Title: Les PKI
1Les PKI
- Observatoire de la Sécurité des Systèmes
d'Information et des Réseaux - le 13 avril 1999
- Edouard Tric - Axenet
2Introduction
- De nouveaux standards
- Normes X509-X500 , Protocole SSL et TLS , Ipsec
- S/MIME vs PGP
- Le besoin dune PKI
- Les utilisateurs sont déchargés de
ladministration de la sécurité - Neutralité vis à vis de léchange
- Indépendance interopérabilité par rapport aux
applications - Tarification attractive (1 timbre pour 1 an)
3Les pki
- Définition
- Fonctionnalités
- Outil de génération de clés
- Serveur de certificats
- Annuaire
- Listes de révocation
- Sauvegarde et/ou recouvrement de clés
- non-répudiation
- certification croisée.
4Présentation de Certipost
- Les services proposés online
- Le service "Bronze" ou certificat de test
- Le service "Argent" ou certificat institutionnel
- Le service "Or" ou certificat professionnel
- Le service "Serveur" ou certificat serveur
- Une mise en œuvre simplifiée
- Importer lautorité Certipost dans les
navigateurs - Demander un certificat
- Importer le certificat
- Sauvegarder le certificat
5Autorités de certification déléguées (pki
déléguée ) dans les entreprises
- le besoin
- lexistant
- La PKI déléguée Axenet
6PKI déléguées - le besoin
- Identifier et authentifier ses partenaires
- Se protéger contre une modification des messages
ou fichiers (scellement) - Rendre les messages inintelligibles par un
inconnu (chiffrement) - Permettre la non-répudiation des échanges
(Contrats, commandes,)
7PKI déléguées - lexistant
- Intranet réseau fermé sécurisé
- Internet réseau ouvert non sécurisé
- Extranet intranet communiquantIl faut pouvoir
communiquer sans faire de compromis sur la
sécurité
8La PKI déléguée Axenet
- Architecture Générale RA ,CA
- RA pas de moteur de crypto
- CA traite les demandes de l ensemble des RA
- Le Client Openzilla ou Netscape avec fortify
- Le Serveur Apache
- Axenet peut fournir le code source de la PKI aux
clients
9La PKI déléguée Axenet (schéma)
Internet
RA2
Poste client extranet
DMZ
Auth
RA1
Serveur authentification SSL
Serveur web
Firewall
Réseau interne
CA
Application interne
RA3
10pki Axenet
Installation
NT , Solaris, Linux,etc
Code source fourni
Internet
CA Autre
CA Certipost
DMZ
Auth
RA Extranet
Serveur authentification SSL
Firewall
Réseau interne
RA interne
CA client
11pki Axenet
Demande de ca déléguée
A
12pki Axenet
Installation des certificats SSL
Installation
pki Axenet
La CA client délivre les certificats ssl
Internet
RA Partenaire
La Pki est installée
DMZ
Auth
RA Extranet
Serveur authentification SSL
Firewall
Réseau interne
RA interne
CA client
13pki Axenet
Sécuriser l extranet
pki Axenet
Le partenaire demande un certificat
Internet
RA Partenaire
La CA collecte et signe les demandes
DMZ
Auth
RA Extranet
Serveur authentification SSL
Firewall
Réseau interne
RA interne
CA client
14Les PKI et les logiciels du Marché
- La plupart des logiciels américains brident la
taille des clés à 512 bits . Les clés de session
sont généralement à 40 bits . - génération des clés ( browsers , serveurs ,
firewalls) - importation des clés dans les logiciels du
marche ( Netscape , IIS , Explorer , etc.) - impossible d importer des clés générées avec un
outil indépendant dans les serveurs Netscpae et
Microsoft IIS - gestion des certificats
15Les évolutions des PKI
- Intégration avec les systèmes d exploitation et
les applications - NT 5 intégration poussée dans l os d une pki
(propriétaire) - Dynamic shop builder ( Axenet ) utilise une pki
intégrée pour l authentification b to b - Certificats EDI (Formulaires, logiciels,..)
- Certificats IPSEC
- Certificats SET
16Conclusions
- Cest l architecture bâtie autour des standards
X509, LDAP, SSL-TLS, S/MIME qui simpose dans la
construction des PKI .Le monde électronique de
demain sera basé sur cette architecture. - Il faut utiliser des logiciels opensource pour la
mise en place des infrastructures PKI . - Apache avec modssl pour le serveur
- Netscape avec Fortify en attendant la sortie de
Openzilla
17Références
- Certipost http//www.certificat.com
- Openssl http//www.openssl.org
- Openldap http//www.openldap.org
- Openzilla http//www.openzilla.org
- Fortify http//www.fortify.net