Your SlideShare is downloading. ×
Architecture
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Architecture

396
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
396
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Principe g´n´ral e e El´ments d’une infrastructure PKI eArchitectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Architectures PKI S´bastien VARRETTE e Universit´ du Luxembourg - Laboratoire LACS, LUXEMBOURG e CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours ”Cryptographie & Securit´ R´seau” Master Info e e Universit´ de Yaound´ e e S´bastien VARRETTE e Architectures PKI
  • 2. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e eQuelques r´f´rences bibliographiques. . . (avant que j’oublie) ee Menezes A. J., Vanstone S. A. and Oorschot P. C. V., Handbook of Applied Cryptography, Computer Sciences Applied Mathematics Engineering, CRC Press, Inc., 1st edition, 1996, http://www.cacr.math.uwaterloo.ca/hac/ Schneier B., ”Cryptographie Appliqu´e”, e Vuibert, Wiley and International Thomson Publishing, NY, 2nd edition, 1997. http://www.schneier.com/book-applied.html Stinson D.R, Cryptography : Theory and Practice, Chapman & Hall/CRC Press, 2nd edition, 2002. http://www.cacr.math.uwaterloo.ca/~dstinson/CTAP2/CTAP2.html Ebrahimi T., Leprevost F. and Warusfeld Ed., ´ Cryptographie et Securit´ des syst`mes et r´seaux, e e e Hermes/Lavoisier, http://www-id.imag.fr/~svarrett/book_secu_mult.html S´bastien VARRETTE e Architectures PKI
  • 3. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e ePlan 1 Principe g´n´ral e e 2 El´ments d’une infrastructure PKI e 3 Architectures hi´rarchiques reposant sur X509 e 4 Architectures non hi´rarchiques : PGP e 5 Politique de s´curit´ et contre-mesures e e S´bastien VARRETTE e Architectures PKI
  • 4. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e eMotivations Comment r´cup´rer et ˆtre sˆr d’une cl´ publique ? e e e u e En effet, Oscar peut se faire passer pour le destinataire ! Il faut un moyen de prouver la correspondance entre une cl´e publique et une personne ! Plus g´n´ralement : comment g´rer des authentifiants dans un e e e environnement distribu´/r´seau ? e e S´bastien VARRETTE e Architectures PKI
  • 5. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e ePrincipe g´n´ral e e PKI = Public Key Infrastructure Ensemble d’infrastructures permettant de r´aliser e effectivement des ´changes s´curis´s. e e e PKI ne distribue pas des cl´s mais des certificats ! e Un certificat contient une cl´ publique e Il contient aussi des donn´es d’identit´ e e Pour une personne : ´tat civil, adresse, mail... e Pour un serveur : nom de domaine, adresse IP, mail de l’administrateur etc... Un certificat est valid´ par un tiers de confiance e On parle d’autorit´ de certification = CA e La PKI assure la gestion des certificats cr´ation/distribution... e S´bastien VARRETTE e Architectures PKI
  • 6. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e eCr´ation d’un certificat e Alice g´n`re ses cl´s Ke et Kd e e e Clé privée Génération d’une paire de clés Ke : cl´ publique e   ¡   ¡   ¡   ¡   ¡   ¡   ¡   ¡ Kd : cl´ priv´e e e                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Elle ´met une requˆte au CA pour e e                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Alice Clé publique un certificat de Ke Requete de certificat CA valide la cl´, authentifie Alice e et g´n`re un certificat e e CA le certificat est sign´ par le CA e Cette signature certifie l’origine du certificat & son int´grit´. e e ¢ ¢ ¢ ¢ ¢ £ £ £ £ ¢ ¢ ¢ ¢ ¢ £ £ £ £ ¢ ¢ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ Clé ¢ ¢ £ ¢ £ ¢ £ ¢ £ publique Certificat de laANNUAIRE clé publique d’Alice = Coordonné du porteur (nom : Alice ...) Le certificat est publi´ dans un e CA Signature du certificat par le CA annuaire publique S´bastien VARRETTE e Architectures PKI
