PKI PGP OpenSSL

PKI PGP OpenSSL
PKI, PGP et OpenSSL
Pierre-Louis Cayrel
Université de Limoges, XLIM-DMI,

123, Av. Albert Thomas
87060 Limoges Cedex France
05.55.45.73.10
pierre-louis.cayrel@xlim.fr
Licence professionnelle Administrateur de Réseaux

et de Bases de Données
IUT Limoges
Pierre-Louis Cayrel Université de Limoges, XLIM-DMI, 123, Av. Albert Thomas 87060 Limoges Cedex France 05.55.45.73.10 pierre-louis.cayrel@xlim.fr
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Sommaire
PKI
PGP
OpenSSL
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Architectures PKI
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Motivations
I Comment récupérer et être sûr d’une clé publique ?

I En effet, Oscar peut se faire passer pour le destinataire !
I Il faut un moyen de prouver la correspondance entre une clé publique
et une personne !
I Plus généralement : comment gérer des authentifiants dans un
environnement distribué/réseau ?
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Principe général
I PKI = Public Key Infrastructure

I Ensemble d’infrastructures permettant de réaliser effectivement des
échanges sécurisés.
I PKI ne distribue pas des clés mais des certificats !
I Un certificat contient une clé publique
I Il contient aussi des données d’identité
I Pour une personne : état civil, adresse, mail...
I Pour un serveur : nom de domaine, adresse IP, mail de
l’administrateur etc...
I Un certificat est validé par un tiers de confiance
I On parle d’autorité de certification = CA
I La PKI assure la gestion des certificats
I création/distribution...
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Création d’un certificat
I Alice génère ses clés Ke et Kd

I Ke : clé publique
I Kd : clé privée
I Elle émet une requête au CA pour un certificat de Ke
I CA valide la clé, authentifie Alice et génère un certificat
I le certificat est signé par le CA
I Cette signature certifie l’origine du certificat & son intégrité.
I Le certificat est publié dans un annuaire publique
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Vérifier l’authenticité du tiers de confiance
I Chaque CA possède lui-même un certificat

I La clé privée associée permet de signer les certificats émis par le CA
I Ce certificat est signé par un autre CA etc...
⇒ Chaı̂ne de certificat
I Le dernier certificat de la chaı̂ne est signé par lui-même
I On parle de certificat auto-signé ou certificat racine
I Definition (PKI)
Ensemble de technologies, organisations, procédure et pratiques qui
supporte l’implémentation et l’exploitation de certificats basés sur la
cryptographie à clé publique.
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Normes PKI
I Il existe plusieurs normes pour les PKI

I la plupart sont en cours d’évolution
I Deux types d’infrastructures :
1. architectures hiérarchiques
I reposent sur différents CA, qui sont distincts des utilisateurs.
I Ex : PKIX (Public Key Infrastructure X.509)
2. architectures non-hiérarchiques
I chaque utilisateur est son propre CA
I initialement conçues pour la messagerie comme PGP et le P2P
sécurisés
I confiance mutuelle entre les utilisateurs
I Ex : SPKI (Simple Public Key Infrastructure, Spooky), SDSII (Simple
Distributed Security Infrastucture ou Sudsy)
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Fonctions d’une PKI
I émettre des certificats à des entités préalablement authentifiées ;

I révoquer des certificats, les maintenir ;
I établir, publier et respecter des pratiques de certification pour établir
un espace de confiance ;
I rendre les certificats publics par le biais de services d’annuaires ;
I éventuellement, gérer les clés et fournir des services d’archivage.
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Gestion des clés
1. Gestion des clefs (Key management).

I création, distribution, stockage, utilisation
I recouvrement, l’archivage et destruction
I repose sur des règles à respecter impérativement :
1.1 Les clefs secrètes doivent l’être et le rester
1.2 Les clefs secrètes doivent exister seulement en clair à l’intérieur d’un
module résistant
1.3 Limiter le déploiement des clefs
1.4 Séparer les clefs par utilisation
1.5 Synchroniser les clefs
1.6 Journal d’événements
2. Mise en commun des clefs (cf DH)
3. Transport des clefs
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Acteurs d’une PKI

