11/03/2000
Atos
invente l'auto-certification sans tiers de confiance
Dans
le cadre d'infrastructures à clés publiques (PKI)
de type classique, l'inconvénient principal réside
dans la complexité associée à la gestion
des clés dans des environnements multi-niveaux. Pour
pallier à cela, et à la lourdeur de traitement
qui en découle, Atos
propose un nouveau concept : le Light PKI, ou PKI léger.
Partant du principe que l'approche classique est surdimensionnée
en raison du caractère fermé des communautés
d'échanges auxquelles se destinent les infrastructures
PKI, la SSII française leur propose ainsi de se passer
d'un tiers de confiance.
Finis, les éternels va-et-vient avec un serveur situé
à l'autre bout du pays, voire de la planète. Pour
Atos, l'avenir réside dans l'auto-certification à
l'aide d'une forme de coffre-fort virtuel situé sur la
machine de l'utilisateur. Avec sa carte à puce, celui-ci
génère et certifie lui-même ses clés
sans que celles-ci ne soient gérées par un administrateur.
Ce dernier conserve toutefois son rôle d'inscription et
de révocation des membres de sa communauté grâce
au référentiel de profils stocké dans sa
base.
L'infrastructure LPKI de la SSII/éditeur trouve son application
dans son propre logiciel Securicam installé sur la carte
à microprocesseur détenue par l'utilisateur. Cet
outil, qui gère l'infrastructure à l'intérieur
même de la puce, utilise une troisième forme de
clé invisible construite par la carte, qui ne peut pas
être obtenue à partir de la clé de signature.
L'auto-certification revient, de son côté, à
associer une clef à un identifiant et non l'inverse.
La carte seule peut donc assurer la certification en réduisant
les doutes quant à la relation entre les deux.
Dans un tel contexte, le logiciel embarqué Securicam
assure toute une série d'actions depuis le calcul des
couples clés publiques/privées, la signature des
données, sa vérification et le chiffrement. Sans
annuaire de clés à gérer, les coûts
sont réduits et les certificats sont à usage unique.
Sans gestion centralisée, les données de sécurisation
lors du transfert des clés sont aussi beaucoup moins
volumineuses et réclament des temps de calcul plus courts
pour le chiffrement et le déchiffrement à l'aide
de l'algorithme RSA.
Enfin, parmi les fonctions complémentaires, la "délégation"
permet à l'utilisateur de déléguer sa signature
de façon temporaire et déclarée en laissant
un pouvoir limité au bénéficiaire qui ne
peut modifier ses droits, grâce à un envoi de message
d'une carte à l'autre. Quant à la "chronologie",
elle crée une forme d'historisation empêchant de
contourner la révocation, par la simulation d'un contexte
antérieur. Par ailleurs, Atos a signé des partenariats
avec Schlumberger
pour la fabrication des cartes, et avec Scort
qui édite des outils de web-to-host et de création
de portails intranet/extranet.
[François
Morel, JDNet]
|