  • 7. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e eV´rifier l’authenticit´ du tiers de confiance e e Chaque CA poss`de lui-mˆme un certificat e e La cl´ priv´e associ´e permet de signer les certificats ´mis par e e e e le CA Ce certificat est sign´ par un autre CA etc... e =⇒ Chaˆ de certificat ıne Le dernier certificat de la chaˆ est sign´ par lui-mˆme ıne e e On parle de certificat auto-sign´ ou certificat racine e Definition (PKI) Ensemble de technologies, organisations, proc´dure et pratiques e qui supporte l’impl´mentation et l’exploitation de certificats bas´s e e sur la cryptographie ` cl´ publique. a e S´bastien VARRETTE e Architectures PKI
  • 8. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e eNormes PKI Il existe plusieurs normes pour les PKI la plupart sont en cours d’´volution e Deux types d’infrastructures : 1 architectures hi´rarchiques e reposent sur diff´rents CA, qui sont distincts des utilisateurs. e Ex : PKIX (Public Key Infrastructure X.509) 2 architectures non-hi´rarchiques e chaque utilisateur est son propre CA initialement con¸ues pour la messagerie comme PGP et le c P2P s´curis´s e e confiance mutuelle entre les utilisateurs Ex : SPKI (Simple Public Key Infrastructure, Spooky), SDSII (Simple Distributed Security Infrastucture ou Sudsy) S´bastien VARRETTE e Architectures PKI
  • 9. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Fonctions d’une PKI ´mettre des certificats ` des entit´s pr´alablement e a e e authentifi´es ; e r´voquer des certificats, les maintenir ; e ´tablir, publier et respecter des pratiques de certification pour e ´tablir un espace de confiance ; e rendre les certificats publics par le biais de services d’annuaires ; ´ventuellement, g´rer les cl´s et fournir des services e e e d’archivage. S´bastien VARRETTE e Architectures PKI
  • 10. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Gestion des cl´s e 1 Gestion des clefs (Key management). cr´ation, distribution, stockage, utilisation e recouvrement, l’archivage et destruction Repose sur des r`gles ` respecter imp´rativement : e a e 1 Les clefs secr`tes doivent l’ˆtre et le rester e e 2 Les clefs secr`tes doivent exister seulement en clair ` e a l’int´rieur d’un module r´sistant. e e 3 Limiter le d´ploiement des clefs e 4 S´parer les clefs par utilisation e 5 Synchroniser les clefs 6 Journal d’´v´nements e e 2 Mise en commun des clefs (cf DH) 3 Transport des clefs Alice Bob C=Epub (K) C=Dpriv A (K) bob C S´bastien VARRETTE e Architectures PKI
  • 11. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Acteurs d’une PKI D´tenteur d’un certificat e entit´ qui poss`de une cl´ priv´e e e e e le certificat num´rique contient la cl´ publique associ´e. e e e Plusieurs type de certificat : client, serveur, VPN etc... Utilisateur d’un certificat r´cup`re le certificat e e utilise la cl´ publique dans sa transaction avec le d´tenteur. e e L’ Autorit´ de Certification (CA1 ) e Ens. de ressources d´fini par son nom et sa cl´ publique qui : e e g´n`re des certificats ; e e ´met et maintient les informations sur les CRL2 e publie les certificats non encore expir´s ; e maintient les archives des certificats expir´s/r´voqu´s. e e e Entit´ juridique et morale d’une PKI e 1 Certification Authority 2 Certification Revocation List S´bastien VARRETTE e Architectures PKI
  • 12. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Acteurs d’une PKI (2) Autorit´ d’enregistrement (RA3 ) e Interm´diaire entre le d´tenteur de la cl´ et le CA. e e e V´rifie les requˆtes des utilisateurs e e Transmet les requˆtes au CA e niveau de v´rification d´pend de la politique de s´curit´ e e e e Chaque CA a une liste de RA accr´dit´s. e e Un RA est connu d’un CA par son nom et sa cl´ publique. e CA v´rifie les informations du RA par le biais de sa signature e Emetteur de CRL 3 Registration Authority S´bastien VARRETTE e Architectures PKI
  • 13. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Acteurs d’une PKI (3) D´pˆt ou Annuaire (Repository) e o Distribue les certificats et les CRL. Accepte les certificats et les CRL d’autres CA et les rend disponibles aux utilisateurs. Connu par son adresse et son protocole d’acc`s. e Archive stockage sur le long terme des informations pour le compte d’un CA. permet de r´gler les litiges e en sachant quel certificat ´tait valable ` telle ´poque. e a e S´bastien VARRETTE e Architectures PKI
