PKI (Public Key Infrastructure) est une infrastructure de services de sécurité qui permettent aux groupes d'utilisateurs à utiliser des communications sécurisées par l'utilisation de mécanismes de sécurité clé publique. Ces mécanismes entrent dans trois grandes catégories qui sont le cryptage, l'authentification et échange de clé sécurisé.
Toute organisation qui décide de mettre en œuvre des ICP doit d'abord créer une politique de sécurité large organisation énumérant les actifs à protéger, le niveau de sécurité à leur accorder les immobilisations, les protocoles de sécurité à adopter et qui était responsable de la mise en œuvre et le suivi de ces mesures de sécurité. Le document mettra l'accent sur les mécanismes qui devraient être mises en œuvre et où. Stockage sécurisé doit être identifiée dans le but de stocker des informations de clé publique et une autorité de certification de sécurité doit être sélectionnée, ou une autorité de certification interne doit être identifiée. IPSec elle-même identifie les protocoles pour l'échange sécurisé de données mais PKI identifie tous les aspects des mécanismes de sécurité.
La fiducie pour les échanges de communication sécurisée est activée par l'utilisation d'une tierce partie qui sont normalement tenue de fournir des signatures numériques pour certifier que les deux parties prenant part à l'échange de données sont justifiées. Cela nécessite que les deux parties doivent s'entendre sur l'utilisation de l'autorité de certification et de reconnaissent l'utilisation des signatures numériques. Il y a de nombreux CAs (autorités de Certification) à choisir d'et les deux parties doivent s'entendre sur l'utilisation d'une autorité de certification spécifique.
La SCS enregistrera et certifier les signatures numériques de leurs abonnés de client grâce à une clé privée utilisée pour signer le certificat numérique...
Un donneur d'ordre commence la vie d'un certificat en prenant une liste des données personnelles et de signer avec sa clé privée. Il est envoyé à l'autorité de certification qui ajoute des détails de sa date de validité/heure, durée de vie et un numéro de série que qui elle signe ensuite avec sa propre clé privée. Le certificat certifié est ensuite retourné à l'expéditeur qui peut l'utiliser pour ajouter des transactions à vérifier son authentification. Si à tout moment, l'expéditeur d'informations soient échangées soupçonne qu'un certificat numérique a été compromis, l'auteur choisira normalement un nouveau jeu de clés pour produire un nouveau certificat, mais doit premier révoquer le premier set de clés en demandant que le CA ajoute le certificat compromis à la liste de révocation.
Il existe de nombreux systèmes de sécurité propriétaires disponibles qui offrent un bon service sécurisé, mais il peut être utile d'envisager l'utilisation d'ICP ouvertes qui sont des normes qui sont fournisseur indépendant et donc ne pas attacher une organisation à un seul fournisseur.
Un ensemble commun de normes pour le stockage et la récupération des certificats de l'ICP sont la série X.500 de normes de l'UIT, X.509 étant la norme particulière pour certificat numérique services de répertoire. Cet ensemble de normes a été initialement conçu pour fonctionner avec les services d'Annuaire OSI mais est également accessibles via IP (Internet Protocol).
Les éléments suivants sont requis dans un certificat numérique X.509 :
Version numéro du X.509 utilisé
Nul = version 1 (par défaut)
Numéro de série du certificat
Identificateur d'algorithme de signature
Nom de l'émetteur,
Validité validité,
Nom de l'objet,
Informations de clé publique sous réserve
Algorithme et la clé publique
Identificateur Unique émetteur optionnel,
Des informations spécifiques sur l'utilisation de X.500 et plus précisément des certificats numériques X.509 nous l'expliquerons dans un prochain article.