Embed Size (px)
Citation preview
PKI (PUBLIC KEY INFRASTRUCTURE)
Présenté par: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
SOMMAIRE Présentation Définition Role de pki La politique de pki La gestion des clefs : Description de la maquette pki (Role des
membres , Zone d’enrolement –voir un exemple) : Installation et configuration de role
ad cs :
PRÉSENTATION :
La communication en messagerie électronique et devenu une chose indispensable dans de différents domaines, mais qui s’expose a de nombreuse attaque comme :
Man in the middle : échange de clefs publiques entre les entités. Ce qui pourrai être résolu au niveau des réseaux . en envisageant de changer les clefs publiques hors ligne et non des internationaux.
C’est dans ce contexte que la NIST (National Institute of Standards and Technology) s’était imposer d’étudier et gérer en 1994 l’authentification internationale. Cette dernière visait:
La génération des clefs.Leurs distributions.L’appropriation des clefs par les certificats.La définition des recommandations pour l’architecture PKI.
DÉFINITION DE PKI (PUBLIC KEY INFRASTRUCTURE):
système de gestion des clefs publiques
gestion des listes importantes de clefs publiquesen assurant la fiabilité au sein du réseauoffrant un cadre global servant a :
installer des éléments de
sécurité
renforcer confidentialité
authentification
intégration au sein de l’entreprise au moment d’échange d’information
ROLE :La PKI a pour but de fournir : une garantie d’identité numérique aux utilisateurs (certificat numérique).
Certificat numérique :
Contient les clefs publiques de l’utilisateur
Contient les informations personnelles sur l’utilisateur
Il est signé par l’autorité de certification
Ce certificat n’est pas tenu en secret, il est consultable via un annuaire
LA POLITIQUE DE PKI :
La politique d'une PKI se définit à deux niveaux: La politique de certification : est un ensemble de règles, qui
fournit un renseignement sur la possibilité d’utiliser un certificat pour une communauté particulière ou des applications ayant des besoins de sécurité communs. Elle spécifie entre autre les conditions et les caractéristiques de délivrance du certificat.
Dans le cas général, un certificat est utilisable par n’importe quelle application pour autant que ces conditions et ces caractéristiques sont jugées satisfaisantes. Cependant, une politique de certification peut éventuellement restreindre l’usage du certificat à un ensemble données d’applications, voir même à une seule application.
La politique de sécurité : est la partie juridique de la PKI. En effet, lorsqu'on met en place une PKI, il faut fournir trois documents : Rapport pratique de certification : qui spécifie les critères
de certification et la politique de révocation des certificats, � Politique du certificat : qui explique et limite l'utilisation du
certificat numérique, Considérations légales : qui permet de responsabiliser les
utilisateurs en cas de perte ou de fraude à l'intérieur même de la PKI.
LA GESTION DES CLEFS :
• Les clefs doivent être générées de manière prévisible.
• Cela pourrai compromettre tout le système de sécurité.
Génération
• C’est l’action de déplacer une clef de cryptage
• Example: on va créer une clef qui va permettre le transport d'une autre clef.
Distribution
• Obligation de garder l’integrité et la confidentialité de la clef
• seul un stockage sur hardware assurerra la confidentialité de la clef
Stockage
• Cette action intervient lors d’un doute subsiste sur la confidentialité ou si elle atteint la fin de sa validité
Suppression
• Conserve une copie des clefs même les non utiliser pour pouvoir valider les donnés protéger par la clef
• une clef archivée ne peut pas être remise en service dans un environnement d’application
Archivage
Le recouvrement des clefs est une procédure délicate qui permet de retrouver la clef privée d’un client
Le recouvrement des données chiffrées par cette clef
La perte de cette clefs signifie la pérte de toutes les données
Le recouvrement des clefs peut être une solution pour le recouvrer les données.
Toutes ces étapes doivent être minutieusement effectuées et contrôlées pour que la PKI ne soit pas sujette à diverses attaques.
