Recommandé
Contenu connexe
Plus de hidaeli2001
Plus de hidaeli2001 (8)
pki000000000000000000000000000000000.pdf
- 1. Infrastructure à Clé Publique (PKI Public Key Infrastructure) Didier DONSEZ Université Joseph Fourier IMA –IMAG/LSR/ADELE Didier.Donsez@imag.fr
- 2. 01/06/2002 Didier Donsez, 2001-2002,PKI 2 Rappel sur la certification Besion de confiance sur ce que pretend être le correspondant Solution
- 3. 01/06/2002 Didier Donsez, 2001-2002,PKI 3 Quelques termes Certification Authority (CA) Registration Authority (RA) Certificate Revocation List (CRL) ! " # " $ Certificate Repository Certificate User %
- 4. 01/06/2002 Didier Donsez, 2001-2002,PKI 4 Motivation Usage &' ' ' ' ()& )*+ , - ' +. " . ' " /" $- 0 ' $ Formats et Types de certificat /1 2 3 & / , ' & (' 4' &
- 5. 01/06/2002 Didier Donsez, 2001-2002,PKI 5 Que contient un Certificat ? Numéro de Série Identité du porteur (owner) Identité du certifieur émetteur (issuer) Période de validité Classe du certificat Clé Publique du porteur 5 " " $ Signature 5 " " $ Auto-Certification + 6 -
- 6. 01/06/2002 Didier Donsez, 2001-2002,PKI 6 Gestion des certificats Génération ' 7 5 Publication 4 + Vérification 5 % Renouvellement Suspension Révocation " * # " $ 6 8
- 7. 01/06/2002 Didier Donsez, 2001-2002,PKI 7 CSP (Certification Practices Statement) Procédure d’établissement de l’identité du porteur 9 " $ Dépend de la classe de certificat
- 8. 01/06/2002 Didier Donsez, 2001-2002,PKI 8 Hiérarchie de CA Délégation de la certification
- 9. 01/06/2002 Didier Donsez, 2001-2002,PKI 9 Chaîne de Certificats et Vérification
- 10. 01/06/2002 Didier Donsez, 2001-2002,PKI 10 Chaîne de Certificats et Vérification Vérification impossible si le RootCA n’est pas joignable : Pb de la tolérance aux pannes
- 11. 01/06/2002 Didier Donsez, 2001-2002,PKI 11 Cross-Certification CAs (Sub ou Root) qui se font mutuellement confiance dans leur domaine de confiance MIT MIT ABC Co. ABC Co. Marketing Marketing Research Research XYZ Co. XYZ Co. London London NYC NYC H.R. H.R. Corporate Corporate Sales Sales LCS LCS Sloan Sloan
- 12. 01/06/2002 Didier Donsez, 2001-2002,PKI 12 Génération de la paire de clé Par le client % # " 4 # : ; 5 < < Par le CA , = 5 + - 7 >
- 13. 01/06/2002 Didier Donsez, 2001-2002,PKI 13 Certifying Authority Public ) # ? <- @ " >5 A " * " B $ * 0 8 + " 5 " ' ,*)- +@ " ) " 0 > " , - Privé ) 8 # 5 ) ' + - " : +AAA -" & 4/< &+ C < D C -
- 14. 01/06/2002 Didier Donsez, 2001-2002,PKI 14 Certificats X509 E 5 #5 5 < & 4 F/1 2 24E + - ' + ' - PGP G H > IF 5 + C - ! +D # 7 - & 4 F + 4E' ! - SPKI/SDSI ' E 5 # & 4 F + " - ' + - SPKI without name (anonymat) 5 J 5 #5 5 " D< < 9 & 4 F D # 5 5 + - SPKI/SDSI k-of-n Subject 9 + K - @ D 5 + -
- 16. 01/06/2002 Didier Donsez, 2001-2002,PKI 16 Oliver Rose Sally Ed Monica Bob Ray Tom PGP : Web of Trust La confiance sur l’identité est établie par plusieurs utilisateurs reconnus de confiance 5
