I.1.3.1.2. Notion de certificat
Un certificat numérique ou électronique est un
fichier informatique pouvant être assimilé à une carte
d'identité numérique qui atteste de la validité du couple
clé publique /identité de l'utilisateur. Plus
précisément, un certificat de clé publique est une
structure de données infalsifiable qui relie de manière unique
une clé publique et une entité.
Un certificat contient principalement la clé publique
de son propriétaire, des informations sur le propriétaire, une
durée de validité, l'ensemble étant signé par une
autorité tierce appelée autorité de
certification. Tout certificat étant relié à
une clé publique, on distingue ainsi les certificats de chiffrement, de
signature et d'authentification.
Mémoire de fin d'études d'Ingénieurs des
Travaux des Télécommunications 9
Présenté par NGONO NGONO Arlène
Murielle
CONTEXTE ET PROBLEMATIQUE
a. Structure d'un certificat
Le format de certificats le plus utilisé dans le cadre
d'une infrastructure de gestion de clés est le standard normalisé
X509.v3. La structure générale d'un certificat X509.v3 peut se
présenter comme suit :
Figure 3 : Structure générale d'un
certificat
b. Extensions d'un certificat
Le champ « Extensions » contenu dans le certificat
est un ensemble de blocs de données pouvant supporter n'importe quel
type d'informations. Il permet de fournir d'autres informations que
l'identité du propriétaire. Entre autres, lesdites informations
peuvent être des informations sur la clé ou sur les contraintes de
chemin de certification.
Nous pouvons avoir entre autres :
? Key Usage : qui définit
l'utilisation de la bi-clé. Ce champ peut prendre les valeurs suivantes
: digitalSignature, nonRepudiation, keyEncipherment, keyCertSign,
cRLSign.
Mémoire de fin d'études d'Ingénieurs des
Travaux des Télécommunications 10
Présenté par NGONO NGONO Arlène
Murielle
CONTEXTE ET PROBLEMATIQUE
? Private Key usage Period: définit les
dates de début et de fin de validité de la clé
privée
? Basic Constraints : précise si le
certificat émis est un certificat d'autorité de certification ou
pas ; s'il en est un, une distance de certification est définie.
c. Modes de création d'un certificat
Il existe deux façons distinctes de créer des
certificats électroniques : le mode centralisé et le mode
décentralisé.
? Le mode
décentralisé est le mode le plus courant. Il
consiste à faire créer par l'utilisateur la bi-clé
cryptographique et de joindre la partie publique dans la demande de certificat.
L'infrastructure n'a donc jamais connaissance de la clé privée de
l'utilisateur qui reste enfermée dans le poste de travail de
l'utilisateur ou dans un support amovible. Ce mode est préconisé
pour les certificats d'authentification et aussi de signature parce que les
conditions d'exercice d'une signature juridiquement valide prévoient que
le signataire doit être le seul possesseur de la clé
privée.
? Le mode centralisé
consiste en la création de la bi-clé par
l'autorité de certification. Au début du cycle de la demande,
cette dernière ne contient pas la clé publique, c'est
l'autorité qui la produit. Elle peut ainsi avoir de bonnes garanties sur
la qualité de la clé et peut en détenir une copie
protégée. En revanche, il faut transmettre à l'utilisateur
certes son certificat mais aussi sa clé privée. Son acheminement
vers l'utilisateur doit être entrepris avec beaucoup de
précautions et de sécurité afin d'empêcher une
tierce personne de mettre la main sur la clé. Ce mode est
préconisé pour les certificats de chiffrement, car lorsqu'un
utilisateur a perdu sa clé, un opérateur peut au terme d'une
procédure de recouvrement récupérer la clé de
chiffrement et la lui remettre.
Mémoire de fin d'études d'Ingénieurs des
Travaux des Télécommunications 11
Présenté par NGONO NGONO Arlène
Murielle
CONTEXTE ET PROBLEMATIQUE
I.1.3.2. Principe de fonctionnement d'une
infrastructure de gestion de clés
Une infrastructure à clés publiques
(ICP) ou infrastructure de gestion de clés
(IGC) ou encore Public Key Infrastructure
(PKI) est un ensemble de composants physiques, de
procédures humaines et de logiciels en vue de gérer le cycle de
vie des certificats numériques à savoir leur
génération, leur distribution et leur révocation ainsi que
leur exploitation.
