Résumé des protocoles d’interopérabilité de PKI
Environnement d’entreprise
L’environnement d’entreprise est caractérisé par des organisations qui cherchent à fournir une sécurité cohérente et transparente dans toutes les applications des utilisateurs finaux. L’organisation est celle qui a le plus grand contrôle dans cet environnement, ce qui lui permet de profiter des investissements dans des solutions de PKI interopérables pour l’infrastructure et les utilisateurs finaux.
Génération de certificat – X.509, PKIX Profile X.509 définit le format d’un certificat numérique à clé publique et d’une liste de révocation de certificats (LRC). RFC 3280, du groupe de travail IETF PKIX, fournit des profils pour chacun de ces deux formats.
Distribution des certificats – Protocole LDAP (Lightweight Directory Access Protocol)
LDAP définit le protocole utilisé pour publier et accéder aux certificats numériques et aux LRC à partir d’un référentiel.
Gestion des certificats – Protocole de gestion des certificats PKIX (PKIX-CMP)
Les RFC 2510 et 2511 du groupe de travail IETF PKI définissent le protocole de gestion des clés et des certificats. S’étend au-delà de la simple demande de certificat pour prendre en charge les fonctions de cycle de vie de PKI requises dans l’entreprise.
Environnement interentreprises
L’environnement interentreprises est caractérisé par des organisations qui cherchent à fournir des moyens fiables et sécurisés pour le commerce électronique interentreprises. L’organisation a le contrôle de ses propres ressources, à la fois l’infrastructure et l’utilisateur final, qui doivent interagir avec les PKI des autres.
Génération des certificats – X.509, PKIX Profile Ces normes s’appliquent également aux certificats croisés et aux LRC utilisées pour établir une confiance univoque ou hiérarchique entre les entreprises.
Distribution des certificats – LDAP, S/MIME
LDAP fournit le protocole d’accès aux entreprises souhaitant partager des référentiels de certificats complets ou partiels. S/MIME (RFC 2632-2634) définit un protocole utilisé pour l’échange direct de certificats numériques entre les utilisateurs finaux.
Gestion des certificats – PKIX CMP, PKCS#7/#10
PKIX-CMP fournit des protocoles d’interopérabilité pour la demande et la gestion des certificats croisés, ainsi que des clés et des certificats comme dans le modèle d’entreprise. PKCS#7/#10 (RFC 2315, 2986) fournit des protocoles pour demander et recevoir des certificats qui ne nécessitent aucune gestion une fois créés et distribués.
Environnement des consommateurs
L’environnement des consommateurs est caractérisé par les organisations qui cherchent à permettre le commerce électronique avec les consommateurs sur Internet. Tout en contrôlant son infrastructure, l’organisation doit interagir avec les consommateurs à l’aide d’une grande variété d’applications, généralement des navigateurs Web et des e-mails associés.
Génération des certificats – X.509 v3, PKIX Profile
Ces normes fournissent la définition du profil d’un certificat numérique à clé publique. Bien qu’aucune norme n’ait été universellement adoptée pour la vérification de la révocation dans cet environnement, des programmes comme OCSP (RFC 2560) reçoivent une attention croissante.
Distribution des certificats – S/MIME
La distribution de certificats dans cet environnement est actuellement limitée à la communication directe d’utilisateur à utilisateur avec S/MIME.
Gestion des certificats – PKCS#7/#10
PKCS#7/#10 prend en charge la demande et la réception de certificat, mais ne fournit aucune gestion de clé ou de certificat. Bien qu’aucune norme n’ait été universellement adoptée pour la gestion des clés et des certificats dans cet environnement, des normes telles que PKIX-CMC (RFC 2797) sont envisagées.
Entrust a-t-il démontré l’interopérabilité avec tous ces protocoles approuvés ?
Éléments d’interopérabilité des PKI
Quel que soit l’environnement dans lequel elle opère, une PKI gérée est constituée de plusieurs composants qui doivent interopérer. Comme le montre la figure ci-dessous, ces éléments comprennent des interfaces au sein d’une seule PKI, mais aussi des interfaces vers des environnements externes.
Voici un bref résumé de l’objectif de chaque composant :
- Autorité de certification. L’autorité de certification (AC) représente le tiers de confiance qui émet des clés et des certificats aux utilisateurs finaux et gère leur cycle de vie, y compris la génération, la révocation, l’expiration et la mise à jour.
- Référentiel de certificats. Le référentiel de certificats fournit un mécanisme évolutif pour stocker et distribuer des certificats, des certificats croisés et des listes de révocation de certificats (LRC) aux utilisateurs finaux de la PKI.
- Application client. L’application client est le logiciel de l’utilisateur final qui demande, reçoit et utilise des informations d’identification de clé publique pour un commerce électronique sécurisé.
- Services supplémentaires. Des services supplémentaires sont requis par une PKI gérée qui interagira avec les trois autres composants répertoriés. Ceux-ci fournissent des services particuliers nécessaires à de nombreuses applications de commerce électronique. Les services typiques incluent l’horodatage, la gestion des privilèges, les autorités d’enregistrement automatisé, etc.
En raison de leur rôle central dans une infrastructure à clé publique, quel que soit l’environnement, ces composants doivent interagir et interopérer par le biais de protocoles d’interopérabilité. Ces opérations peuvent être résumées comme suit :
- Génération des certificats. Cela inclut la génération de certificats numériques à clé publique et de listes de révocation de certificats avec un format et une syntaxe définis pour permettre l’interopérabilité avec d’autres applications client et d’autres PKI. La génération de certificats croisés utilisés pour interagir entre les autorités de certification est également incluse.
- Distribution des certificats. Afin d’effectuer des opérations de clé publique, un utilisateur doit accéder aux certificats d’un autre, ainsi qu’aux LRC associées. Par conséquent, un protocole commun doit exister pour permettre l’accès aux certificats d’autres utilisateurs et aux informations de révocation associées.
- Gestion de certificats. La gestion des clés et des certificats représente les opérations de PKI les plus courantes. Les protocoles de demande, de renouvellement, de sauvegarde, de restauration et de révocation des clés et des certificats nécessitent une interopérabilité entre les applications clientes et l’autorité de certification.