  • 14. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Emission d’un certificat Autre entité Entité utilisant les certificats (Alice) (Bob) (5) (Eventuellement) CA fournit le certificat à Alice (1) Requete de (2) Authentification certificat du demandeur Utilisateur de la PKI Administration de la PKI Consultation RA Annuaire (3) Requete de certificat (4) CA publie le certificat Certificats CA + CRL S´bastien VARRETTE e Architectures PKI
  • 15. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509PGP, un premier exemple de certificat Format de certificat PGP a ´t´ d´fini par Phil Zimmermann. ee e Contient les informations suivantes : Num. de la version de PGP (identifie l’algo utilis´ pour cr´er la e e clef) la clef publique et l’algorithme associ´ e RSA, DH (Diffie-Hellman) ou DSA (Digital Signature Algorithm). la signature digitale du CA identit´ du porteur : nom, num´ro ID, photographie, etc. e e la p´riode de validit´ du certificat e e l’algorithme sym´trique (` clef priv´e) pr´f´r´. e a e eee Particularit´ : un certificat peut contenir plusieurs signatures. e plusieurs personnes ` titre de CA peuvent certifier l’association a ”clef/identification” S´bastien VARRETTE e Architectures PKI
  • 16. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Le certificat X.509 Information Certificat Numérique X.509 C (country) : France Version v3 (0x2) Version L (Locality) : Grenoble ST : (State or Province) : Isère Serial Number 14 (0xE) Serial Number O (Organisation) : INRIA SO (Organizational Unit) : icluster Signature Algorithm ID md5WithRSAEncryption Signature Algorithm ID CN (Common Name) : Icluster_CA STREET (Adress): 50 av Jean KuntzMann Issuer Name Issuer Name E (Email) : ca@inria.imag.fr Validity Périod Not Before : Validity Périod − Start Date/Time Jun 8 14:52:40 2003 GMT − Start Date/Time C (country) : France Not After L (Locality) : Grenoble − End Date/Time − End Date/Time Jun 7 14:52:40 2004 GMT ST : (State or Province) : Isère Subject Name Subject Name O (Organisation) : INRIA SO (Organizational Unit) : Labo ID−IMAG Subjet Public Key Info : Public Key Algorithm : Subjet Public Key Info : CN (Common Name) : Sebastien Varrette rsaEncryption − Algorithm ID − Algorithm ID STREET (Adress): 51 av Jean KuntzMann − Public Key Value RSA Public Key (1024bit) − Public Key Value E (Email) : sebastien.varrette@imag.fr Modulus (1024 bits) : Issuer Unique ID 00:b3:e4:4f:....... Issuer Unique ID Exponent : 65537 (0x10001) Subject Unique ID Subject Unique ID Extension Extension Signature − Algorithm ID Clé privée du CA − Signature Value Signature S´bastien VARRETTE e Architectures PKI
  • 17. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Signification des champs d’un certificat X.509 Version : Indique ` quelle version de X.509 correspond ce certificat. a Serial number : Num´ro de s´rie du certificat (propre ` chaque CA). e e a Signature Algo ID : Identifiant du type de signature utilis´e. e Issuer Name : Distinguished Name(DN) du CA qui ´met le certificat e Validity period : P´riode de validit´. e e Subject Name : Distinguished Name (DN) du d´tenteur de la cl´ publique e e Subject pub. key info : Informations sur la clef publique de ce certificat. Issuer Unique ID : Identifiant unique de l’´metteur de ce certificat e Subject Unique ID : Identifiant unique du d´tenteur de la cl´ publique e e Extensions : Extensions g´n´riques optionnelles. e e Signature : Signature num´rique du CA sur les champs pr´c´dents e e e S´bastien VARRETTE e Architectures PKI
  • 18. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509G´n´ration et contenu d’une CRL X.509 e e Information CRL Version (v1=0;v2=1) Version (v1=0;v2=1) Signature Algorithm ID Signature Algorithm ID Issuer Name Issuer Name This Update Date/Time This Update Date/Time Next Update Date/Time Next Update Date/Time CRL : CRL : Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date CRL Extensions CRL Extensions Signature − Algorithm ID Clé privée du CA − Signature Value Signature S´bastien VARRETTE e Architectures PKI
