Nexus est le premier éditeur de logiciel PKI à annoncer le support du protocole EST pour l’enrôlement des certificats en environnements contraints

 

Les protocoles utilisés aujourd’hui rencontrent des difficultés dans la distribution d’identités approuvées aux objets. Le nouveau protocole standardisé d’enregistrement de certificats EST (Enrollment over Secure Transport), résout ces problèmes. « Nous sommes très heureux d’être les premiers au monde à annoncer la prise en charge d’EST côté serveur par un logiciel d’autorité de certification (CA, pour Certificate Authority) » déclare Martin Furuhed à Nexus Group, société spécialisée dans la gestion des identités et la sécurité.

Les objets et les applications logicielles doivent s’appuyer sur des identités approuvées pour communiquer en toute sécurité. La fiabilité des identités est garantie par la certification numérique, obtenue soit manuellement, soit via des services en ligne utilisant différents protocoles d’enregistrement de certificats.

Selon Martin Furuhed, spécialiste en solutions de sécurité et utilisateur de Nexus Certificate Manager, « EST est plus simple à mettre en œuvre que les protocoles d’enregistrement de certificats utilisés aujourd’hui. Il est également plus complet et sécurisé. »

Le protocole SCEP (Simple Certificate Enrollment Protocol), largement utilisé, ne prend pas en charge la génération et la distribution de clés, et sa fonction de renouvellement de certificats clients et CA est déficiente.

Furuhed : « Un autre problème avec SCEP est qu’il n’est pas standardisé, et par conséquent des implémentations différentes peuvent entraîner des problèmes d’interopérabilité. Tous ces problèmes sont résolus avec EST. »

Les protocoles d’enregistrement de certificats CMP (Certificate Management Protocol) et CMC (Certificate Management over CMS) sont standardisés et proposent des fonctionnalités intéressantes – mais ils sont trop complexes à implémenter chez les clients par rapport à EST et SCEP, et ont des capacités d’utilisation réduites sur des périphériques aux ressources limitées.

Furuhed ajoute : « Un autre avantage d’EST est qu’il permet d’utiliser le chiffrement ECC (Elliptic Curve Cryptography), plus léger que RSA, et donc plus adapté aux hôtes aux ressources limitées. »

EST offre en outre le réenregistrement automatique pour l’obtention de nouveaux certificats clients, ainsi que la redistribution automatique de certificats de CA mis à jour – une fonctionnalité dont l’importance ira croissant avec le développement de l’IoT, selon Furuhed.

« Le fait qu’EST accélère les procédures et ne nécessite pas d’intervention manuelle le rend particulièrement intéressant dans la gestion d’environnements IoT très complexes. Et dans des environnements moins complexes, ses capacités d’automatisation permet de réduire les coûts et d’améliorer la sécurité. Nous pensons qu’EST deviendra le protocole le plus largement utilisé pour la génération et le renouvellement de certificats. »

Mais l’adoption d’un nouveau protocole n’est jamais simple. En l’absence de support côté serveur, les fabricants hésitent à implémenter un support côté client – et en l’absence de clients supportant le nouveau protocole, les développeurs de logiciels de CA hésitent à investir dans le développement du support côté serveur.

EST a été standardisé en 2013 (RFC 7030) avec l’aide de Cisco, qui a élaboré une implémentation de référence à des fins de test. Il existe également des serveurs EST expérimentaux, par exemple un serveur dédié aux services de certification de Microsoft.

Furuhed : « Nexus est la première société à commercialiser un produit supportant EST. Pour nous, il est important d’être à l’avant-garde. »

Nexus collabore également avec l’institut de recherche suédois SICS (Swedish Institute of Computer Science) au développement du nouveau protocole CEBOT, ultra léger et pleinement automatisé, qui permettra d’attribuer des identités approuvées à des objets aux ressources très limitées.

Selon Furuhed, « EST est parfait pour les objets tels que les distributeurs automatiques, les caméras de surveillance, les routeurs, les serveurs ou encore les appareils domestiques intelligents. A présent qu’un serveur commercial EST est disponible, selon nous le nombre de fabricants qui implémenteront une prise en charge côté client va rapidement augmenter. Il est également possible d’intégrer le support d’EST à la mise à jour du firmware de périphériques existants. »

EST ne permet pas, en revanche, de révoquer automatiquement les certificats. Cela doit être réalisé avec le logiciel de CA – et pour rendre le processus le plus simple et le plus transparent possible, Nexus propose une API REST pour Certificate Manager.

Furuhed : « L’API REST permet aux clients et aux développeurs de personnaliser plus aisément les processus d’enregistrement et de révocation de périphériques. Cette API est l’une des options dont disposent les administrateurs pour utiliser les services dans Certificate Manager. »

https://vimeo.com/203992313