DESCRIPTION DE LA MAQUETTE PKI :Une autorité de
certification PKI n’est pas un composant
monolithique, elle est composée de différentes entités qui interviennent
à tour de rôle lors du processus de
certification. (Figure1)
Ces entités sont physiquement
représentées pardes serveurs WEB de type
Apache tournant sur des plates-formes Linux.
Ces serveurs contiennent différents scripts
CGI(Common Gateway Interface: interface
utilisée par les serveurs HTTP), qui
permettent d’administrer, de gérer
et d’archiver les certificats.
La génération proprement dite des
certificats est assurée par l’excellent projet
OpenSSL, qui constitue la puissance de calcul cryptographique de la
PKI.
SERVEUR PUBLIC :
Entité
partie visible de la PKI
permet au client d’établir la connexion
avec l’organisme
Cette interface et
utiliser pour :
Réception du certificat de l’autorité
de certification
Réception du certificat numérique
sollicité
Réception de la liste de révocation
CRL
Consultation des
certificats numériques de tous les
clients
La connexion à ce serveur est protégée
par le protocole SSL, pour garantir la
confidentialité des
données échangées entre les
clients et le serveur
publique.
SERVEUR RA :
Les échanges avec ce serveur sont également protégés par SSL, mais contrairement au serveur public, seul un administrateur authentifié a accès au serveur RA.
Le serveur RA permet de stocker, de contrôler et d’approuver les requêtes émises par les clients.
Ces requêtes seront ensuite transmises par voie sûre à l’administrateur de la CA, en vue d’une signature.
Ce serveur permet également de publier les certificats signés par la CA. La publication est faite de deux manières :
Publication des certificats sur le serveur public. Publication des certificats dans un annuaire
LDAP Dans ce laboratoire, la publication des certificats par
LDAP ne sera pas traitée. Les clients utiliseront donc uniquement l’interface publique.
Le serveur de la RA et le serveur public sont installés sur le même poste. Les echanges d’information entre ces deux entités ce fait directement par fichier partagé.
SERVEUR CA :
Ce serveur constitue la pièce maîtresse de l’organisme,c’est lui qui permettra de signer les requêtes de certificats approuvées par l’administrateur de la RA.
Pour protéger au maximum ce mécanisme, le serveur de la CA a été volontairement isolé du réseau.
L’accès à ce serveur doit impérativement être protégé physiquement.
Seul l’administrateur dela CA doit être en mesure d’accéder au poste contenant le serveur.
De ce fait, aucune sécurité informatique supplémentaire n’est ajoutée.
L’administrateur de la CA se connecte par unesimple interface WEB sur le port 80, étant donné qu’ilest le seul à pouvoir se connecter.
ROLE DES MEMBRES :
Role des clients : Le rôle du client dans l’organisme se limite à une
tâche de sollicitation de service. Pour effectuer une demande de certificat, celui-ci doitremplir un formulaire contenantdifférentes informations personnelles qui serontadjointes à son certificat. Le client génère une paire de clés RSA, dont la partiepublique sera transférée avec sa demande. Le client choisit ensuite le groupe d’utilisateurs
auquel il appartient, et également une zone d’enrôlement.
Le client attend ensuite que sa demande soit traitée,avant de la récupérer par l’intermédiaire du serveur
public.
ROLE DE LA RA :
L’administrateur de la RA récupère les demandes fournies par les clients.
Son rôle est de contrôler ces requêtes. Il a le droit de veto sur ces requêtes, c’est-à-dire qu’il peut rejeter toute requête qui ne correspond pas à la politique de certification de l’organisme. Sans entrer dans les détails, le contrôle peut se limiter à vérifier que le client possède bien une paire de clé RSA. Mais il peut tout aussi bien exiger que le client se présente physiquement avec une pièce d’identité valable.
Lorsque la demande de certificat a été approuvée par l’administrateur, celui-ci signe le document. La requête signée par l’administrateur compose un standard de
requête au format PKCS#10 qui peut être transférée à la CA.
L’administrateur de la RA a également une tâche de publication, c’est lui qui est responsable de récupérer les certificats et les CRL signés, puis de les rendre accessibles
aux clients.
