Explication des concepts/mots de l'ICP
L’environnement PKI au sein d’une organisation est parfois difficile à comprendre en raison du grand nombre d’abréviations, de concepts et de mots typiques de l’ICP.
Pour cela, nous avons dressé une liste de ces éléments avec une explication pour vous aider à mieux comprendre le monde de l’ICP.
| Terme | Description |
| Norme de chiffrement avancée (AES) | est une spécification pour le cryptage symétrique des données électroniques. |
| Cryptage symétrique A | Le fait d’utiliser deux clés différentes, mais mathématiquement liées, à des fins de cryptage. Une clé publique (qui peut être partagée avec n’importe qui) pour crypter les messages et une clé privée (qui ne doit être connue que du destinataire) pour décrypter les messages. |
| Accès aux informations de l’autorité (AIA) | Spécifie dans un certificat où trouver les certificats parents à jour du certificat. |
| L’environnement de gestion automatique des certificats (ACME) | est un protocole de communication destiné à automatiser les interactions entre les autorités de certification et les serveurs de leurs utilisateurs, ce qui permet le déploiement automatisé d’une infrastructure à clé publique à un coût très faible. |
| Solution de gestion des certificats et des clés (CKMS) | Ensemble de règles et de processus, souvent combinés dans une solution logicielle, permettant la création et la gestion sécurisée de certificats basés sur l’ICP et des clés privées correspondantes. |
| Autorité de certification (AC) | Il s’agit d’une ressource et d’un système permettant de créer des certificats numériques et de posséder les politiques, les pratiques et les procédures d’approbation des destinataires et d’émission des certificats. Il appartient aux propriétaires et aux opérateurs d’une AC de déterminer les méthodes de contrôle des destinataires des certificats, les types de certificats qu’ils émettront, les paramètres contenus dans chaque certificat et les procédures de sécurité et d’exploitation. |
| Chaîne de certificats | Chaîne de certificats comprenant le certificat de l’abonné, le certificat de l’autorité de certification émettrice, le(s) certificat(s) intermédiaire(s) de l’autorité de certification et le certificat de l’autorité de certification racine. |
| Gestion du cycle de vie des certificats (CLM) | Ensemble de règles et de processus, souvent combinés dans une solution logicielle, permettant la gestion des certificats basés sur l’ICP. |
| Protocole de gestion des certificats (CMPv2) | est un protocole Internet normalisé par l’IETF utilisé pour obtenir des certificats numériques X.509 dans une infrastructure à clé publique (PKI). Le CMP est un protocole très riche en fonctionnalités et très souple, qui prend en charge tous les types de cryptographie. Les messages CMP sont autonomes, ce qui, contrairement à l’EST, rend le protocole indépendant du mécanisme de transport et assure une sécurité de bout en bout. |
| Chemin de certificats | Chaîne de certificats comprenant le certificat de l’abonné, le certificat de l’autorité de certification émettrice, le(s) certificat(s) intermédiaire(s) de l’autorité de certification et le certificat de l’autorité de certification racine. |
| Politique de certification (CP) | Une forme spécialisée de politique administrative accordée aux transactions électroniques effectuées au cours de la gestion des certificats. Une politique de certification aborde tous les aspects associés à la génération, à la production, à la distribution, à la comptabilité, à la récupération des compromis et à l’administration des certificats numériques. Indirectement, une politique de certification peut également régir les transactions effectuées à l’aide d’un système de communication protégé par un système de sécurité basé sur des certificats. En contrôlant les extensions critiques des certificats, ces politiques et la technologie d’application associée peuvent soutenir la fourniture des services de sécurité requis par des applications particulières. |
| Profil du certificat | Description détaillée de la structure, des composants et de l’origine des données du certificat. |
| Listes de révocation de certificats (LRC) | Une liste de certificats (ou plus précisément une liste de numéros de série de certificats) qui ont été révoqués, et par conséquent, les entités qui présentent ces certificats (révoqués) ne doivent plus être fiables. |
| Demande de signature de certificat (CSR) | La CSR enregistre des informations d’identification dans un format unique pour une personne ou un appareil qui possède une clé privée, ainsi que des informations sur la clé publique correspondante. |
| Liste de confiance des certificats (LCC) | Ensemble de certificats de confiance utilisés par les parties utilisatrices pour authentifier d’autres certificats. |
| Déclaration des pratiques de certification (DPC) | Déclaration des pratiques employées par une AC pour délivrer, suspendre, révoquer et renouveler des certificats et en permettre l’accès, conformément à des exigences spécifiques (c’est-à-dire des exigences spécifiées dans la présente politique de certification ou des exigences spécifiées dans un contrat de services). |
| Point de distribution des LCR (CDP) | L’endroit où vous pouvez télécharger la dernière CRL. |