I Détenteur d’un certificat
I entité qui possède une clé privée
I le certificat numérique contient la clé publique associée.
I plusieurs types de certificat : client, serveur, VPN etc...
I Utilisateur d’un certificat
I récupère le certificat
I utilise la clé publique dans sa transaction avec le détenteur.
I L’ Autorité de Certification (CA1 )
I Ens. de ressources défini par son nom et sa clé publique qui :
I génère des certificats ;
I émet et maintient les informations sur les CRL2
I publie les certificats non encore expirés ;
I maintient les archives des certificats expirés/révoqués.
I Entité juridique et morale d’une PKI
1 Certification Authority
2 Certification Revocation List
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Acteurs d’une PKI (2)
I Autorité d’enregistrement (RA3 )

I Intermédiaire entre le détenteur de la clé et le CA.
I Vérifie les requêtes des utilisateurs
I Transmet les requêtes au CA
I niveau de vérification dépend de la politique de sécurité
I Chaque CA a une liste de RA accrédités.
I Un RA est connu d’un CA par son nom et sa clé publique.
I CA vérifie les informations du RA par le biais de sa signature
I Emetteur de CRL
3 Registration Authority
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Acteurs d’une PKI (3)
I Dépôt ou Annuaire (Repository)

I Distribue les certificats et les CRL.
I Accepte les certificats et les CRL d’autres CA et les rend disponibles
aux utilisateurs.
I Connu par son adresse et son protocole d’accès.
I Archive
I stockage sur le long terme des informations pour le compte d’un CA.
I permet de régler les litiges
I en sachant quel certificat était valable à telle époque.
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Création d’un certificat
PKI, PGP et OpenSSL
PKI PGP OpenSSL
PGP
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Philip Zimmermann
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Pretty Good Privacy
PKI, PGP et OpenSSL
PKI PGP OpenSSL
PGP, un premier exemple de certificat
I Format de certificat PGP a été défini par Philip Zimmermann.

I Contient les informations suivantes :
I Num. de la version de PGP (identifie l’algo utilisé pour créer la clef)
I la clef publique et l’algorithme associé
I RSA, DH (Diffie-Hellman) ou DSA (Digital Signature Algorithm).
I la signature digitale du CA
I identité du porteur : nom, numéro ID, photographie, etc.
I la période de validité du certificat
I l’algorithme symétrique (à clef privée) préféré.
I Particularité : un certificat peut contenir plusieurs signatures.
I plusieurs personnes à titre de CA peuvent certifier l’association
’clef/identification’
PKI, PGP et OpenSSL
PKI PGP OpenSSL
La forme standard d’un certificat
Fig.: www.selso.com
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Le certificat X.509
Fig.: laurent.flaum.free.fr
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Les certificats X. 509 contiennent :
I Le numéro de version X. 509 : identifie la version du standard X. 509

s’appliquant à ce certificat, ce qui détermine les informations à
spécifier. La version 3 est la plus courante.
I La clé publique du détenteur du certificat : clé publique du détenteur
du certificat associée à un identifiant d’algorithme spécifiant le
système de cryptographie auquel appartient la clé ainsi que tous les
paramètres de clé correspondants.
I Le numéro de série du certificat : l’entité (application ou personne)
ayant créé le certificat doit lui affecter un numéro de série unique
permettant de le distinguer des autres certificats émis. Ces
informations sont utilisées de différentes manières. Par exemple,
lorsqu’un certificat est révoqué, son numéro de série est placé dans
une liste des révocations de certificats ou LRC.
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Les certificats X. 509 contiennent aussi :
I L’identifiant unique du détenteur du certificat (ou nom explicite/

DN). Ce nom doit être unique sur Internet. Un DN se compose de
plusieurs sous-sections et peut avoir la structure suivante :
NC = Robert Durand, UO = Service de sécurité réseau, O =
Network Associates, Inc., C = France
(Ces éléments se réfèrent au nom, à l’unité organisationnelle, à
l’organisme et au pays du sujet. )
I La période de validité du certificat : dates/ heures de début et
d’expiration du certificat. Indique la date d’expiration du certificat.
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Les certificats X. 509 contiennent aussi :
I Le nom unique de l’émetteur du certificat : nom unique de l’entité

ayant signé le certificat. Il s’agit généralement d’une CA. L’utilisation
du certificat implique que vous faites confiance à l’entité ayant signé
le certificat. Notez que dans certains cas, tels que pour les certificats
CA de haut ou bas niveau, l’émetteur signe son propre certificat.
I La signature numérique de l’émetteur : signature effectuée avec la
clé privée de l’entité ayant émis le certificat.
I L’identifiant d’algorithme de signature : identifie l’algorithme utilisé
par la CA pour signer le certificat.
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Le modèle PKIX
Fig.: ljk.imag.fr/membres/Jean-Guillaume.Dumas/
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Authentification d’entités à partir de certificats