ROLE DE L’ADMINISTRATEUR DE LA CA : Cet administrateur est hiérarchiquement le plus élevé de
toutl’organisme. Sa responsabilité est plus grande que celle de
l’administrateur de la RA car c’est luiqui signera le certificat proprement dit. Sa tâche consiste à réceptionner les requêtes de
certificat au format PKCS#10, vérifierla signature de l’administrateur qui a émis cette
requête.. L’administrateur de la CA fait confiance au travail de
contrôle effectué par l’administrateur de la RA. Il validera ensuite la requête en la signant, le certificat
ainsi formé sera conforme au standardde certificat X509. Le certificat doit être par la suite retourné
àl’administrateur de la RA.L’administrateur de la CA peut également révoquer des
certificats qui ne sont plus conformes à la politique de certification de l’organisme.
Son rôle consiste donc à générer périodiquement la liste des certificats révoqués CRL.
ZONE D’ENROLEMENT :
le nombre des requettes du deploiment de la PKI s’est relativement élevé• surcharge des taches de l’administrateur de RA.
Pour y résoudre
• on a mis en place plusieur administrateur.• Definition d’une zone d’enrolement pour chaque
groupe d’étudiant• Gestion de chaque zone par un administrateur de RA• Chaque client choisi la zone convenable pour lui
Cette division permet de répartir géographiquement leslieux d’enrôlement, tout en garantissant une bonne sécurité dans la procédure decontrôle.
VOICI UN EXEMPLE QUI ILLUSTRE LA DEMANDE DE CERTIFICATION D'UN UTILISATEUR LAMBDA DANS UNE ENTREPRISE QUI UTILISE LE PRINCIPE DE LA PKI :
L'utilisateur demande à l'autorité d'enregistrement, une demande de certificat
l'autorité d'enregistrement , vérifie l'identité de l'utilisateur et valide sa demande s'il est apte à recevoir un certificat
il passe cette demande à l'autorité de certification qui appliquerra les procédures
l'autorité de certification va générer une paire de clef . Dans notre exemple, le support du certificat est une carte à puce ). L'autorité de certification va signer un certificat contenant la clef publique de l'utilisateur avec sa clef privée
le certificat et la clef privée de l'utilisateur seront insérés dans la carte à puce
le certificat sera ajouté dans l'annuaire étant été signé par l'autorité de certification
Lorsque l'utilisateur voudra s'authentifier dans le système
insèrera sa carte à puce dans un lecteur La carte chiffrera ce nombre aléatoire
avec la clef privée qu'il contient le système va vérifier les informations du
certificat contenue dans la carte à puce afin de vérifier l'identité de l'utilisateur et du certificat
Une fois que la vérification est faite, on déchiffre le nombre chiffré avec la clef publique
Si le nombre déchiffré est identique au nombre généré, alors l'authentification s'est bien déroulée
INSTALLATION ET CONFIGURATION DE
ROLE AD CS :
DANS LE GESTIONNAIRE DE SERVEUR,
faire un clic droit sur Rôles et sélectionner Ajouter des rôles.
Cliquer sur Suivant et cocher Services de certificats Active Directory. Valider par Suivant, puis cliquer À nouveau sur Suivant.
