|
|
Sécurité |
En
route vers la définition d'un standard de PKI |
Elément essentiel des espaces de confiance, les infrastructures de clefs publiques devraient prochainement faire l'objet d'un standard. Orchestrateur de ce projet : le consortium OASIS. (Jeudi 9 janvier 2003) |
|
Pierre angulaire des espaces
de confiance (voir notre questions-réponses),
la signature électronique fait face à trois grandes problématiques
autour de la gestion des échanges de documents : l'authentification
des utilisateurs en présence, la garantie de l'intégrité
des transmissions, et l'assurance du caractère non-répudiable
des données communiquées - grâce à l'existence de la signature
en tant que telle.
L'un des principaux mécanismes de gestion de ce processus
est connu sous le nom de PKI (pour Public Key Infrastructure
ou infrastructure de clefs publiques). Il a pour vocation
de gérer le cycle de vie des fameux certificats numériques,
de leur création à leur mort en passant par leur administration
et leur exploitation par les émetteurs et récepteurs
de messages.
Nouvelle étape vers la standardisation de la PKI ?
OASIS (Organization for the Advancement of Structured
Information Standards) a annoncé le 7 janvier dernier
la mise sur pied d'un nouveau groupe de travail chargé
de plancher sur cette question. Aux dires du consortium,
il aura notamment pour objectif "d'approfondir les
conditions métier nécessaires au déploiement
de ces infrastructures. Mais également de réfléchir
aux éléments techniques de tels projets."
Le tout en vue d'aboutir à des règles d'implémentation
certifiées.
Un
projet qui ne date par d'hier
Baptisé
OASIS PKI Member Section, ce groupe est créé
dans la foulée de l'intégration par l'OASIS
du PKI Forum : une organisation lancée en
1999 par différents acteurs de la sécurité
en vue de promouvoir l'adoption des PKI et l'interopérabilité
entre solutions - par le biais de la définition
de standards principalement.
Fargo,
RSA Security, Baltimore Technologies, Computer Associates,
KPMG, Schlumberger Network Solutions, etc. Comptant aussi
bien des intégrateurs que des éditeurs,
des opérateurs de services et des sociétés
de conseil, l'ensemble des membres du PKI Forum feront
d'emblée parti de la nouvelle équipe. "Pour
l'heure, les travaux demeurent concentrés sur les
enjeux d'intégration des PKI et la promotion d'une
meilleure connexion entre outils, reconnaît Terry
Leahy (Fargo), président du nouveau comité
de l'OASIS. En termes de méthodologie, ils se conformerons
désormais aux règles définies par
le consortium." A première vue, les changements
semblent imperceptibles...
La
PKI comme espace de confiance des Web Services
Et pourtant...
De l'avis des analystes, ce rapprochement marque un pas
de taille vers la standardisation des PKI. "Associer
cette technologie aux projets menés par l'OASIS
contribuera à donner un nouveau souffle à
ce processus", commente
Victor Wheatman, vice-président et responsable
des activités d'études au Gartner. L'association
au langage XML, dont le consortium figure parmi les principaux
porte-drapeau, est vital pour la poursuite du développement
de la PKI."
Remis ainsi en perspective,
le dessin de la OASIS PKI Member Section paraît plus clair.
Basés vraisemblablement sur certains langages définis
par le W3C (XML Encryption et XML Signature notamment),
les chantiers qu'il mettra en oeuvre devraient venir compléter
l'édifice échafaudé par l'organisme autour de la sécurité
des échanges BtoB. Une série de propositions qui couvraient
d'ores et déjà les champs de l'identification, de l'autorisation
et de la gestion des politiques d'accès (par le biais
des langages WS-Security, SAML, XACML, SPML et XCBF).
|
|
|