  • 19. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509Quelques identificateurs d’algorithmes et num´ros associ´s e e Alg. Hash. OID Identificateur 3DES-CBC 1.2.840.113549.3.7 DES-EDE3-CBC RSA 1.2.840.113549.1.1.1 RSAEncryption RSA MD5 1.2.840.113549.1.1.4 md5withRSAEncryption RSA SHA-1 1.2.840.113549.1.1.5 sha1withRSAEncryption DSA 1.2.840.10040.4.1 id-dsa DSA SHA-1 1.2.840.10040.4.3 id-dsawithSha1 DSA SHA-1.320 1.3.14.3.2 id-dsawithSha1.320 ECDSA SHA-1 1.2.840.10045.1 ecdsawithSha1 S´bastien VARRETTE e Architectures PKI
  • 20. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e eLe mod`le PKIX e S´bastien VARRETTE e Architectures PKI
  • 21. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e eAuthentification d’entit´s ` partir de certificats e a Fait l’objet d’une norme : FIPS-196 Notations utilis´es dans FIPS-196 : e A Nom qui identifie Alice B Nom qui identifie Bob Signx (M) La signature du message M avec la cl´ priv´e de X e e Rx Un challenge al´atoire produit par X e CertX Le certificat de X X ·Y La concat´nation de X et de Y e TokenID Identificateur de Token. Il pr´cise les informations e identifiant le token, le type de protocole... qui faciliteront le traitement du Token. TokenXY Un token envoy´ de X vers Y e TokenXYi Le i-`me token envoy´ de X vers Y e e [Z ] Pr´cise que le champs Z est optionnel e S´bastien VARRETTE e Architectures PKI
  • 22. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e eAuthentification d’entit´s ` partir de certificats (2) e a [Demande d’authentification] 1° 2° [TokenID] || TokenBA 1 Alice Bob 3° [TokenID] || CertA TokenAB || 4° [TokenID] || Cert B || TokenBA 2 S´bastien VARRETTE e Architectures PKI
  • 23. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e eAuthentification d’entit´s ` partir de certificats (3) e a Alice envoie ` Bob une demande d’authentification a Bob g´n`re Rb et envoit ` Alice : e e a TokenBA1 = Rb Alice g´n`re Ra et envoit avec son certificat : e e TokenAB = Ra · Rb · B · Signa (Ra · Rb · B) Bob v´rifie le certificat d’Alice. e il peut ensuite v´rifier les informations de TokenAB e Apr`s v´rification, Alice est authentifi´e aupr`s de Bob. e e e e Bob envoit avec son certificat : TokenBA2 = Rb · Ra · A · Signb (Rb · Ra · A) Alice proc`de de la mˆme mani`re pour authentifier Bob. e e e A la fin, il y a authentification mutuelle. S´bastien VARRETTE e Architectures PKI
  • 24. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e eApplication pratique : OpenSSL Cr´ation d’un r´pertoire pour les certificats e e mkdir certificates ; cd certificates Creation du certificat pour le CA : Utiliser le script CA.sh /usr/lib/ssl/misc/CA.sh -newca Cr´ation du certificat serveur/personne : e openssl req -new -nodes -keyout newreq.pem -out newreq.pem -days 365 Signature du certificat du serveur par le CA /usr/lib/ssl/misc/CA.sh -sign S´bastien VARRETTE e Architectures PKI
  • 25. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e eMod`le de confiance PGP e Utilisateur ¤ ¤ ¤ ¢ ¢ ¢ ¥ ¥ ¥ £ £ £ ¤ ¤ ¤ ¢ ¢ ¢ ¥ ¥ ¥ £ £ £ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ? ? ? ? Est signé par ? Signataire inconnu Signataire de confiance       ¡ ¡ ¡       ¡ ¡ ¡ Signataire à confiance partielle       ¡ ¡ ¡ Clef jugée digne de confiance   ¡   ¡   ¡   ¡   ¡   ¡ S´bastien VARRETTE e Architectures PKI
  • 26. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e eNotion de politique de s´curit´ e e D´finit la strat´gie globale et r´pondre aux menaces. e e e En particulier, il est fondamental de d´crire : e Qui est responsable de quoi (mise en œuvre, ex´cution, audit, e tests, etc.). Quelle est la politique de s´curit´ de base du r´seau e e e d’ordinateurs. Pourquoi chacun doit faire ce qu’il fait. S´bastien VARRETTE e Architectures PKI