AUTORITÉ DE CERTIFICATION EST LE SERVICE DE BASE DU RÔLE DE SERVICE DE CERTIFICAT INSCRIPTION À L’AUTORITÉ DE CERTIFICATION VIA LE WEB PERMET AUX UTILISATEURS DE SE CONNECTER VIA LE WEB À L’AUTORITÉ DE CERTIFICATION, AFIN DE DEMANDER UN CERTIFICAT OU D’OBTENIR LA LISTE DE RÉVOCATION DES CERTIFICATS (CRL) QUI PERMET AUX SYSTÈMRES DE VÉRIFIER QU’UN CERTIFICAT QUI LEUR EST PRÉSENTÉ N’A PAS ÉTÉ INTERDIT PAR L’AUTORITÉ DE CERTIFICATION (SUITE PAR EXEMPLE AU DÉPART D’UN EMPLOYÉ OU DE LA PERTE D’UN ORDINATEUR). RÉPONDEUR EN LIGNE PERMET DE RÉPONDRE VIA OCSP (ONLINE CERTIFICATE STATUS PROTOCOL) AUX REQUÊTES DE VALIDATION DE CERTIFICAT SPÉCIFIQUES ÉMISES. EN UTILISANT UN RÉPONDEUR EN LIGNE, LE SYSTÈME N’A PAS BESOIN D’OBTENIR DE CRL ET PEUT SOUMETTRE DIRECTEMENT UNE DEMANDE À L’AUTORITÉ DE CERTIFICATION, CE QUI EST PLUS RAPIDE ET EFFICACE. COCHER LES CASES AUTORITÉ DE CERTIFICATION, INSCRIPTION À L’AUTORITÉ DE CERTIFICATION VIA LE WEB ET RÉPONDEUR EN LIGNE. ACCEPTER L’AVERTISSEMENT EN CLIQUANT SUR AJOUTER LES SERVICES DE RÔLE REQUIS. VALIDER PAR SUIVANT.
ENTREPRISE :dans ce mode, la certification est intégrée à l’Active Directory. Ce mode sert en général pour les autorités qui décernent effectivement des certificats (de facon automatisée), et doit donc être déployé sur des serveurs membres du domaine et hautement disponibles. Autonome : dans ce mode, l’autorité de certification peut être intégrée au domaine ou fonctionner de façon totalement indépendante. Ce mode est utilisé pour la création de certificats racine dans les infrastructures à autorités multiples, et sont ensuite rendus indisponible. Il sert également à créer des certificats pour les systèmes qui ne sont pas membres du domaine. S’assurer que Entreprise est bien sélectionné et cliquer sur Suivant.
AUTORITÉ DE CERTIFICATION RACINE :cette option ne concerne que le cas où il s’agit de la première (ou unique) autorité de certification déployée dans l’infrastructure.
Autorité de certification secondaire : cette option concerne tous les autres cas, on peut par exemple créer une autorité secondaire pour chaque zone géographique afin de répartir la charge. S’assurer que Autorité de certification racine est bien sélectionné et cliquer sur Suivant.
UN FOURNISSEUR DE SERVICES DE CHIFFREMENTest l’ ‘outil’ que va utiliser l’autorité de certification pour générer sa clé de chiffrement ; il peut s’agir d’un logiciel ou d’un matériel.
La Longueur de la clé permet d’ajuster sa ’complexité’, donc sa résistance aux attaques. Mais plus une clé est longue, plus son utilisation demande de ressources. L’algorithme de hachage produit une ‘empreinte’ de la clé de chiffrement qui lui est propre. C’est donc une sécurité supplémentaire pour éviter l’usurpation de la clé.
Laisser les paramètres par défaut et cliquer sur Suivant.
DANS NOM COMMUN DE CETTE AUTORITÉ DE CERTIFICATION
, saisir un nom la représentant, par exemple VOTRESOCIETE-CA (ce nom sera intégré dans les certificats issus dans la chaine de clé) puis cliquer sur Suivant
LA PÉRIODE DE VALIDITÉ DU CERTIFICATdoit être un compromis entre sécurité et complexité d’administration : à chaque fois qu’un certificat racine expire, il faut recréer toutes les
relations de confiance de l’arborescence. En règle générale, une durée longue ne pose pas de problème, mais il faut adapter ce paramètre aux spécificités de votre réseau.
Laisser le réglage par défaut et cliquer sur Suivant
IL EST CONSEILLÉ D’UTILISERun disque séparé du disque système pour conserver les certificats, voire encore un autre disque pour les logs dans le cas de très grande utilisation. Dans Emplacement de la base de données de certificats, sélectionner le dossier E:\Cert\Data et dans Emplacement du journal de la base de données de certificats sélectionner E:\Cert\Logs puis valider par Suivant et à nouveau sur Suivant