I Fait l’objet d’une norme : FIPS-196
I Notations utilisées dans FIPS-196 :
A Nom qui identifie Alice
B Nom qui identifie Bob
Signx(M) La signature du message M avec la clé privée de X
Rx Un challenge aléatoire produit par X
CertX Le certificat de X
X .Y La concaténation de X et de Y
TokenID Identificateur de Token. Il précise les informations
identifiant le Token, le type de protocole... qui
faciliteront le traitement du Token.
TokenXY Un token envoyé de X vers Y
TokenXYi Le i-ème token envoyé de X vers Y
[Z ] Précise que le champs Z est optionnel
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Authentification d’entités à partir de certificats (2)

I Alice envoie à Bob une demande d’authentification
I Bob génère Rb et envoit à Alice :
TokenBA1 = Rb
I Alice génère Ra et envoit avec son certificat :
TokenAB = Ra .Rb .B.Signa (Ra .Rb .B)

I Bob vérifie le certificat d’Alice.
I il peut ensuite vérifier les informations de TokenAB
I Après vérification, Alice est authentifiée auprès de Bob.
I Bob envoit avec son certificat :
TokenBA2 = Rb .Ra .A.Signb (Rb .Ra .A)

I Alice procède de la même manière pour authentifier Bob.
A la fin, il y a authentification mutuelle.
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Modèle de confiance PGP
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Modèle de confiance PGP
Fig.: www-id.imag.fr/svarrett/
PKI, PGP et OpenSSL
PKI PGP OpenSSL
OpenSSL
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Application pratique : OpenSSL
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Application pratique : OpenSSL
I Création d’un répertoire pour les certificats

mkdir certificates; cd certificates
I Creation du certificat pour le CA :
I Utiliser le script CA.sh /usr/lib/ssl/misc/CA.sh − newca
I Création du certificat serveur/personne :
openssl req − new − nodes − keyout newreq.pem − out
newreq.pem − days 365
I Signature du certificat du serveur par le CA
/usr/lib/ssl/misc/CA.sh − sign
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Résumé SSL
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Qu’avez-vous pensé de ce cours ?
PKI, PGP et OpenSSL
PKI PGP OpenSSL
Merci à tous
bonne chance pour le partiel
PKI, PGP et OpenSSL

PKI PGP OpenSSL

Transféré par

Droits d'auteur :

Formats disponibles

PKI PGP OpenSSL

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PKI PGP OpenSSL

Transféré par

Droits d'auteur :

Formats disponibles

PKI PGP OpenSSL

PKI, PGP et OpenSSL

Université de Limoges, XLIM-DMI,

Licence professionnelle Administrateur de Réseaux

I Comment récupérer et être sûr d’une clé publique ?

I PKI = Public Key Infrastructure

Création d’un certificat

I Alice génère ses clés Ke et Kd

Vérifier l’authenticité du tiers de confiance

I Chaque CA possède lui-même un certificat

I Il existe plusieurs normes pour les PKI

Fonctions d’une PKI

I émettre des certificats à des entités préalablement authentifiées ;

Gestion des clés

1. Gestion des clefs (Key management).

Acteurs d’une PKI

Acteurs d’une PKI (2)

I Autorité d’enregistrement (RA3 )

Acteurs d’une PKI (3)

I Dépôt ou Annuaire (Repository)

Création d’un certificat

Pretty Good Privacy

PGP, un premier exemple de certificat

I Format de certificat PGP a été défini par Philip Zimmermann.

La forme standard d’un certificat

Les certificats X. 509 contiennent :

I Le numéro de version X. 509 : identifie la version du standard X. 509

Les certificats X. 509 contiennent aussi :

I L’identifiant unique du détenteur du certificat (ou nom explicite/

Les certificats X. 509 contiennent aussi :

I Le nom unique de l’émetteur du certificat : nom unique de l’entité

Authentification d’entités à partir de certificats

Authentification d’entités à partir de certificats (2)

TokenAB = Ra .Rb .B.Signa (Ra .Rb .B)

TokenBA2 = Rb .Ra .A.Signb (Rb .Ra .A)

Modèle de confiance PGP

Modèle de confiance PGP

Application pratique : OpenSSL

Application pratique : OpenSSL

I Création d’un répertoire pour les certificats

Qu’avez-vous pensé de ce cours ?

Vous aimerez peut-être aussi