| Signature numérique | est un moyen de vérifier l’authenticité par l’utilisation d’un identifiant numérique unique. Les signatures numériques reposent sur le cryptage asymétrique, car le propriétaire d’une clé privée peut utiliser cette clé pour signer numériquement un message. Des tiers peuvent alors utiliser la clé publique correspondante pour vérifier la signature et confirmer que le message n’a pas été modifié en cours de route, ce qui ferait échouer la vérification. Les signatures numériques offrent également une non-répudiation, car les signataires ne peuvent pas nier leur signature. |
| Cryptographie à courbe elliptique (ECC) | Il s’agit d’une approche de la cryptographie à clé publique basée sur la structure algébrique des courbes elliptiques sur des champs finis. L’ECC permet d’utiliser des clés plus petites que la cryptographie non EC, telle que RSA, pour offrir une sécurité équivalente. |
| Certificat de chiffrement | Certificat contenant une clé publique et la clé d’utilisation correspondante qui est utilisée pour chiffrer des messages électroniques, des fichiers, des documents ou des transmissions de données, ou pour établir ou échanger une clé de session à ces mêmes fins. |
| Certificat d’entité finale | Un certificat qui réside au bas de la hiérarchie de l’autorité de certification et qui ne peut pas être utilisé pour signer d’autres certificats. La plupart des certificats d’utilisateurs finaux, d’appareils et de serveurs sont des certificats d’entités finales. |
| Inscription par transport sécurisé (EST) | est un protocole cryptographique qui décrit un protocole de gestion des certificats X.509 destiné aux clients de l’infrastructure à clé publique (ICP) qui ont besoin d’acquérir des certificats clients et des certificats d’autorité de certification (AC) associés. EST est décrit dans la RFC 7030. EST a été proposé en remplacement de SCEP, car il est plus facile à mettre en œuvre sur des appareils disposant déjà d’une pile HTTPS. EST utilise HTTPS comme moyen de transport et s’appuie sur TLS pour un grand nombre de ses attributs de sécurité. |
| Utilisation étendue des clés (EKU) | Définit les propriétés avancées pour lesquelles un certificat sera utilisé. |
| Module de sécurité matériel (HSM) | Un module de sécurité matériel est un dispositif informatique physique qui protège et gère les clés numériques pour une authentification forte et assure le traitement des opérations cryptographiques. |
| Hachures | Empreinte numérique couramment utilisée dans les signatures numériques pour garantir que les données n’ont pas été altérées. Plus précisément, il s’agit d’un algorithme à sens unique utilisé pour convertir une valeur en une autre afin de masquer des informations par le biais d’une sortie mathématique. |
| Autorité de certification intermédiaire (Intermediate) | Autorité de certification subordonnée à une autre autorité de certification et disposant d’une autorité de certification qui lui est subordonnée. |
| Autorité de certification émettrice | Autorité de certification subordonnée qui délivre des certificats aux utilisateurs finaux et aux ordinateurs (sujets des certificats). |
| Attestation de clé | La capacité technique de prouver à une partie distante qu’une clé privée de chiffrement a été générée à l’intérieur d’un module cryptographique matériel tel qu’un module de plate-forme de confiance (TPM) ou un module de sécurité matériel (HSM), qu’elle est gérée à l’intérieur de ce module et qu’elle ne peut pas être exportée à partir de ce dernier. |
| Utilisation des clés (KU) | Définit les propriétés de base de l’utilisation d’un certificat. |
| Protocole d’accès aux annuaires légers (LDAP) | est un protocole d’application ouvert, indépendant des fournisseurs et normalisé par l’industrie, qui permet d’accéder à des services d’information d’annuaire distribués sur un réseau IP (Internet Protocol) et de les tenir à jour. Les services d’annuaire jouent un rôle important dans le développement d’applications intranet et internet en permettant le partage d’informations sur les utilisateurs, les systèmes, les réseaux, les services et les applications dans l’ensemble du réseau. Un LDAP est souvent utilisé pour stocker les données des certificats S/MIME d’un compte d’utilisateur. |
| Multipurpose Internet Mail Extensions (MIME) | est une norme Internet qui étend le format des messages électroniques pour prendre en charge le texte dans des jeux de caractères autres que l’ASCII, ainsi que les pièces jointes audio, vidéo, images et programmes d’application. |
| Identifiant d’objet (OID) | Valeur globalement unique associée à un objet pour l’identifier sans ambiguïté, utilisée dans la notation syntaxique abstraite (ASN.1). |
| Protocole d’état des certificats en ligne (OCSP) | Protocole en ligne utilisé pour déterminer l’état d’un certificat de clé publique. |
| Normes de cryptographie à clé publique (PKCS) | Ensemble de normes décrivant l’utilisation de techniques de cryptographie standard dans les programmes PKI. Ces normes sont définies et publiées par RSA Security LLC et comprennent des techniques telles que PKCS 7, PKCS 10, PKCS 11 et PCKS 12, qui couvrent des aspects tels que la syntaxe et le formatage des messages pour les certificats numériques et la manière dont les clés privées sont stockées. |
