Public Key Infrastructure (PKI)
PKI est un framework pour l'émission, la gestion et la validation de certificats numériques et de clés pour établir la confiance dans les communications et transactions en ligne.
Une [Public Key Infrastructure](/fr/terms/public-key-infrastructure) (PKI) est un système complet qui permet une communication électronique sécurisée en appliquant la cryptographie à clé publique pour lier les identités aux clés cryptographiques et aux certificats. Une PKI fournit les processus, les personnes et la technologie nécessaires pour émettre, gérer et retirer les certificats numériques, et pour valider les chaînes de confiance à travers les frontières organisationnelles et techniques.
Les composants clés incluent :
- Certificate Authority (CA) : Une autorité qui émet et maintient des certificats numériques affirmant les liens entre les sujets et leurs clés publiques.
- Registration Authority (RA) : Vérifie l'identité du demandeur avant qu'un certificat ne soit émis.
- Clés publique et privée : Paires de clés asymétriques utilisées pour le chiffrement, la signature et la vérification d'identité.
- Répertoire de certificats et Services d'annuaire : Stockage et recherche de certificats et de leur statut.
- Protocoles de validation : Mécanismes pour vérifier les chaînes de certificats (validation de chemin).
- Politiques de certificats et CPS : Règles qui régissent l'émission, l'utilisation et le cycle de vie des certificats.
- Ancrages de confiance : CAs racine qui forment la base de confiance dans une hiérarchie PKI.
Cycle de vie et opérations :
- Enrôlement et émission : Vérification d'identité, génération de clés, création de certificats et livraison du certificat au sujet.
- Renouvellement et re-cléage : Renouvellement périodique et rotation des clés pour atténuer le risque de compromission des clés.
- Révocation : Détection et publication d'un certificat qui ne doit plus être considéré comme fiable (via CRLs ou OCSP).
- Validation : Les clients valident les chaînes de certificats par rapport aux racines de confiance et aux contraintes de politique.
- Archivage et récupération : Archivage des clés pour la récupération (là où la politique le permet) et la planification de la reprise après sinistre.
Modèles de déploiement courants et cas limites :
- PKI hiérarchique : CAs racine et intermédiaires fournissant un modèle de confiance évolutif ; la certification croisée permet l'interopérabilité entre les PKIs.
- CA racine hors ligne avec des intermédiaires en ligne pour réduire le risque d'exposition.
- PKIs pour l'IoT et l'identité des appareils nécessitant des profils légers et un enrôlement évolutif.
- Certification croisée et CAs de pont pour prendre en charge les environnements multi-PKI.
Contrôles de sécurité importants :
- Protection de la clé privée : Utilisation de HSMs ou de dispositifs de clés sécurisés pour protéger les clés privées ; contrôles d'accès stricts ; stockage sécurisé par matériel.
- Gestion des clés : Rotation, sauvegarde et destruction sécurisée en fin de vie.
- Révocation et vérification du statut : CRLs et OCSP/OCSP stapling pour révoquer les certificats compromis et fournir un statut en temps opportun.
- Épinglage de certificats et DANE : Techniques pour réduire la dépendance à la confiance de tiers dans des contextes spécifiques.
- Audit et gouvernance : Politiques CPS/CP, audits réguliers et planification de la réponse aux incidents.
Limitations et défis :
- Complexité de la PKI : Surcharge opérationnelle, alignement des politiques et gestion de la confiance inter-domaines.
- Latence de révocation : Les retards dans la propagation de la révocation et les répondeurs OCSP peuvent affecter les décisions en temps réel.
- Évolutivité : Les CRLs volumineuses et les taux d'émission de certificats élevés nécessitent une infrastructure robuste.
Capacités résultantes :
- Authentification : Prouver l'identité en vérifiant le certificat et la signature d'un sujet.
- Confidentialité et intégrité : Chiffrer les données avec la clé publique du destinataire ou signer les données avec la clé privée de l'expéditeur.
- Non-répudiation : Les signatures numériques fournissent une preuve d'origine et d'intégrité.
En résumé, la PKI est l'épine dorsale des interactions numériques de confiance sur le web, par e-mail, la signature de code et l'identité des appareils, fournissant une approche structurée pour émettre, gérer et valider les certificats dans un cadre légalement régi.
graph LR
Center["Public Key Infrastructure (PKI)"]:::main
Rel_digital_certificate_management["digital-certificate-management"]:::related -.-> Center
click Rel_digital_certificate_management "/terms/digital-certificate-management"
Rel_public_key_infrastructure["public-key-infrastructure"]:::related -.-> Center
click Rel_public_key_infrastructure "/terms/public-key-infrastructure"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧠 Test de connaissances
🧒 Explique-moi comme si j'avais 5 ans
PKI is like a global passport office for the internet. If you want to prove you are a specific website, you get a passport (digital certificate) from the office (Certificate Authority). Everyone else knows to trust you because they trust the passport office.
🤓 Expert Deep Dive
PKI involves a hierarchy of CAs, starting from a 'Root CA' pre-installed in your browser. It manages Certificate Revocation Lists (CRLs) and the Online Certificate Status Protocol (OCSP) to handle keys that are no longer safe (e.g., stolen keys).