Qu'est-ce qu'une infrastructure PKI ?

La sécurité des systèmes d'informations est un enjeu essentiel pour de nombreuses entreprises, et plus encore depuis l'avènement de la Net Economie et de l'intégration des systèmes d'informations entre eux. La chiffrement, et en particulier le chiffrement asymétrique (clé publique/clé privée) représente le moyen le plus sur de prévenir les intrusions.

Chaque interlocuteur a un jeu de deux clés :une publique et une privée. Tout le monde peut utiliser la clé publique de quelqu'un pour chiffrer un message. Mais seul le propriétaire détient la clé privée sur son poste pour le déchiffrer. Elle ne circule donc pas sur le Web. Il est alors possible de s'échanger des messages de façon sécurisée en utilisant la clé publique. Chacun est alors sûr que seul le destinataire pourra lire ce message.
Lorsqu'un utilisateur (depuis son navigateur) désire établir une connexion sécurisée, le serveur sécurisé (https, qui affiche un petit cadenas en bas du navigateur) entame un dialogue avec lui, sans que l'internaute ne s'en rende compte (sauf petit message au début pour accepter la transaction). Le navigateur peut ainsi créer des clés dynamiquement lors de chaque échange.

Si cette technologie est facile à gérer pour des échanges individuels, elle pose plus de problémes dans pour une utilisation au sein d'une organisation importante. Les infrastructures à clé publique, ou PKI en Anglais (Public Key Infrastructure) sont destinées à répondre aux problèmes posés par la création des clés (certificats), leur gestion, ainsi que l'authentification des utilisateurs. Elle permettent aussi de sécuriser des applications qui peuvent être directement compatible avec elles, ou bien par l'intermédiaire d'agents. Il est enfin possible de définir des politiques de sécurité qui s'appliqueront à l'ensemble du système.

Une telle infrastructure est composée de plusieurs éléments. En premier lieu, elle comporte une autorité de certification. C'est elle qui est chargée de générer les certificats, en associant l'identité d'une personne ou d'un système à une signature numérique. On peut souligner que cette phase peut être réalisée en interne, ou confiée à un prestataire comme par exemple Certinomis (voir notre article). C'est aussi l'autorité de certification qui veillera à révoquer les certificats à une date définie.

Le second élément est l'autorité d'enregistrement. Celle-ci capture et identifie l'identité des utilisateurs et soumet les demande de certificats à l'autorité de certification. Il faut préciser que la qualité de l'authentification réalisée à ce niveau conditionne le degré de confiance pouvant être accordé aux certificats. La méthode la plus sure, est bien sur d'enregistrer un utilisateur en sa présence physique, avec des preuves formelles de son identité.

Le troisième composant est constitué par le système de distribution des clés. Celle-ci peuvent ainsi être distribuée par l'intermédiaire d'un annuaire LDAP. Elles peuvent aussi être enregistrée dans des dispositifs physiques, et par exemple des cartes à puce.

Au sein de cette infrastructure, doivent prendre place des applications compatible avec le système. Celles-ci peuvent être par exemple des applications de communication entre navigateur et serveur web, échanges de données informatisées (EDI), courrier électronique, transactions, ou encore réseau privé virtuel.

Il faut aussi préciser qu'une infrastructure à clé publique permet de définir une politique de sécurité. Celle-ci spécifie des règles concernant la gestion des clés, le degré de contrôle, ainsi que la manière dont la cryptographie est employée. On peut aussi préciser que les infrastructures PKI sont interopérables entre elles, et permettent, par exemple, de mettre en place des mécanismes de certification croisée entre plusieurs autorités. On peut penser que ce standard constitue un cadre pour la mise en place de technologie évoluées de sécurisation, essentielles au développement de la Net économie et des échanges inter-entreprises par internet.
[Ludovic Blin, JDNet]