Contenu
- Qu'est-ce que l'ICP?
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- Avantages et inconvénients de l'infrastructure à clé publique
- L'avenir de l'ICP
À emporter:
La complexité et les coûts initiaux de l’ICP ont découragé plusieurs organisations de s’y prendre, mais beaucoup d’autres grandes entreprises sont en transition.
Tout est connecté. Les iPad, iPod, iPhone et même les téléphones fixes sont tous connectés à cette frontière relativement nouvelle que nous appelons Internet. L'accessibilité à l'information est devenue tellement banale que, chaque fois que les circonstances empêchent une personne de vérifier son compte, une vérification de compte ou une page à la demande, la réaction bien trop commune s'apparente à une personne qui perd temporairement l'usage d'un bras ou d'une jambe. Au début, l'incrédulité s'installe, puis la panique et une détermination à part entière de retrouver cette connexion.
Mais si notre désir de rester en contact est probablement naturel, cela soulève également certaines inquiétudes quant à la sécurité. Après tout, si tous les comptes mentionnés ci-dessus sont disponibles pour l'utilisateur final 24 heures sur 24, 7 jours sur 7, pourraient-ils également l'être pour des escrocs? De plus, la sécurité de ces comptes est en grande partie hors de notre contrôle; vous pouvez utiliser toute la diligence requise dans le monde pour assurer leur sécurité, mais qu'en est-il de la personne qui exploite le serveur à l'autre bout?
Dans le secteur de la sécurité, de nombreuses tentatives ont été menées pour répondre à ces préoccupations. L'infrastructure à clé publique (PKI) est une clé importante de cette exploration. Dans quelle mesure vos données sont-elles sûres? Nous examinons ici de manière plus approfondie la technologie PKI conçue pour la protéger. (Pour en savoir plus sur les clés de chiffrement, voir 10 Meilleures pratiques pour la gestion des clés de chiffrement et la sécurité des données.)
Qu'est-ce que l'ICP?
L'infrastructure à clé publique est cet ensemble de matériel, logiciels, personnel et autres entités impliquées dans la communication via des certificats numériques. Plus spécifiquement, une partie importante de la PKI est un concept appelé cryptage à clé publique (PKE). C’est l’épine dorsale de l’ICP, un peu comme les moteurs à combustible sont l’épine dorsale de l’industrie automobile; Le PKE est le composant essentiel au bon fonctionnement de l’ICP.
Outre les analogies colorées, qu'est-ce que PKI / PKE et comment peut-il fournir une solution de sécurité? Bonne question. Le chiffrement à clé publique (parfois appelé cryptographie à clé publique) consiste à authentifier et à chiffrer des données via l'échange de clés publiques. Ces clés publiques sont généralement appelées certificats numériques. Ils ont une relation mathématique avec la clé privée de l'utilisateur final, généralement basée sur l'algorithme cryptographique Diffie-Hellman ou l'algorithme RSA, dans laquelle la formule suivante constitue le point de départ pour l'échange de clés publiques entre deux parties souhaitant communiquer. à distance:
(UN B)C mod N
Où:
A = utilisateur final 1
B = utilisateur final 2
C = clé de session
N = nombre premier
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
Une fois la relation mathématique établie et les clés publiques échangées entre deux parties ou plus, les communications cryptées peuvent (du moins théoriquement) être échangées. De plus, toutes les parties concernées peuvent (à nouveau, théoriquement) s'authentifier mutuellement via des signatures numériques.
Cela semble si simple, n'est-ce pas? Sérieusement, l’ICP est plutôt efficace lorsqu’elle est utilisée dans des environnements où un petit nombre d’utilisateurs communiquent entre eux, mais certains problèmes importants se posent lors de la mise en œuvre de l’ICP au sein d’une entreprise. (Pour plus d'informations sur la sécurité Internet, reportez-vous à la section 9 Conseils pour protéger votre utilisation d'Internet.)
Avantages et inconvénients de l'infrastructure à clé publique
Lorsqu'elle est mise en œuvre correctement, l'infrastructure à clé publique peut fournir un niveau de sécurité qui ne peut être facilement égalé par d'autres solutions de sécurité. L'un des principaux avantages de la PKI qui permet d'atteindre ce niveau de sécurité est un concept appelé non répudiation. En ce qui concerne la sécurité du réseau, la non-répudiation fait simplement référence à l’idée que deux utilisateurs ou plus souhaitant communiquer entre eux en toute sécurité n’ont pas à échanger de clés secrètes, de mots de passe, de poignées de main secrètes ou autre chose qui serait autrement nécessaire pour déchiffrer un fichier. Cette propriété est due en grande partie aux algorithmes cryptographiques susmentionnés qui créent la relation mathématique entre les paires de clés publique et privée. Fondamentalement, chaque utilisateur final est responsable de la confidentialité de sa clé privée, alors que d'autres solutions de sécurité gèrent des référentiels centraux dans lesquels sont stockées des clés secrètes, des mots de passe et d'autres informations sensibles.
Le principal inconvénient de l’ICP est généralement la surcharge du réseau. La surcharge réseau associée à l'infrastructure à clé publique est considérable par rapport à d'autres solutions de sécurité. Par exemple, les algorithmes susmentionnés dans lesquels des paires de clés publique et privée sont générées et échangées peuvent parfois consommer de grandes quantités de ressources réseau.
L'ICP implique également beaucoup plus que le simple échange de clés publiques et privées. Par exemple, les listes de révocation de certificats (CRL) doivent être gérées afin de pouvoir suivre correctement les certificats valides et non valides. Dans un environnement d'entreprise typique, une certaine rotation du personnel est une réalité, et les administrateurs de la sécurité doivent disposer d'un moyen de rester au courant des personnes qui sont autorisées ou non à accéder au réseau. Si un emploi d'utilisateur final est résilié au sein d'une organisation donnée, son seul sens commun est que cet accès réseau des employés soit révoqué. Mais ces CRL doivent être stockées et gérées quelque part, ce qui signifie - vous l’aurez deviné - que davantage de ressources réseau sont utilisées.
L'avenir de l'ICP
À l'heure actuelle, l'infrastructure à clé publique n'est pas considérée comme une petite tâche à mettre en œuvre dans le secteur privé. La complexité de l’ICP, associée à son coût initial, a découragé plusieurs organisations de s’engager dans cette voie. Cependant, le département de la Défense a effectué une transition bien documentée vers l'ICP au cours des dernières années, consacrant beaucoup de temps et d'argent à cet effort. Ajoutez à cela le nombre d’entreprises privées qui dépendent du secteur de la sécurité de l’information du gouvernement et il est facile d’avoir l’impression qu’il existe une certaine permanence à l’ICP.
Alors, est-ce que PKI est là pour rester? Cela semble certainement être le cas, et le seul scénario susceptible de provoquer un renversement de trajectoire impliquerait la découverte, l’exploitation et la publication d’une faille de sécurité.