Product SiteDocumentation Site

8.6. Infrastructure de clefs publiques (PKI)

L'infrastructure de clefs publiques (PKI) est une architecture de sécurité introduite pour fournir un niveau de confiance amélioré lors de l'échange d'informations sur des réseaux non sécurisés. Elle utilise le concept de clefs de chiffrement publique et privée pour vérifier l'identité de l'expéditeur (signature) et garantir la confidentialité (chiffrement).
Lorsque vous vous intéressez aux PKI, vous vous trouvez confronté à une grande variété d'outils :
  • une autorité de certification (Certificate Authority – CA) qui peut vous fournir des certificats extérieurs et travailler sous une hiérarchie donnée ;
  • un répertoire pour conserver les certificats publics des utilisateurs ;
  • une base de données pour maintenir une liste des certificats révoqués (Certificate Revocation Lists – CRL) ;
  • des périphériques interopérants avec le CA pour éditer des cartes à puce, jetons USB ou n'importe quoi d'autre pour stocker les certificats en sécurité ;
  • les applications prévues pour fonctionner avec des certificats de confiance peuvent utiliser des certificats distribués par des CA pour engager une communication chiffrée et vérifier les certificats délivrés contre un CRL (pour l'authentification et les solutions de signature complète unique) ;
  • une autorité pour certifier les dates et signer numériquement des documents ;
  • une console de gestion permettant une gestion correcte de tout cela (génération de certificats, contrôle de listes de révocation, etc.)
Debian GNU/Linux contient des paquets logiciels pour vous aider à résoudre ces problèmes de PKI, y compris OpenSSL (pour la génération de certificats), OpenLDAP (comme répertoire pour maintenir les certificats), gnupg et openswan (avec la prise en charge de la norme X.509). Cependant, le système d'exploitation ne fournit pas (depuis la version Woody, Debian 3.0) d'autorité de délivrance de certificat librement disponible comme pyCA, http://www.openca.org ou les exemples CA d'OpenSSL. Pour plus d'informations, reportez-vous au http://ospkibook.sourceforge.net.