Infrastructures de Gestion de Clés (IGC)
présentation générale | caractéristiques de sécurité | caractéristiques techniques
KEYNECTIS propose à ses clients la mise à disposition d'Infrastructures à Clés Publiques (ICP, IGC ou PKI en anglais) permettant le déploiement de certificats électroniques. Pour ce faire, KEYNECTIS a développé une technologie PKI : Sequoia.
KEYNECTIS entreprend aujourd'hui une démarche d'évaluation de la suite logicielle Sequoia. Elle est définie par trois composantes logicielles distinctes qui sont :
- Composante Keyseed : un module logiciel, hors ligne, qui assure les opérations de gestion du cycle de vie des AC à l'aide de ressource cryptographique (noté HSM). Le module logiciel Keyseed permet notamment la création des bi-clés d'AC, la signature des certificats, la signature des listes de révocation d'AC (LAR ou ARL en Anglais), l'importation et l'exportation de bi-clé d'AC et la création de clé secrète. Keyseed ne manipule pas de clé en claires. La manipulation des clés est effectuée à l'aide des fonctions du HSM que Keyseed active via des commandes Pkcs #11 ;
- Composante Trust.Center : ensemble de modules logiciels qui permet de formater des données et de mettre en œuvre des clés privées d'AC pour la signature de certificats électroniques de porteurs (humains ou machines) et de listes de certificats révoqués (LCR). La signature des certificats et des LCR est effectuée suite à une demande de certificat ou de révocation émise par une AE. Ce composant est donc connecté des AE qui sont matérialisées par K.Registration et par d'autres système d'information Client (SI Client) en utilisant le protocole XRMP ;
- Composante K.Registration : ensemble de modules logiciels qui permet de gérer des offres de certification pour le compte d'une AE. Une offre de certification permet de retranscrire techniquement les cinématiques procédurales (enregistrement, validation, remise de certificat, révocation, ….) définies pour le cycle de vie d'un certificat. Ces offres de certification sont mises en œuvre par des opérateurs d'AE. Il utilise Trust.Center auprès duquel il émet des demandes de certificat et de révocation en utilisant le protocole XRMP (via un proxy d'AE).
L'interaction entre les trois composantes figure sur le schéma ci-dessous :
Les configurations d'utilisation qui sont possibles - sous réserve des résultats de l'évaluation en cours - sont les suivantes :
- Keyseed tout seul : cette configuration permet de réaliser des cérémonies des clés pour des ACR et des AC et gérer les hiérarchies d'AC et leur cycle de vie, indépendamment de l'application d'IGC et à l'aide d'un module cryptographique (avec interface PKCS#11) qui va mettre en œuvre les clés privée d'ACR et d'AC ;
- Trust.Center avec K.Registration : cette configuration permet la gestion du cycle de vie des certificats de porteurs (humains ou machines). Cette configuration permet de mettre en œuvre et de gérer des certificats à l'aide d'AC et d'ACR qui ne sont pas gérées par le logiciel Keyseed ;
- Trust.Center seul : cette configuration permet de générer des certificats et des LCR (Liste de Certificats Révoqués). Ceci permet de gérer le cycle de vie de certificats dont l'authentification et l'identification des porteurs de certificat est faite soit directement auprès de Trust.Center soit auprès d'un service de gestion de certificat d'AC sous la maîtrise de l'utilisateur de Trust.Center. Cette configuration correspond au cas seules les AC qui génèrent les certificats de porteur de certificats sont gérées par le PSCO. Dans ce cas, une partie de la chaîne de certification n'est pas maîtrisée par KEYNECTIS, les certificats des AC de niveaux supérieurs doivent être importés dans le Trust.Center ;
- Trust.Center avec Keyseed : cette configuration permet de gérer des AC et de délivrer des certificats et des LCR à partir de demandes fournies par une AE qui utilise une autre composante logicielle que K.Registration. Dans ce cas, l'AE possède un système d'information qui est authentifié par le Trust.Center à l'aide d'un module logiciel fournit par KEYNECTIS (Client XRMP).
Certificat de sécurité
Niveau d'évaluation visé : Le niveau d'évaluation visé est EAL 4 augmenté du composant ALC_FLR.3.
L'évaluation Critères Communs de ce produit entre dans le cadre d'une qualification standard de la DCSSI (Processus de qualification d'un produit de sécurité – niveau standard – version 1.1 du 18 mars 2008, n° 549/SGDN/DCSSI/SDR).
La version des Critères Communs applicable est la version 3.1.
