Une infrastructure à clés publiques ou PKI délivre des certificats électroniques qui permettent de garantir la confidentialité des échanges de données, l’authentification des utilisateurs, l’intégrité des données lors des transactions et la non-répudiation des transactions.
La PKI regroupe des composants, des fonctions et des procédures qui assurent la gestion de la création, la distribution et le cycle de vie des clés numériques et des certificats numériques. Ces derniers permettent aux utilisateurs de s’authentifier, de faire la signature électronique et de chiffrer les transactions.
Contrairement à un plan d’infrastructure classique, un projet PKI devra reposer sur des caractéristiques spécifiques à cause de la forte adhérence entre la PKI et les applications utilisées. Ainsi, la mise en place d’un projet PKI nécessite un audit pour intégrer les multiples composantes matérielles et logicielles.
Mise en place d’une infrastructure technique
La mise en place d’une infrastructure à clé publique nécessite la conception d’une architecture technique qui devra assurer la sécurité, la disponibilité et les contraintes d’interopérabilité. L’architecture technique regroupe des multiples composantes matérielles et logicielles.
Les serveurs, les supports de cartes à puce ou les cartes cryptographiques pour les serveurs sont quelques exemples de matériels nécessaires dans le projet PKI.
Côté logiciel, il devra assurer les fonctions de l’Autorité de certification (Certification Authority), l’Autorité d’enregistrement (Registration Authority), l’annuaire, le recouvrement de clés, la validation, l’horodatage, l’archivage, l’administration de l’infrastructure et la sécurisation de l’infrastructure.
Il faut par la suite définir les services à mettre en œuvre et l’architecture logique de la PKI. Cette dernière définit le nombre d’AC, la hiérarchisation des AC et des AE ou encore la détermination de l’AC racine.
L’intégration des applications
La mise en place d’un projet PKI s’accompagne de l’intégration des applications sur la sécurisation de la messagerie ou le chiffrement de fichiers de données. Le projet PKI peut assurer l’intégration et la diffusion des logiciels nécessaires lors de sa mise en place.
La complexité de l’intégration d’une application varie suivant la nature des vérifications requises (date de validité du certificat, vérification de la signature du certificat et de son statut d’après la liste des certificats révoqués, vérification du champ du certificat).
Ces vérifications peuvent être faites par simple installation d’un module logiciel sur le serveur ou par l’utilisation d’un toolkit provenant de l’éditeur de solutions PKI.
La politique de certification
Une politique de certification (PC) est un ensemble de règles à suivre lors de la mise en place d’une PKI pour gérer des certificats à clé publique.
La PC est ainsi la politique d’une PKI que l’autorité d’enregistrement doit respecter pour mettre en place de prestations adaptées à certains types d’applications. Elle fournit un certain nombre de renseignements sur la possibilité d’utilisation du certificat, les conditions et les caractéristiques de sa délivrance.
N’importe quelle application peut utiliser un certificat lorsque les conditions et les caractéristiques sont admissibles. Mais l’utilisation du certificat peut aussi être limitée à une seule application suivant la politique de certification.
Le support du certificat peut varier selon la communauté ou les applications qui utilisent le certificat pour avoir des besoins de sécurité communs. Le support du certificat est souvent une clé USB, une carte à puce ou une biométrie.