Les éléments matériels d'une infrastructure à clé publique

Les infrastructures à clé publique (ou PKI) peuvent tirer parti de plusieurs types de dispositifs matériels. D'une part, on peut envisager les dispositifs concernant l'authentification, c'est à dire les support de stockage de clés privées, ou encore les moyens additionnels d'authentification. On constate d'autre part que l'utilisation de techniques de cryptographie consomme beaucoup de ressources machines, en particulier du coté des serveurs qui doivent gérer de multiple connexions sécurisées. Leurs capacités en ce domaine sont donc en général étendue par l'utilisation de cartes à crypto-processeurs.

Les infrastructure PKI assurent l'authentification des utilisateurs par le jeux de 2 clés: une publique qui peut être contenue dans un annuaire LDAP, par exemple, et une privée, qui ne quitte pas son propriétaire et ne circule jamais sur internet. Il est donc intéressant de stocker cette clé sur un support amovible, de manière à ce que son utilisatueur puisse s'en servir sur différentes machines. Pour cela, on peut utiliser une clé qui se branche sur le port USB des machines. Il existe, par exemple, la iKey de Rainbow Technologies. Les cartes à puces peuvent aussi représenter une bonne solution, mais il faudra souvent rajouter un lecteur approprié aux machines. Mais, l'authentification, pour être totalement fiable, nécessite deux méthodes différentes. Les codes d'identification personnel (code PIN), à l'instar des téléphones portables ou des cartes bancaires sont souvent utilisés, en combinaison avec une carte à puce. Une autre piste à explorer est l'identification biométrique. Par exemple, la société amériacaine Veridicom propose un capteur d'empreintes digitale de taille réduite et revenant à 39 dollars par unité pour 1000.

Les infrastructures à clé publique sont aussi des grosses consommatrices de puissance de calcul. Pour pallier cet inconvénient, qui peut ralentir les échanges, il est souvent recommandé d'utiliser des cartes spécialisées dans les calculs cryptographiques. La société Rainbow Technologies propose ainsi un carte comprenant un processeur capable de traiter une transaction en 5 millisecondes, de stocker les clés privées et de gérer les clés RSA de 384 à 4096 bits. IL est de plus possible d'intégrer plusieurs de ces cartes dans un même serveur.
[Ludovic Blin, JDNet]