ et contre-mesures
e e Le certificat X.509
Quelques identificateurs d’algorithmes et num´ros associ´s
e e
Alg. Hash. OID Identificateur
3DES-CBC 1.2.840.113549.3.7 DES-EDE3-CBC
RSA 1.2.840.113549.1.1.1 RSAEncryption
RSA MD5 1.2.840.113549.1.1.4 md5withRSAEncryption
RSA SHA-1 1.2.840.113549.1.1.5 sha1withRSAEncryption
DSA 1.2.840.10040.4.1 id-dsa
DSA SHA-1 1.2.840.10040.4.3 id-dsawithSha1
DSA SHA-1.320 1.3.14.3.2 id-dsawithSha1.320
ECDSA SHA-1 1.2.840.10045.1 ecdsawithSha1
S´bastien VARRETTE
e Architectures PKI
20. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e Le mod`le PKIX
e
Architectures hi´rarchiques reposant sur X509
e Authentification d’entit´s ` partir de certificats
e a
Architectures non hi´rarchiques : PGP
e Application pratique : OpenSSL
Politique de s´curit´ et contre-mesures
e e
Le mod`le PKIX
e
S´bastien VARRETTE
e Architectures PKI
21. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e Le mod`le PKIX
e
Architectures hi´rarchiques reposant sur X509
e Authentification d’entit´s ` partir de certificats
e a
Architectures non hi´rarchiques : PGP
e Application pratique : OpenSSL
Politique de s´curit´ et contre-mesures
e e
Authentification d’entit´s ` partir de certificats
e a
Fait l’objet d’une norme : FIPS-196
Notations utilis´es dans FIPS-196 :
e
A Nom qui identifie Alice
B Nom qui identifie Bob
Signx (M) La signature du message M avec la cl´ priv´e de X
e e
Rx Un challenge al´atoire produit par X
e
CertX Le certificat de X
X ·Y La concat´nation de X et de Y
e
TokenID Identificateur de Token. Il pr´cise les informations
e
identifiant le token, le type de protocole... qui
faciliteront le traitement du Token.
TokenXY Un token envoy´ de X vers Y
e
TokenXYi Le i-`me token envoy´ de X vers Y
e e
[Z ] Pr´cise que le champs Z est optionnel
e
S´bastien VARRETTE
e Architectures PKI
22. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e Le mod`le PKIX
e
Architectures hi´rarchiques reposant sur X509
e Authentification d’entit´s ` partir de certificats
e a
Architectures non hi´rarchiques : PGP
e Application pratique : OpenSSL
Politique de s´curit´ et contre-mesures
e e
Authentification d’entit´s ` partir de certificats (2)
e a
[Demande d’authentification]
1°
2° [TokenID] || TokenBA 1
Alice Bob
3° [TokenID] || CertA TokenAB
||
4°
[TokenID] || Cert B || TokenBA 2
S´bastien VARRETTE
e Architectures PKI
23. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e Le mod`le PKIX
e
Architectures hi´rarchiques reposant sur X509
e Authentification d’entit´s ` partir de certificats
e a
Architectures non hi´rarchiques : PGP
e Application pratique : OpenSSL
Politique de s´curit´ et contre-mesures
e e
Authentification d’entit´s ` partir de certificats (3)
e a
Alice envoie ` Bob une demande d’authentification
a
Bob g´n`re Rb et envoit ` Alice :
e e a
TokenBA1 = Rb
Alice g´n`re Ra et envoit avec son certificat :
e e
TokenAB = Ra · Rb · B · Signa (Ra · Rb · B)
Bob v´rifie le certificat d’Alice.
e
il peut ensuite v´rifier les informations de TokenAB
e
Apr`s v´rification, Alice est authentifi´e aupr`s de Bob.
e e e e
Bob envoit avec son certificat :
TokenBA2 = Rb · Ra · A · Signb (Rb · Ra · A)
Alice proc`de de la mˆme mani`re pour authentifier Bob.
e e e
A la fin, il y a authentification mutuelle.
S´bastien VARRETTE
e Architectures PKI
24. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e Le mod`le PKIX
e
Architectures hi´rarchiques reposant sur X509
e Authentification d’entit´s ` partir de certificats
e a
Architectures non hi´rarchiques : PGP
e Application pratique : OpenSSL
Politique de s´curit´ et contre-mesures
e e
Application pratique : OpenSSL
Cr´ation d’un r´pertoire pour les certificats
e e
mkdir certificates ; cd certificates
Creation du certificat pour le CA :
Utiliser le script CA.sh
/usr/lib/ssl/misc/CA.sh -newca
Cr´ation du certificat serveur/personne :
e
openssl req -new -nodes -keyout newreq.pem -out
newreq.pem -days 365
Signature du certificat du serveur par le CA
/usr/lib/ssl/misc/CA.sh -sign
S´bastien VARRETTE
e Architectures PKI
25. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Mod`le de confiance PGP
e
Utilisateur
¤ ¤ ¤ ¢ ¢ ¢
¥ ¥ ¥ £ £ £
¤ ¤ ¤ ¢ ¢ ¢
¥ ¥ ¥ £ £ £
¤
¥
¤
¥
¤
¥
¤
¥
¤
¥
¤
¥
¤
¥
¤
¥
¤
¥
¢
£
¢
£
¢
£
¢
£
¢
£
¢
£
¢
£
¢
£
¢
£
?
?
? ?
Est signé par
? Signataire inconnu Signataire de confiance
¡ ¡ ¡
¡ ¡ ¡
Signataire à confiance partielle
¡ ¡ ¡
Clef jugée digne de confiance
¡
¡
¡
¡
¡
¡
S´bastien VARRETTE
e Architectures PKI
26. Principe g´n´ral
e e
El´ments d’une infrastructure PKI
e
Architectures hi´rarchiques reposant sur X509
e
Architectures non hi´rarchiques : PGP
e
Politique de s´curit´ et contre-mesures
e e
Notion de politique de s´curit´
e e
D´finit la strat´gie globale et r´pondre aux menaces.
e e e
En particulier, il est fondamental de d´crire :
e
Qui est responsable de quoi (mise en œuvre, ex´cution, audit,
e
tests, etc.).
Quelle est la politique de s´curit´ de base du r´seau
e e e
d’ordinateurs.
Pourquoi chacun doit faire ce qu’il fait.
S´bastien VARRETTE
e Architectures PKI