L'infrastructure de clé publique (PKI) dans PKCS #11

Infineon Security Platform

Infineon Security Platform Solution

L'infrastructure de clé publique (PKI) dans PKCS #11

La norme PKCS #11 définit une interface commune pour créer, utiliser et administrer des certificats et clés de cryptage. Chaque implémentation de cette interface fournit une approche spécifique de la technologie sous-jacente, PKCS #11 ne spécifiant pas le jeton de cryptage servant à la mise en oeuvre de la fonction centrale. Les solutions proposées sur le marché sont basées, tant sur des logiciels que sur des cartes à puce ou des circuits spécialisés de cryptage. Chaque bibliothèque conforme à PKCS #11 met en oeuvre sa propre façon d'inclure de tels dispositifs spéciaux et de les utiliser pour générer et traiter les données de cryptage appropriées.

Comme PKCS #11 définit une interface indépendante d'une plate-forme, il existe diverses solutions proposées par un large éventail de fabricants. Ainsi, la norme est prise en charge sur de nombreuses plates-formes et systèmes d'exploitation.

Les bibliothèques conformes à PKCS #11 proposent leur fonctionnalité à l'aide d'une interface bien définie. Selon l'objectif principal d'une mise en oeuvre, une bibliothèque PKCS #11 ne peut prendre en charge qu'un sous-ensemble de l'interface définie.

Pour créer une infrastructure de clé publique (PKI), les applications utilisant un module PKCS #11 requièrent l'accès à un stockage persistant, offrant un emplacement d'enregistrement des données sécurisé et fiable pour les certificats utilisateurs et les clés privées. PKCS #11 ne spécifie pas ce mécanisme de stockage. En tant que mécanisme fréquemment utilisé, les services d'annuaire ont prouvé leur utilité pour offrir la fonctionnalité requise. L'accès à de tels services d'annuaire est très souvent mis en oeuvre par le protocole d'accès LDAP.

Windows 2000 / XP ne contient pas de bibliothèque native PKCS #11, si bien que cette fonctionnalité doit être ajoutée en faisant appel à des produits tiers. Le logiciel de la solution Security Platform comprend une bibliothèque mettant en oeuvre l'interface PKCS #11 qui utilise le circuit Security Platform pour exécuter les opérations de cryptage les plus sensibles telles que générer des clés.

Plusieurs implémentations indépendantes de la norme peuvent se trouver sur le même système. Il est fréquent que les applications utilisant ces bibliothèques doivent être configurées lors d'une étape spécifique pour accéder correctement aux modules respectifs.

Les applications basées sur PKCS #11 doivent néanmoins mettre en oeuvre un ensemble d'outils d'administration afin de générer les données requises pour gérer la fonctionnalité PKCS #11.

Les développeurs d'applications peuvent profiter de l'ensemble des fonctions des mécanismes de sécurité basés sur PK en utilisant différents modules de mise en oeuvre, sans devoir apporter le moindre changement à la plate-forme ou au système de logiciels sur la ou lequel(le) ils travaillent. Qui plus est, les entreprises seront également en mesure de gérer leurs environnement et applications avec des outils et stratégies cohérents pour toute l'organisation.

Pour que d'autres utilisateurs puissent lire les messages cryptés ou vérifier le courrier électronique signé, les certificats utilisateurs devront être stockés dans un répertoire public. Ce répertoire se trouve normalement sur un serveur accessible depuis l'intérieur de l'unité d'organisation concernée.

 

Les certificats numériques, les listes de révocation de certificats et les autorités de certification font partie des composants de base d'une infrastructure de clé publique. Les administrateurs des systèmes d'entreprise doivent s'assurer qu'une infrastructure de clé publique est en place avant de commencer à utiliser le cryptage par clé publique dans leurs réseaux.

La mise en place d'une clé publique (PKI) dans une organisation comprend les étapes suivantes :

  • Installation d'un serveur de certificats
  • Définition d'un fournisseur de services de certificats tiers
  • Configuration de Mozilla Firefox pour utiliser la bibliothèque PKCS #11 d'Infineon Security Platform.
  • Obtention de certificats auprès d'une autorité de certification pour l'authentification de clients.

Ce document de mise en route offre une vue générale sur certains des éléments listés ci-dessus et vous fournit des liens vers des sources d'information complémentaire sur ces sujets.

Après une mise à niveau du logiciel de solution Security Platform, les applications qui utilisent cette solution via l'interface PKCS#11 risquent de ne pas fonctionner comme prévu, car le fichier DLL PKCS#11 (ifxtpmck.dll) se trouve désormais dans le répertoire d'installation du logiciel de solution Security Platform. Dans les versions antérieures du produit, il se trouvait dans le répertoire system32. Les applications doivent donc être reconfigurées pour charger ifxtpmck.dll à partir du nouvel emplacement.

©Infineon Technologies AG