- 17. 01/06/2002 Didier Donsez, 2001-2002,PKI 17 SPKI (Simple PKI) et SDSI (Simple Distributed Security Infrastructure) Motivation ' & & *>060 L M 3 L Doc 5 8 ((AAA # ( D ( 5 8 (( 5 # (N ( O O5
- 18. 01/06/2002 Didier Donsez, 2001-2002,PKI 19 Standards PKCS « Public-Key Cryptography Standards » ensemble de standards pour la mise en place des IGC, coordonné par RSA définissent les formats des éléments de cryptographie : * ' E O 'P O 8 6' # 5 #' & 'P L 'P Q 'P R 8 4 <7 # ' 'P 1 8 A <B # 5 # ' 'P M 8 *C < ' # C 'P S 8 # 5 ) ' # C 'P T 8 < #& ' # C 'P 3 8 ' ># ' 'P O 2 8 6 ' # C ' 'P O O 8 # 5 > D & ' 'P O L 8 & *C 5 ' # C' 'P O R 8 * # 5 #' 'P O 1 8 # 5 > D & 0 ' Voir http://www.rsa.com/rsalabs/pkcs/
- 19. 01/06/2002 Didier Donsez, 2001-2002,PKI 20 Trusted Web Services Motivation , & 5 /) ' : * # C ' E O Standards / )'/) #) ' 5 8 ((AAA C (C D B /) 4 ' 5 8 ((AAA AR (>6(C < ( /) 4 * # 5 8 ((AAA AR (>6(C < (
- 20. 01/06/2002 Didier Donsez, 2001-2002,PKI 21 XKMS - XML Key Management System Motivation 6 &+ & /" ) ' " : ' " - /) ' : Définit les messages de requête et de réponse pour 6 + - 6 + A- @ + - + C " 6 " : ' " - 6 + D - + 6 - Basé sur XML Signature & XML Encryption W3C & / )'/) #) ' 5 8 ((AAA C (C D &. . ' 6O 2 Q/) > ' &
- 21. 01/06/2002 Didier Donsez, 2001-2002,PKI 23 XKMS Exemple de message de révocation ! " # $% " & ' ( ) ) * ( ) + + * , - - * , *' ' . ' /& ( 0( 1 2 *' . ' * * & 1 3 ) * 1 *& *&
- 22. 01/06/2002 Didier Donsez, 2001-2002,PKI 24 XKMS Extension X-KRSS et CMS X-BULK (Baltimore) ' & )" " $ ) 8 5
- 23. 01/06/2002 Didier Donsez, 2001-2002,PKI 25 Java et PKI API Java . # 5 #*C +. *- . * . ' ' D *C +. ' ' *- ' ' (> ' API Java for XML . ' 6O 2 Q/) > ' & . ' 6O 2 1/) 4 ' & . ' 6O 2 M/) 4 * # &
- 24. 01/06/2002 Didier Donsez, 2001-2002,PKI 26 Carte à puce PKI et CMS Cartes PKI # 5 + - 8 , ' " # ' " $ & . D javacard.security.* javacardx.crypto.* OCF & ' CMS (Card Management Services) & *C / )'+ * -
- 25. 01/06/2002 Didier Donsez, 2001-2002,PKI 27 ISAKMP ISAKMP « Internet Security Association and Key Management Protocol » E 5 U 5 5 5 : D # V & *G I
- 26. 01/06/2002 Didier Donsez, 2001-2002,PKI 28 Outil : OpenSLL Génération de la paire de clé et d’un certificat ! " # ! Directives pour mod_ssl d’Apache $ $ % & ' ( ) ) ) * ) ') ) $ $ % & ' + ( ) ) ) * ) ') )
- 27. 01/06/2002 Didier Donsez, 2001-2002,PKI 29 Outil : GnuPGP Génération, Signature, Chiffrage !
- 28. 01/06/2002 Didier Donsez, 2001-2002,PKI 30 Import de Certificats dans les Navigateurs MS Internet Explorer
- 29. 01/06/2002 Didier Donsez, 2001-2002,PKI 31 Import de Certificats dans les Navigateurs Netscape Communicator (4.x)
- 30. 01/06/2002 Didier Donsez, 2001-2002,PKI 32 Import de Certificats dans les Navigateurs Nokia Mobile Internet Toolkit (WIM)
- 31. 01/06/2002 Didier Donsez, 2001-2002,PKI 33 Bibliographie PKI : Public Key Infrastructure 5 8 ((AAA ( ( ( ( # ( D 5 5 8 (( ( ( ( #5 5 8 ((AAA ( (A ( C5 5 8 ((AAA 5 A ( 5 8 ((AAA ( (9 ( 5