Une PKI est basée sur le principe de cryptographie
asymétrique et contribue à l'établissement de la confiance
entre des entités dans leurs échanges électroniques.
a. Composants d'une PKI
Une PKI s'articule principalement autour de quatre composants
de base à savoir :
? Une autorité de
certification (AC): son principal rôle est de
générer et de signer les certificats ceci avec sa clé
privée, ainsi ces certificats seront certifiés authentiques par
elle-même. C'est pourquoi on parle de chaîne de
confiance dans une PKI car il s'agit de faire confiance à
cette autorité de certification qui sera elle-même
certifiée par une autorité supérieure et ainsi de suite.
L'AC la plus supérieure est appelée autorité
de certification racine (ACR) et génère et
auto-signe son propre certificat. L'AC aura également pour rôle de
signer les listes de révocation des certificats. Elle doit
définir une politique de certification qui va établir l'ensemble
des règles de vérification, de stockage et de
confidentialité des données appartenant à un certificat
ainsi que la sécurité de stockage de sa propre clé
privée nécessaire à la signature des certificats et listes
de révocation.
? Une autorité
d'enregistrement (AE): Son principal rôle est de
vérifier et d'enregistrer les demandes de certificats et de
révocation. Les méthodes de vérification de cette
étape sont définies en fonction de la politique de certification
établie pour l'infrastructure. En effet, cela peut aller du simple envoi
de l'adresse électronique à la présentation d'une
pièce d'identité. Si la demande de certificat est acceptée
par l'AE, elle sera transmise à l'AC.
Mémoire de fin d'études d'Ingénieurs des
Travaux des Télécommunications 12
Présenté par NGONO NGONO Arlène
Murielle
CONTEXTE ET PROBLEMATIQUE
L'AE est l'intermédiaire entre l'utilisateur final et
l'AC mais elle peut également être contenue dans l'AC. Cependant,
l'avantage de séparer les deux entités réside dans la
répartition des charges entre les deux entités mais aussi dans un
besoin de sécurité.
? Un dépôt ou
annuaire qui stocke les certificats et les listes de
certificats révoqués ou CRL. L'annuaire est indépendant de
la PKI cependant elle en a besoin. L'annuaire peut également stocker les
clés privées des utilisateurs dans le cadre du recouvrement de
clefs.
? L'entité finale
qui est l'utilisateur ou le système ayant effectué
la demande de certificat et pour lequel le certificat est
délivré.
Par ailleurs, il convient de présenter de
manière additionnelle un élément très important
pour le fonctionnement d'une PKI :
? L'opérateur de certification
(OC) qui assure les prestations techniques, en particulier
cryptographiques, nécessaires au processus de certification
conformément à la politique de certification (PC) correspondante
que met en oeuvre l'ACR. L'OC est techniquement dépositaire de la
clé privée de l'ACR utilisée pour la signature des
certificats d'ACR et d'AC. Sa responsabilité se limite au respect des
procédures que l'ACR définit afin de répondre aux
exigences de la PC. En clair, l'OC est responsable de toutes les actions devant
mettre en jeu la clé privée de l'ACR et aussi des AC qui lui sont
subordonnées. Son rôle et ses obligations sont très
liés à ceux des AC. Ce dernier peut également assurer les
fonctions liées à l'AE.
Mémoire de fin d'études d'Ingénieurs des
Travaux des Télécommunications 13
Présenté par NGONO NGONO Arlène
Murielle
CONTEXTE ET PROBLEMATIQUE
b. Architecture générale d'une
PKI
4. Génération et signature du
certificat
2. Vérification et
validation des
informations
reçues
Autorité
d'enregistrement
Autorité de certification
Entité finale
Annuaire
Figure 4 : Architecture générale d'une
PKI
Mémoire de fin d'études d'Ingénieurs des
Travaux des Télécommunications 14
Présenté par NGONO NGONO Arlène
Murielle
CONTEXTE ET PROBLEMATIQUE
| 
