La technologie PKI (Public Key Infrastructure) expliquée en 4 minutes

La technologie de sécurité PKI (Public Key Infrastructure) rencontre un succès croissant ; de fait, cette technologie est parfaitement adaptée aussi bien à la sécurité de l’IoT (Internet of Things) qu’à la simple signature électronique de documents. Martin Furuhed, expert PKI chez Nexus Group, société spécialisée dans les identités et la sécurité, détaille la technologie PKI en 4 minutes.

A quoi sert PKI ?

« La technologie PKI permet d’attribuer aux personnes, aux services et aux objets, des identités électroniques de confiance, et ainsi d’implémenter des mécanismes de sécurité tels que l’authentification forte, le chiffrement des données ou encore les signatures électroniques.

« Ces mécanismes de sécurité servent à contrôler les accès aux ressources physiques et logiques, sécuriser les communications entre les personnes, les services et les objets, et certifier les signatures électroniques de documents et de transactions, » explique Martin Furuhed, responsable produit Certificate Manager, le logiciel d’autorité de certification (AC) de Nexus.


Guide de téléchargement: Bâtir une infrastructure IoT sécurisée


De quoi est constituée une PKI ?

Martin Furuhed : « Typiquement, une PKI s’appuie sur du matériel, des logiciels, des standards et des procédures, exploités dans le cadre de la génération, la distribution, la révocation et l’administration de certificats électroniques. Le cœur d’une PKI est l’autorité de certification, à savoir une entité de confiance garantissant l’authenticité des certificats électroniques. »

Qu’est-ce qu’un certificat électronique ?

Martin Furuhed : « Un certificat électronique est un fichier contenant des informations spécifiques telles que des données d’identification, un numéro de série, ainsi qu’une date d’expiration. Ce fichier inclut également la signature électronique de l’autorité de certification qui a généré le certificat, garantie de la validité de celui-ci, ainsi que la clé publique du détenteur du certificat.

« La technologie PKI vise à associer de façon fiable une clé publique à une personne, un service ou un objet. Pratiquement tous les certificats électroniques utilisés dans une PKI s’appuient sur la norme X.509, et un grand nombre d’applications, telles que des serveurs et des clients de messagerie, des serveurs web et des systèmes d’exploitation, prennent en charge ces certificats. »

Que sont les clés publiques et privées ?

Martin Furuhed : « En cryptographie, une clé est un élément d’information qui détermine le produit fonctionnel d’un algorithme de chiffrement. Les clés publiques et privées sont générées par paires, mathématiquement associées ; elles sont utilisées dans le chiffrement asymétrique, appelé également chiffrement par clé publique.

« La clé publique est accessible à tous, tandis que la clé privée est connue uniquement de son détenteur. Une fois les données chiffrées à l’aide d’une clé publique, la seule façon de déchiffrer ces données est d’utiliser la clé privée associée. Dans le cas d’une signature de document à l’aide d’une clé privée, la clé publique associée permet de vérifier la validité de la signature. Le fait d’utiliser deux clés différentes est ce qui caractérise le chiffrement asymétrique. Dans ce mode de cryptographie, la même clé est utilisée à la fois pour le chiffrement et le déchiffrement. »

Comment est certifiée une identité électronique ?

Martin Furuhed : « À l’aide d’un certificat électronique, publiquement accessible, contenant une clé publique, et d’une clé privée. La combinaison des deux clés permet de certifier l’identité d’une personne, d’un service ou d’un objet. »

Comment fonctionne PKI pour l’authentification ?

Martin Furuhed : « Par exemple, lorsqu’un client tente de s’identifier auprès d’un serveur, ce dernier génère des données aléatoires qu’il envoie au client. Celui-ci chiffre les données à l’aide de sa clé privée et les renvoie au serveur. Le serveur déchiffre ces données à l’aide de la clé publique contenue dans le certificat électronique du client, puis vérifie que les données déchiffrées sont bien identiques aux données envoyées. L’identité du client est ainsi certifiée. »

Comment fonctionne PKI pour la signature électronique ?

Martin Furuhed : « La première étape consiste à calculer ce que l’on appelle une valeur de hachage du document ou de la transaction à signer. Ce hachage s’opère à l’aide d’un algorithme, et le résultat correspond à l’empreinte numérique du contenu du fichier. Une fois chiffrée à l’aide de la clé privée du client, la valeur de hachage est alors ajoutée au document ou à la transaction : elle en constituera la signature.

« Le certificat électronique du client, qui contient sa clé publique, est également ajoutée au document/à la transaction. Il est alors possible de déchiffrer la signature à l’aide de la clé publique, et de calculer la valeur de hachage du document. Si les deux résultats sont identiques, la validité de la signature et l’intégrité du document sont certifiés. »

Comment fonctionne PKI pour le chiffrement/déchiffrement des données ?

Martin Furuhed : « Lorsqu’il s’agit de chiffrer/déchiffrer de gros flux de données, le chiffrement symétrique doit être privilégié, car le chiffrement asymétrique nécessiterait trop de temps. Dans le cas du chiffrement symétrique, la même clé est utilisée à la fois pour le chiffrement et le déchiffrement. Cette clé doit donc être échangée entre les deux parties communicantes. Une des parties génère la clé et la communique à l’autre partie à l’aide du chiffrement asymétrique, ce que permet la technologie PKI. »

Bâtir une infrastructure IoT sécurisée