Infrastructure à clés publiques, communément abrégée en PKI, est devenu un élément essentiel de la sécurisation des communications et des transactions en ligne. Mais en quoi consiste exactement ce cadre de sécurité essentiel ?
Par essence, une infrastructure à clés publiques désigne les politiques, procédures, technologies et composants facilitant le transfert électronique sécurisé d'informations, de transactions et de communications entre des entités telles que des individus, des appareils et des systèmes. Elle vise à y parvenir grâce à des mécanismes cryptographiques pour garantir la confidentialité, l'intégrité, l'authentification et la non-répudiation.
Le principe central repose sur cryptographie asymétrique, en particulier le chiffrement à clé publique, basé sur une paire de clés cryptographiques mathématiquement liées : une clé privée et une clé publique. Ces clés chiffrent et déchiffrent les données de manière à ce que seule l'autre clé correspondante puisse accéder au contenu. Nous y reviendrons plus tard. Tout d'abord, examinons les composants de base qui constituent un PKI système.
Les principaux composants d'un PKI Écosystème
Un fonctionnel PKI comporte une combinaison d’éléments techniques, organisationnels et procéduraux.
Autorités de certification (CA)
Les CA constituent la base de PKI. Ils émettent, révoquent et renouvellent des certificats d'identité numérique. Un certificat numérique contient des informations sur une entité ainsi que sa clé publique. Essentiellement, le certificat numérique lie une paire de clés cryptographiques utilisée pour crypter la communication à une identité validée à laquelle appartient la paire de clés. Les autorités de certification, telles que SSL.com, vérifient minutieusement les détails avant de signer numériquement ces certificats pour distribution.
Un certificat et l'autorité de certification qui l'émet sont approuvés par les utilisateurs et les systèmes qui s'appuient sur les certificats pour une communication sécurisée. Cela instaure la confiance, car les destinataires reconnaissent qu'une autorité de certification réputée a validé le titulaire du certificat.
Confiance envers les autorités de certification et les certificats
Le concept de « confiance » dans le contexte des autorités de certification repose sur l’assurance qu’un certificat numérique donné est légitime et que l’entité qui présente le certificat est bien celle qu’elle prétend être. Ce cadre de confiance est essentiel pour sécuriser les communications sur Internet, en particulier pour des activités telles que les opérations bancaires en ligne, les achats et les communications confidentielles, où la vérification de l’authenticité d’un site Web ou d’un service est essentielle.
Confiance publique
La confiance publique implique des certificats émis par des autorités de certification largement reconnues et automatiquement approuvées par les principaux éditeurs de navigateurs, développeurs de logiciels et systèmes d'exploitation. Cette confiance est établie parce que l'autorité de certification suit des politiques et des procédures strictes avant d'émettre un certificat, garantissant que l'entité qui demande le certificat est légitime et a le droit d'utiliser le domaine en question, d'appliquer une signature numérique avec un nom spécifique ou de représenter une identité attachée à une fonction cryptographique.
La confiance du public découle des lignes directrices et des exigences définies par un organisme de normalisation appelé le Certificate Authority Browser Forum ou Forum CA / NavigateurLe CA/Browser Forum est un consortium volontaire d'autorités de certification, de fournisseurs de navigateurs Internet et d'autres parties intéressées qui élaborent des directives régissant l'émission et la gestion de ces certificats de confiance publique. Les principaux éditeurs de navigateurs et les principaux systèmes d'exploitation décident des autorités de certification auxquelles ils font confiance et les incluent dans leurs magasins de certificats racines de confiance. Si une autorité de certification ne figure pas dans ce magasin de certificats de confiance, les utilisateurs peuvent recevoir des avertissements indiquant que le certificat n'est pas approuvé.
Confiance privée
La confiance privée implique des certificats émis au sein d'un écosystème fermé, tel qu'un intranet d'entreprise ou un environnement contrôlé où les entités impliquées ont une relation directe ou une confiance mutuelle. Dans ces scénarios, une organisation peut agir en tant que sa propre autorité de certification (Autorité de certification privée) et émet des certificats à ses utilisateurs, appareils ou services. Ces certificats ne sont pas nécessairement reconnus par le monde extérieur, mais sont pleinement valables au sein de l'écosystème de l'organisation.
Délimitation entre la confiance publique et la confiance privée
La principale différence entre la confiance publique et privée réside dans la portée et la reconnaissance des certificats émis. Les certificats racines des autorités de certification de confiance publique sont inclus dans les magasins de confiance des principaux navigateurs et systèmes d'exploitation, ce qui permet à un large public de faire automatiquement confiance à leurs certificats émis sans aucune configuration supplémentaire.
En revanche, les certificats émis par une autorité de certification privée nécessitent une configuration manuelle de la confiance dans tous les systèmes extérieurs au réseau privé qui souhaitent faire confiance à ces certificats. Ceux-ci ne sont pas automatiquement approuvés par l'Internet au sens large et sont principalement utilisés à des fins internes lorsque l'organisation a le contrôle sur les parties qui font confiance.
Les modèles de confiance publics et privés jouent tous deux un rôle crucial dans la sécurité Internet et la sécurité interne des organisations, chacun répondant à des besoins différents en fonction de l’étendue de la confiance et de la reconnaissance requises.
