13/09/00
Les
éléments matériels d'une infrastructure
à clé publique
Les
infrastructures à clé publique (ou PKI) peuvent
tirer parti de plusieurs types de dispositifs matériels.
D'une part, on peut
envisager les dispositifs concernant l'authentification, c'est
à dire les
support de stockage de clés privées, ou encore
les moyens additionnels d'authentification. On constate d'autre
part que l'utilisation de techniques de cryptographie consomme
beaucoup de ressources machines, en particulier du coté
des serveurs qui doivent gérer de multiple connexions
sécurisées. Leurs capacités en ce domaine
sont donc en général étendue par l'utilisation
de cartes à crypto-processeurs.
Les infrastructure PKI assurent l'authentification des utilisateurs
par le jeux de 2 clés: une publique qui peut être
contenue dans un annuaire LDAP, par exemple, et une privée,
qui ne quitte pas son propriétaire et ne circule jamais
sur internet. Il est donc intéressant de stocker cette
clé sur un support amovible, de manière à
ce que son utilisatueur puisse s'en servir sur différentes
machines. Pour cela, on peut utiliser une clé qui se
branche sur le port USB des machines. Il existe, par exemple,
la iKey de Rainbow
Technologies. Les cartes à puces peuvent aussi représenter
une bonne solution, mais il faudra souvent rajouter un lecteur
approprié aux machines. Mais, l'authentification, pour
être totalement fiable, nécessite deux méthodes
différentes. Les codes d'identification personnel (code
PIN), à l'instar des téléphones portables
ou des cartes bancaires sont souvent utilisés, en combinaison
avec une carte à puce. Une autre piste à explorer
est l'identification biométrique. Par exemple, la société
amériacaine Veridicom
propose un capteur d'empreintes digitale de taille réduite
et revenant à 39 dollars par unité pour 1000.
Les infrastructures à clé publique sont aussi
des grosses consommatrices de puissance de calcul. Pour pallier
cet inconvénient, qui peut ralentir les échanges,
il est souvent recommandé d'utiliser des cartes spécialisées
dans les calculs cryptographiques. La société
Rainbow Technologies propose ainsi un carte comprenant un processeur
capable de traiter une transaction en 5 millisecondes, de stocker
les clés privées et de gérer les clés
RSA de 384 à 4096 bits. IL est de plus possible d'intégrer
plusieurs de ces cartes dans un même serveur.
[Ludovic Blin, JDNet]
|