Services de sécurité
Les services génériques d'IGC tels qu'offerts par la suite logicielle Sequoia de KEYNECTIS peuvent se synthétiser de la manière suivante :
- Service de génération de bi-clés : ce service (service type centre d'élaboration de bi-clé, carte à puces, …) génère des bi-clés cryptographiques et les prépare en vue d'une distribution ultérieure à l'aide d'un support de bi-clé qui peut être logiciel ou matériel ;
- Service de génération des données d'activation de support de bi-clé(s) : ce service génère la ou les données d'activation qui sont utilisées par un type de support de bi-clés afin de protéger l'accès et la mise en œuvre de la ou des clés privées contenus dans ce support ;
- Service de personnalisation de support de bi-clés : ce service permet de personnaliser graphiquement et électriquement un support matériel ou logiciel de bi-clé cryptographique en fonction des données fournies par le service génération de bi-clés, le service génération de certificats et le service génération des données d'activation ;
- Service de séquestre et de recouvrement de bi-clés : ce service fournit la capacité de séquestrer de manière sécurisée les clés privées de confidentialité des porteurs de certificat, fournies par le service de génération de bi-clés, puis de les recouvrer en cas de besoin, sur la base de demandes authentifiées et traitées par le service de gestion des recouvrements ;
- Service d'enregistrement : ce service permet de récupérer, de vérifier et de valider des informations d'identification et/ou des autorisations, ainsi qu'éventuellement d'autres attributs spécifiques, avant de transmettre une demande de certificat au service demande de certificat. Ce service est mis en œuvre par une Autorité d'Enregistrement (AE) ;
- Service de demande de certificat : ce service crée une demande de certificat, à l'aide des informations fournies par les services enregistrement et génération de bi-clé afin de créer et de transmettre une demande de certificat au service de génération de certificat ;
- Service de génération de certificat : ce service génère (création du format, signature électronique avec la clé privée d'une AC) les certificats à partir des informations transmises par le service demande de certificat ;
- Service de remise d'éléments secrets au porteur : ce service remet les clés privées (support matériel des clés cryptographiques, clé privée, données d'activation, …) ;
- Service de retrait de certificat : ce service permet à un opérateur d'AE ou un porteur de certificat de pourvoir retirer un certificat généré par la TOE ;
- Service de révocation : ce service traite les demandes de révocation et détermine les actions à mener afin d'informer qu'un certificat n'est plus utilisable. Les résultats des traitements (génération d'une LAR, génération d'une LCR, avis, …) sont diffusés via la fonction d'information sur l'état des certificats ;
- Service de création et de gestion des rôles de confiance : ce service permet de créer et de gérer l'ensemble des rôles de confiance utilisés par la TOE pour la mise en œuvre des services de la TOE ;
- Service de publication : ce service met à disposition les informations (certificat et LCR) nécessaires au bon fonctionnement et à l'utilisation de l'IGC (la TOE) aux annuaires désignés et au service d'information sur l'état des certificats ;
- Service de journalisation et d'audit : ce service permet de collecter l'ensemble des données utilisées et ou générées par la TOE afin d'obtenir des traces d'audits, consultables par les utilisateurs de la TOE, relatifs aux services d'IGC mise en œuvre à l'aide de la TOE par les acteurs de la TOE.
Algorithme supporté
Le logiciel supporte les algorithmes cryptographiques asymétriques suivants : RSA (jusqu'à 4096), DSA.
Le hachage étant du SHA jusqu'à 512.
Cible de sécurité
La cible de sécurité sera publiée en fin d'évaluation. Elle est disponible sur demande auprès de la DCSSI.
Performance techniques
Le Trust.Center, employé seul, permet de traiter 1 million de demandes de certificat par jour et de délivrer jusqu'à 30 certificats par seconde.
Le K.Registration utilisé avec le Trust.Center, permet de traiter plusieurs dizaines de milliers de demandes de certificat par jour.
Environnement d'utilisation
Machine support Sequoia
Les machines supports pour la mise en œuvre de Sequoia sont des serveurs SUN ou HP (Linux ou Solaris)
Ressources cryptographiques compatibles
Les ressources cryptographiques (HSM) utilisables par Sequoia sont :
|
|
OS Linux Red Hat ES |
OS Solaris |
|
Ressource cryptographique Luna SA |
OK |
OK |
|
Ressource cryptographique Luna PCI |
OK |
OK |
|
Ressource cryptographique Bull Trustway |
OK |
Non disponible. |
Interopérabilité avec d'autres systèmes
La suite logicielle Sequoia permet de générer des certificats, des clés et des LCR électroniques, aux formats Pkcs#12, Pkcs#10 et Pkcs#7, conformément au standard (RFC 5280) et à la norme ISO (X509).
La suite logicielle Sequoia permet d'utiliser des ressources cryptographiques qui communiquent suivant les spécifications Pkcs #11.
Informations technico-commerciales
SEQUOIA est commercialisé sous forme de licence logicielle associée à une maintenance corrective / évolutive. Trois éditions existent, s'appuyant sur un ensemble de modules communs :
- L'édition « Corporate Security » proposant un package simple à déployer et contenant les principales fonctions de sécurité nécessaires au SI de l'entreprise (SSL, S/MIME avec recouvrement de clés, IPSEC / SCEP, Smart Card Logon, interfaces LDAP, …) ;
- L'édition « e-ID » proposant des configurations dédiées aux programmes de déploiement en masse d'identités électroniques, tels que passeports électroniques, cartes d'identités (ICAO CSCA, ICAO DS, PKI EAC, Générateurs de clés, haute disponibilité multi-site, OCSP de masse et delta CRL) ;
- L'édition « Trust Operator » couvrant l'intégralité des fonctions de la suite dans une configuration multi-clients, elle s'adresse aux opérateurs commerciaux ou de très grandes organisations qui désirent opérer un service de PKI mutualisé au profit de plusieurs clients logiquement indépendants.
Les prix de licence sont fonction des configurations matérielles supportant l'IGC ainsi que de l'ensemble des fonctionnalités choisies (pas de prix à l'utilisateur).
Pour tout renseignement complémentaire, contacter :
Contact commercial : De Valroger Thibault (thibault.de.valroger <at> keynectis.com)
Contacts techniques : Blancher Rémi (rémi.blancher <at> keynectis.com)
et Bogatirsky Jérémy (jeremy.bogatirsky <at> keynectis.com).