PKI Hiérarchie
Les autorités de certification se répartissent en deux catégories. Les autorités de certification racines constituent le sommet de la hiérarchie, tandis que les autorités de certification intermédiaires distribuent les certificats sous leur autorité.
Autorités d'enregistrement (AR)
Les RA vérifient l'identité et établissent le processus d'inscription avant de demander des certificats signés aux autorités de certification en conséquence. Les RA s'assurent que seules les entités légitimes reçoivent des certificats par PKI Lignes directrices en matière de politique. Les contrôles d'identité approfondis avant la génération du certificat renforcent la confiance entre les parties prenantes.
Clés cryptographiques publiques et privées
Cette paire mathématiquement liée permet le fonctionnement cryptographique interne de PKILes données chiffrées avec la clé publique restent inaccessibles sans la clé privée correspondante pour le déchiffrement. Cela permet de préserver la confidentialité des données lors des transmissions. Les signatures numériques signées avec une clé privée peuvent être vérifiées avec la clé publique correspondante pour l'authentification de l'identité.
Pour comprendre les différents types de PKI implémentations et celles qui pourraient convenir à votre organisation, consultez notre guide sur Privé vs public PKI Infrastructure.
Certificats numériques
Le certificat numérique contient des informations d'identification telles que le nom, l'organisation, l'emplacement et la clé publique associée. Le certificat porte également la signature numérique de l'autorité de certification émettrice pour garantir l'identité liée. Les certificats sont conformes aux normes internationales X.509 pour permettre l'interopérabilité entre les systèmes.
Liste de révocation de certificats (CRL)
La liste de révocation de certificats contient une liste de numéros de série de certificats révoqués par les autorités de certification respectives, indiquant des identités compromises. Les entités vérifient les listes de révocation de certificats pour s'assurer qu'elles ne communiquent qu'avec des certificats encore valides. Cette liste de référence centralisée facilite la distribution efficace des révocations.
Pour plus d'informations sur le fonctionnement de la révocation des certificats et sur la manière dont les organisations maintiennent leur sécurité, consultez notre guide complet sur Listes de révocation de certificats (CRL).
Qu’est ce qu' PKI Utilisé pour?
PKI Il ne s’agit pas seulement d’un cadre théorique : il permet la mise en œuvre de plusieurs technologies courantes :
- Activité Web sécurisée:HTTPS, SSL/TLS les protocoles établissant des connexions sécurisées entre les navigateurs et les serveurs utilisent PKI pour le cryptage sous-jacent alimenté par des certificats numériques et la cryptographie à clé publique.
- Cryptage et signature des e-mails:L'échange d'informations sensibles par courrier électronique a des effets bénéfiques PKI normes via des types de certificats tels que S/MIME (Secure/Multipurpose Internet Mail Extensions) pour crypter et signer les e-mails.
- Certificats de signature de code: Applique une signature cryptographique au code logiciel qui le scelle contre les modifications non autorisées et identifie l'éditeur.
- Authentification et contrôle d'accès:Les mécanismes d'authentification basés sur des certificats pour l'accès VPN d'entreprise et les systèmes d'entrée dans les bâtiments offrent une sécurité beaucoup plus robuste que les protocoles ID-mot de passe via PKI méthodologies.
- Transactions en chaîne de blocs:Toutes les transactions sur les registres blockchain impliquent un transfert de monnaie numérique en signant via des clés de cryptographie asymétriques activées par PKI principes autour du lien mathématique entre les clés.
À mesure que la connectivité numérique se développe à l’échelle mondiale dans tous les secteurs, PKI restera un élément fondamental permettant la confidentialité, la confiance et la sécurité grâce aux normes existantes autour des certificats, de la gestion des identités et du cryptage.
Comment La PKI Travail?
Maintenant que nous comprenons les composants clés de PKI, nous pouvons discuter de la manière dont tous ces composants fonctionnent ensemble.
- Génération de paires de clés:Chaque entité crée une paire de clés publique et privée.
- Délivrance de certificat:Une autorité de certification (CA) de confiance vérifie l’identité de l’entité et émet un certificat numérique contenant la clé publique.
- Distribution:Les clés publiques et les certificats sont distribués, tandis que les clés privées restent secrètes et doivent être conservées en toute sécurité par le détenteur du certificat.
- Chiffrement:Les expéditeurs utilisent la clé publique du destinataire pour crypter les messages.
- décryptage:Les destinataires utilisent leur clé privée pour décrypter les messages.
- Signatures numériques:Les expéditeurs signent les messages avec leur clé privée, vérifiable par d'autres à l'aide de la clé publique de l'expéditeur.
- Validation du certificat:Les entités vérifient les certificats à l’aide de la clé publique de l’autorité de certification avant de leur faire confiance.
Ce système permet une communication sécurisée, une authentification et une non-répudiation dans les environnements numériques.
L'importance de PKI
Chez SSL.com, nous avons pu constater de visu l'immense valeur PKI assure la sécurisation de la transmission de données sensibles. En tant qu'autorité de certification de premier plan reconnue par le public, nous restons déterminés à faire progresser PKI des normes grâce à une vérification d’identité robuste, une émission rapide de certificats et une surveillance proactive de l’infrastructure.
Avec PKI éléments profondément intégrés dans la cybersécurité moderne et l’identité numérique, nous envisageons son rôle central dans l’avenir de la confidentialité et de l’intégrité dans l’économie numérique en expansion.