2.3 KiB
Notes de cours PKI - CA - TLS
Infrastructures à clés publiques (PKI) (1h)
Le rôle d'une PKI est de lier une clé publique à une identité (typiquement, à une chaîne de caractères intelligible comme une URL www.acme.org ou une adresse mail brice@acme.org). L'obtention de clés publiques est un service orthogonal au service de sécurité rendu par la cryptographie (ie, un même service, le mail chiffré et signé par exemple, peut-être rendu avec une approche type CA avec S/MIME ou une approche toile de confiance avec PGP).
Vous devez lire la page anglaise de Wikipedia sur ce sujet, qui présente différentes formes de PKI (autorités de certifications, toile de confiance, SPKI, blockchain). Attention, la page française n'est pas assez détaillée.
Vous devez détailler chacune des différentes formes, avec une attention particulière pour les CA et le Web of trust. La PKI DANE/TLSA est très bien décrite et positionnée dans cet article. Vous devez enfin lire les Criticisms de la page principale (et les détails de PKI security issues with X.509, Breach of Comodo CA, Breach of Diginotar).
Pour comprendre DANE/TLSA qui repose sur DNSSEC, vous devrez peut-être vous rafraichir la mémoire sur le fonctionnement et les différents acteurs du système DNS (typiquement, notions de registry, registrar, gestion d'une zone et mécanisme de résolution récursif). Ces points ont normalement déjà été vus en TC mais vous pouvez par exemple lire Sebsauvage jusque "Dans ce cas, ils sont à la fois registry et registrar.", Bortzmeyer sections "Le protocole DNS" et "Gouvernance" et/ou d'autres ressources équivalentes.
TLS (15 minutes)
Dans le TP, nous allons manipuler une CA pour faire du HTTPS (HTTP sur TLS). TLS permet l'authentification mutuelle, une bonne explication ici
