Infrastructure à Clé Publique (PKI Public Key …lig-membres.imag.fr/donsez/cours/pki.pdf · Monica Bob Ray Tom PGP : Web of Trust La confiance sur l’identité est établie par

Infrastructure à Clé Publique(PKI Public Key Infrastructure)

Didier DONSEZUniversité Joseph FourierIMA –IMAG/LSR/[email protected]

��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

2

Rappel sur la certification

� Besion de confiance sur ce que pretend être le correspondant

� Solution� ��

��

��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

3

Quelques termes

� Certification Authority (CA)� ��

� Registration Authority (RA)� ��

� Certificate Revocation List (CRL)� ��

� ��!�� "�� #�"�$

� Certificate Repository� ��

� Certificate User� �� %��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

4

Motivation

� Usage� &�'��

� ''

� '()&)*�+�,�-

� � ��'��+.��"�.��'��"��/"�$-

� 0� '��$

� Formats et Types de certificat� /123��&/

� �,�

� '��&('4'&

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

5

Que contient un Certificat ?

� Numéro de Série� Identité du porteur (owner)� Identité du certifieur émetteur (issuer)� Période de validité� Classe du certificat� Clé Publique du porteur

� ��5��"�� "�$

� Signature� ��5��"�� "�$�

� Auto-Certification� ��+�� 6��-

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

6

Gestion des certificats

� Génération� ��'

� 7��5��

� ��

� Publication� �� 4��+��

� Vérification� �5�%��

� Renouvellement� Suspension� Révocation

� ��"�*��#��"�$

� �6 �8��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

7

CSP (Certification Practices Statement)

� Procédure d’établissement de l’identité du porteur� ��9�� "�$

� Dépend de la classe de certificat

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

8

Hiérarchie de CA

� Délégation de la certification

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

9

Chaîne de Certificats et Vérification

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

10

Chaîne de Certificats et Vérification

Vérification impossible si le RootCAn’est pas joignable :

Pb de la tolérance aux pannes

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

11

Cross-Certification

� CAs (Sub ou Root) qui se font mutuellement confiance dans leur domaine de confiance

MIT MIT

ABC Co. ABC Co.

MarketingMarketingResearchResearch

XYZ Co. XYZ Co.

LondonLondon NYCNYCH.R.H.R.

CorporateCorporateSalesSales

LCSLCS

Sloan Sloan

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

12

Génération de la paire de clé

� Par le client� ��%��#

� �� "�4�� #�

:��;��5��

� ��<�<��

� Par le CA� ,��=��

� ��5��+�� -� ��

� 7��

� >��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

13

Certifying Authority

� Public� )#��?<-

� @��"�>5�A��"�*��"�B��$

� *��0��8� ��+��"��5�� "�'�,*)-

� ��+@��"�)��"�0��>��"�,��-

� Privé� )��8�� #�� 5��

� ��)��'��+ ��- "�:�� +AAA��-"�&4/<��&�+� C<�D�� C��-

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

14

Certificats

� X509� E��5��#5��5��

� ��<��

� &4�F�/122�4E�+��-

� �'��+��'��-

� PGP� G H��>��I�F��5��+��C��-

� ��!�� +D�#7� �-

� &4�F�� +��4E'��!��-

� SPKI/SDSI� '��E��5��#

� &4�F� ��+��"��-

� �� '��+��-

� SPKI without name (anonymat)� ��5�J��5��#�5��5��"��D<�<��9��

� &4�F��D�#��5��5� ��+��-

� SPKI/SDSI k-of-n Subject� �� 9��+��K��-

� @�� D��5��+� � ��-

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

15

Key Recovery

� M of N� E��

� &��)��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

16

Oliver Rose

Sally

EdMonica

Bob

Ray

Tom

PGP : Web of Trust

� La confiance sur l’identité est établie par plusieurs utilisateurs reconnus de confiance� �� 5��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

17

SPKI (Simple PKI) etSDSI (Simple Distributed Security Infrastructure)

� Motivation� '��&

� &*>0�60��LM3L

� Doc� 5��8((AAA��#��(��D�(

� 5��8((�5�#�� (N��(� ��OO�5��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

19

Standards PKCS« Public-Key Cryptography Standards »

