Atos invente l'auto-certification sans tiers de confiance

Dans le cadre d'infrastructures à clés publiques (PKI) de type classique, l'inconvénient principal réside dans la complexité associée à la gestion des clés dans des environnements multi-niveaux. Pour pallier à cela, et à la lourdeur de traitement qui en découle, Atos propose un nouveau concept : le Light PKI, ou PKI léger. Partant du principe que l'approche classique est surdimensionnée en raison du caractère fermé des communautés d'échanges auxquelles se destinent les infrastructures PKI, la SSII française leur propose ainsi de se passer d'un tiers de confiance.
Finis, les éternels va-et-vient avec un serveur situé à l'autre bout du pays, voire de la planète. Pour Atos, l'avenir réside dans l'auto-certification à l'aide d'une forme de coffre-fort virtuel situé sur la machine de l'utilisateur. Avec sa carte à puce, celui-ci génère et certifie lui-même ses clés sans que celles-ci ne soient gérées par un administrateur. Ce dernier conserve toutefois son rôle d'inscription et de révocation des membres de sa communauté grâce au référentiel de profils stocké dans sa base.

L'infrastructure LPKI de la SSII/éditeur trouve son application dans son propre logiciel Securicam installé sur la carte à microprocesseur détenue par l'utilisateur. Cet outil, qui gère l'infrastructure à l'intérieur même de la puce, utilise une troisième forme de clé invisible construite par la carte, qui ne peut pas être obtenue à partir de la clé de signature. L'auto-certification revient, de son côté, à associer une clef à un identifiant et non l'inverse. La carte seule peut donc assurer la certification en réduisant les doutes quant à la relation entre les deux.

Dans un tel contexte, le logiciel embarqué Securicam assure toute une série d'actions depuis le calcul des couples clés publiques/privées, la signature des données, sa vérification et le chiffrement. Sans annuaire de clés à gérer, les coûts sont réduits et les certificats sont à usage unique. Sans gestion centralisée, les données de sécurisation lors du transfert des clés sont aussi beaucoup moins volumineuses et réclament des temps de calcul plus courts pour le chiffrement et le déchiffrement à l'aide de l'algorithme RSA.
Enfin, parmi les fonctions complémentaires, la "délégation" permet à l'utilisateur de déléguer sa signature de façon temporaire et déclarée en laissant un pouvoir limité au bénéficiaire qui ne peut modifier ses droits, grâce à un envoi de message d'une carte à l'autre. Quant à la "chronologie", elle crée une forme d'historisation empêchant de contourner la révocation, par la simulation d'un contexte antérieur. Par ailleurs, Atos a signé des partenariats avec Schlumberger pour la fabrication des cartes, et avec Scort qui édite des outils de web-to-host et de création de portails intranet/extranet.
[François Morel, JDNet]