Qu'est-ce qu'une PKI ?

On appelle PKI (Public Key Infrastucture, ou en français infrastructure à clé publique (ICP), parfois infrastructure de gestion de clés (IGC)) l’ensemble des solutions techniques basées sur la cryptographie à clé publique.

Les cryptosystèmes à clés publiques permettent de s'affranchir de la nécessité d'avoir recours systématiquement à un canal sécurisé pour s'échanger les clés. En revanche, la publication de la clé publique à grande échelle doit se faire en toute confiance pour assurer que :

• La clé publique est bien celle de son propriétaire ;
• Le propriétaire de la clé est digne de confiance ;
• La clé est toujours valide.

Ainsi, il est nécessaire d'associer au bi-clé (ensemble clé publique / clé privée) un certificat délivré par un tiers de confiance : l'infrastructure de gestion de clés.

Notion de tiers de confiance

Le tiers de confiance est une entité appellée communément autorité de certification (ou en anglais Certification authority, abrégé CA) chargée d'assurer la véracité des informations contenues dans le certificat de clé publique et de sa validité.

Pour ce faire, l'autorité signe le certificat de clé publique à l'aide de sa propre clé en utilisant le principe de signature numérique.

Rôle de l'infrastructure de gestion de clés

Le rôle de l'infrastructure de clés publiques est multiple et couvre notamment les champs suivants :

• enregistrer des demandes de clés en vérifiant l'identité des demandeurs ;
• générer les paires de clés (clé privée / clé publique) ;
• garantir la confidentialité des clés privées correspondant aux clés publiques ;
• certifier l'association entre chaque utilisateurs et sa clé publique ;
• révoquer des clés (en cas de perte par son propriétaire, d'expiration de sa date de validité ou de compromission).

Organisation d'une PKI

Une infrastructure à clé publique est en règle générale composée de deux entités distinctes :

• L'autorité d'enregistrement (notée AE ou RA pour Recording authority), chargée des formalité administratives telles que la vérification de l'identité des demandeurs, le suivi et la gestion des demandes, etc.) ;
• L'autorité de certification (notée AC ou CA pour Certification Authority), chargée des tâches techniques de création de certificats. L'autorité de certification est ainsi chargée de la signature des demandes de certificat (notées CSR pour Certificate Signing Request, parfois appelées PKCS#10, nom du format correspondant). L'autorité de certification a également pour mission la signature des listes de révocations (CRL pour Certificate Revocation List) ;
• L'Autorité de dépôt (Repository) dont la mission est de conserver en sécurité les certificats ;