| Infrastructure à clé publique (ICP) | Il s’agit d’un ensemble de rôles, de politiques, de matériel, de logiciels et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques et gérer le cryptage à clé publique. L’objectif d’une ICP est de faciliter le transfert électronique sécurisé d’informations pour une série d’activités en réseau telles que le commerce électronique, la banque en ligne et le courrier électronique confidentiel. Elle est nécessaire pour les activités où de simples mots de passe constituent une méthode d’authentification inadéquate et où une preuve plus rigoureuse est requise pour confirmer l’identité des parties impliquées dans la communication et pour valider les informations transférées. |
| Autorité d’enregistrement (AE) | Entité de confiance qui établit et atteste l’identité d’un abonné auprès d’une AC. L’AE peut faire partie intégrante d’une AC ou en être indépendante, mais elle a une relation avec l’AC. |
| Recomposition de clé | Modification de la valeur d’une clé cryptographique utilisée dans une application de système cryptographique ; cela implique normalement l’émission d’un nouveau certificat sur la nouvelle clé publique. |
| Renouvellement | L’acte ou le processus consistant à prolonger la validité de la liaison de données affirmée par un certificat de clé publique en émettant un nouveau certificat. |
| Demande de commentaires (RFC) | est une publication d’une série émanant des principaux organismes de développement technique et d’établissement de normes pour l’internet, notamment l’Internet Engineering Task Force (IETF). Un RFC est rédigé par des individus ou des groupes d’ingénieurs et d’informaticiens sous la forme d’un mémorandum décrivant des méthodes, des comportements, des recherches ou des innovations applicables au fonctionnement de l’internet et des systèmes connectés à l’internet. Les RFC relatifs à l’ICP sont 8399 et 5280. |
| Révocation | Mettre fin prématurément à la période opérationnelle d’un certificat à partir d’une date et d’une heure précises. |
| Cryptographie Rivest-Shamir-Adleman (RSA) | Il s’agit d’un système de cryptage à clé publique, l’un des plus anciens, qui est largement utilisé pour la transmission sécurisée de données. La sécurité de RSA repose sur la difficulté pratique de factoriser le produit de deux grands nombres premiers. |
| Autorité de certification racine (Root) | Autorité de certification située au sommet de la hiérarchie d’une ICP, à laquelle tous les abonnés et toutes les parties utilisatrices font explicitement confiance et dont la clé publique constitue la donnée la plus fiable (c’est-à-dire le début des chemins de confiance) pour un domaine de sécurité. |
| Secure Socket Layer (SSL) | Protocole obsolète antérieur à la norme TLS. Étant donné que les certificats de point final émis par une autorité de certification sont nécessaires pour rendre possibles à la fois SSL et TLS, les certificats X.509 sont souvent appelés certificats SSL. |
| Secure/Multipurpose Internet Mail Extensions (S/MIME) | est une norme de cryptage et de signature à clé publique des données MIME. S/MIME fait partie des normes de l’IETF et est défini dans un certain nombre de documents, dont le plus important est le RFC 8551. |
| Certificat auto-signé | Un certificat qui 1 : utilise sa clé publique pour vérifier sa propre signature ; 2 : le nom du sujet est identique au nom de l’émetteur. Contrairement à ce que l’on croit souvent, les certificats auto-signés ne sont pas réservés aux AC privées, ils sont également présents dans les AC publiques (c’est-à-dire sa racine). |
| Certificat de signature | Un certificat de clé publique qui contient une clé publique destinée à vérifier des signatures numériques plutôt qu’à crypter des données ou à exécuter d’autres fonctions cryptographiques. |
| Simple Certificate Enrollment Protocol (SCEP) | est un protocole pour les certificats numériques qui prend en charge la distribution des clés publiques des autorités de certification (CA) et des autorités d’enregistrement (RA), l’inscription des certificats, la révocation des certificats, les requêtes de certificats et les requêtes de listes de révocation de certificats (CRL). |
| Autorité de certification subordonnée | Autorité de certification dont la clé de signature du certificat est certifiée par une autre autorité de certification et dont les activités sont limitées par cette dernière. |
| Chiffrement symétrique | Le fait d’utiliser des permutations mathématiques pour crypter un message en texte clair. La même clé est utilisée pour crypter et décrypter ces messages. |
| Sécurité de la couche transport (TLS) | est un protocole cryptographique conçu pour assurer la sécurité des communications sur un réseau informatique. TLS a remplacé le protocole SSL |
| Trusted Platform Module (TPM ) | est une norme internationale pour un cryptoprocesseur sécurisé, un microcontrôleur dédié conçu pour sécuriser le matériel grâce à des clés cryptographiques intégrées. La version 2.0 du TPM est la norme actuelle, rendant la version 1.0 obsolète. |
| X.509 | est une norme définissant le format des certificats de clé publique. Les certificats X.509 sont utilisés dans de nombreux protocoles Internet, notamment TLS/SSL, qui est à la base de HTTPS, le protocole sécurisé de navigation sur le web. Ils sont également utilisés dans des applications hors ligne, comme les signatures électroniques. |