� ensemble de standards pour la mise en place des IGC, coordonné par RSA

� définissent les formats des éléments de cryptographie :� *��'E�O

� ��'�PO86'��#��5#'��

� &��'�PL��'�PQ

� ��'�PR84��<7�� #��'��

� ��'�P18��A <B�� #��5#�'��

� ��'�PM8*C�� <��'#��C

� ��'�PS8�#��5��)��'#��C

� ��'�PT8��<��#�&�� '#��C

� ��'�P38'�� >#��'��

� ��'�PO28�� 6��'#��C�'��

� ��'�POO8�#��5��>D�� &��'��

� ��'�POL8��&��*C�5��'#��C'��

� ��'�POR8*��#��5#'��

� ��'�PO18�#��5��>D�� &��0��'��

� Voir http://www.rsa.com/rsalabs/pkcs/

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

20

Trusted Web Services

� Motivation� ,�� &�� 5��

/) ��':��

� *�� #��C��'E�O

� Standards� /�)'�/) ��#�)��'��

� 5��8((AAA�C��(CD��

� B��

/) �4��'��5��8((AAA�AR��(>6(C�� <��(

/) �4��*��#��5��8((AAA�AR��(>6(C��<��(

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

21

XKMS - XML Key Management System

� Motivation� 6�� &�+��&/"�� )��'��"�:�'�"��-�� /) ��':��

� Définit les messages de requête et de réponse pour� 6��+��-��

� 6��+��A-��

� @�� +�� -��+�C��"��6 "�:�'�"��-

� 6��+��D�-��+�6 -

� Basé sur XML Signature & XML Encryption� W3C

� &��

� /�)'�/) ��#�)��'��

� 5��8((AAA�C��(CD��

� ��&�.��

� .'6�O2Q�/) �>��'��&�

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

23

XKMSExemple de message de révocation

� ��

�� ! " # $% " � �

�& ��

�' ��

�� ( ) �� ) ��*�� ( ) ��

�� + � �� + �� *� ��

��,� �� - - �*�,� ��

�*' ��

��

��

�' ��. �' �� /& ( �0( 1 �2�*' ��. �' ��

�*��

�*��

�& ��

�� 1 �� 3 ) � ��*� �1 �

�*& ��

�*& ��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

24

XKMSExtension

� X-KRSS et CMS

� X-BULK (Baltimore)� �� '&)"� �� "�$

� )��8��5�

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

25

Java et PKI

� API Java� .��#��5#�*C��+.�*-

� ��.�*

� .��'��'�D��*C��+.''*-

� '' (> '

� API Java for XML� .'6�O2Q�/) �>��'��&�

� .'6�O21�/) �4��'��&��

� .'6�O2M�/) �4��*��#��&�

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

26

Carte à puce PKI et CMS

� Cartes PKI� �� #��5��

� +��-

� �� 8�,��'��" �#��'��"�$

� �� &�� .�� D��javacard.security.* javacardx.crypto.*

� OCF� ��&�� '��

� CMS (Card Management Services)� &��

� *C��/�)'�+*��-

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

27

ISAKMP

� ISAKMP « Internet Security Association and Key Management Protocol »� E��5��

� U�5�� 5��

� �� 5��:�D��#��

� V� ��&�*�G�� I

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

28

Outil : OpenSLL

� Génération de la paire de clé et d’un certificat� � � � � � ��

� � � � � � �� !� � � ��

� � � � � � �� " � # �!� � � ��

� Directives pour mod_ssl d’Apache$ $ % & � � �'� � � ( �� ) � �)�� )� � � * � ) � � ')� � �� )� � ��

$ $ % & � � �'� � � + � � ( �� ) � �)�� )� � � * � ) � � ')� � �� )� � ��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

29

Outil : GnuPGP

� Génération, Signature, Chiffrage� � � �� !� � �

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

30

Import de Certificats dans les NavigateursMS Internet Explorer

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

31

Import de Certificats dans les NavigateursNetscape Communicator (4.x)

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

32

Import de Certificats dans les NavigateursNokia Mobile Internet Toolkit (WIM)

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

33

Bibliographie

� PKI : Public Key Infrastructure� 5��8((AAA��( ��( ��(��(��#(�D��5��

� 5��8(( ��( ��(��(��#�5��

� 5��8((AAA��(��(A�(�� C�5��

� 5��8((AAA��5�A��(

� 5��8((AAA��( ��(9��(��5��

01/06/2002

Did

ier

Don

sez,

200

1-20

02,P

KI

34

Bibliographie

� http://csrc.nist.gov/pki/documents/welcome.html

� http://www.itu.int/

� http://www.itu.int/search/wais/Macbeth/#HowtoSearch� http://www.mtic.pm.gouv.fr/dossiers/documents/lat/annuaires.shtml

� http://www.ietf.org/rfc/rfc2251.txt

� http://www.certplus.com/� http://www.matranet.com/products/index.html

� http://www.ii.atos-group.com/francais/

� http://www.gemplus.com/french/index.htm� http://www.certificat.com/

� http://www.scssi.gouv.fr/

� http://www.mtic.pm.gouv.fr/dossiers/documents/MTIC_certification_et_icp.pdf� http://www.counterpane.com/pki-risks.html

Documents

Infrastructure à Clé Publique (PKI Public Key …lig-membres.imag.fr/donsez/cours/pki.pdf · Monica Bob Ray Tom PGP : Web of Trust La confiance sur l’identité est établie par