Mettre en place une PKI

S'abonner :

Newsletters

Magazines

01men.

La sécurité en open source

Mettre en place une PKI
Seul le projet libre d'IdealX est opérationnel. Chiffrement, signature électronique, SSO... Les technologies libres sont à même de créer une PKI à moindre coût et aux performances équivalentes à celles des solutions propriétaires.

Saiz , Décision Micro (n° 518), le 09/09/2002 à 00h00

Derrière le sigle galvaudé de PKI (Public Key Infrastructure, infrastructure à clé publique) se cache une suite d'outils capables de générer, de contrôler et d'utiliser des certificats numériques standards. Toute l'intelligence d'une telle infrastructure n'est pas dans les logiciels, mais dans le conseil lors de son intégration aux processus de l'entreprise. Un tel modèle correspond parfaitement au monde des logiciels libres, dans lequel on paie pour l'expertise humaine, et non pour les logiciels.

Toutes les briques sont disponibles en open source

C'est notamment le positionnement de la société française IdealX, qui propose la seule PKI open source vraiment opérationnelle à ce jour. IdealX a fait le choix de n'utiliser que des briques libres, qu'elle modifie à volonté et assemble par le biais d'un développement en Perl (également un langage disponible en open source). Et le résultat de tous ces travaux est bien sûr reversé à la communauté des logiciels libres.

Pourquoi avoir choisi ce modèle pour créer une PKI ? " L'open source résout les problèmes de façon souvent très claire, ouverte et transparente, et permet de se concentrer sur le côté organisationnel, qui est vraiment au coeur du problème " , répond Benoît Picaud, consultant sécurité chez IdealX. Sans compter qu'en utilisant des briques déjà existantes et ayant fait leurs preuves, la société a pu bâtir sa PKI en un temps record. Car tous les ingrédients d'une PKI fiable sont déjà disponibles dans la communauté open source. Installé sur un système d'exploitation libre (Linux ou OpenBSD), le serveur web Apache ( www.apache.org ), associé au module ModSSL ( www.modssl.org ), sert de pivot à l'ensemble.

La génération des certificats est assurée par OpenSSL ( www.openssl.org ), la bibliothèque cryptographique libre. Ces certificats, au format standard X.509, peuvent alors être stockés dans un annuaire OpenLDAP ( www.openldap.org ), libre lui aussi. Enfin, pour consulter l'ensemble, signer des courriers électroniques ou assurer des échanges sécurisés, Mozilla ( www.mozilla.org ) remplacera avantageusement n'importe quel navigateur propriétaire.

L'ensemble des fonctions relié grâce à Perl

Bien sûr, tout cela manque cruellement d'interface et de consoles d'administration. Et c'est là qu'intervient le travail d'IdealX, qui enrobe le tout grâce à Perl. La souplesse des logiciels libres permet en outre d'adapter très finement chaque PKI à son environnement particulier (applications métier, contraintes spécifiques, etc.).

Les certificats ainsi créés par une telle PKI open source (ou même tout simplement OpenSSL utilisé seul) disposent de tous les champs nécessaires pour faire du chiffrement, de la signature ou de l'authentification, et ne diffèrent en rien de ceux générés par une PKI propriétaire. En cela réside tout l'intérêt des standards tels que X.509 (format des certificats), PKIX (standards PKI), PKCS (description de formats cryptographiques) et autres S/Mime (extension sécurisée du protocole de courrier Mime) : tant qu'ils sont respectés, leur mise en oeuvre ne diffère pas entre deux fournisseurs, qu'ils soient libres ou propriétaires.

Concrètement, une PKI libre va ainsi permettre de pratiquer le webSSO (authentification unique sur le web) de manière extrêmement simple. Les certificats générés par OpenSSL sont tout d'abord installés sur le serveur et les postes clients, afin d'authentifier systématiquement chaque protagoniste. Il reste ensuite à déterminer les droits de chaque utilisateur, une fois qu'il s'est connecté. À cette fin, l'annuaire OpenLDAP stocke les profils et se connecte directement avec le serveur web Apache grâce aux modules modLDAP et AUTH-LDAP, libres eux aussi. Pour le client, toute la procédure est transparente.

Un accès sécurisé aux applications métier

Sur le LAN, il est en outre possible de s'intégrer au processus de login de Windows NT ou 2000 en remplaçant une bibliothèque standard, ou d'utiliser tout simplement les certificats X.509 pour les applications qui reconnaissent ce format.

Dans les cas plus extrêmes (applications métier totalement fermées), un proxy matériel pour Linux servira d'interface entre l'application propriétaire et la PKI : il procédera d'un côté à l'authentification par certificat et la négociera de l'autre avec l'application, selon les termes qui lui sont propres. Mieux : en changeant à chaque accès le mot de passe propriétaire, le proxy renforce sa sécurité.

Le principal reproche formulé à l'encontre d'une PKI open source est son manque de raffinement. " C'est une collection de scripts au-dessus du composant OpenSSL " , résume Guillaume Malgras, consultant sécurité pour le groupe Telindus. Une brèche dans laquelle s'engouffrent les éditeurs de PKI propriétaires, en proposant des options, souvent bien pratiques, de délégation de certificat, d'historique des clés, de renouvellement automatique des certificats ou de transfert d'un utilisateur vers une nouvelle Autorité de certification. Ils se fondent aussi très souvent sur des programmes de certification stricts, inaccessibles aux projets open source (lire encadré), ou sur des partenariats avec d'autres éditeurs logiciels. Leur objectif est d'assurer l'intégration immédiate et sans souci de leur PKI à de nombreux produits du marché, afin de fournir des solutions métier clés en main.

En outre, IdealX PKI - seul projet open source réellement opérationnel, rappelons-le - pèche encore sur la reconnaissance de nouveaux formats, tels l'OCSP (Online Certificate Status Protocol), qui facilite le contrôle de la validité d'un certificat, ou encore le TSP (Time Stamp Protocol), qui assure l'horodatage.

L'intégration des boîtiers cryptographiques est difficile

Notons cependant pour sa défense que les PKI propriétaires ne sont guère plus avancées dans ce domaine. Même si elles les proposent parfois, ces nouveaux protocoles sont tout sauf réellement acceptés.

Concrètement, d'un point de vue purement technique, la seule réelle faiblesse de la PKI open source est sa difficulté à intégrer les matériels cryptographiques (gestion du cycle de vie des cartes, protection de la clé racine...). Pour le reste, elle permet de mettre en oeuvre les mêmes certificats, les mêmes RPV (réseau privé virtuel), les mêmes applications de contrôle d'accès, de chiffrement ou de signature des e-mails qu'une PKI propriétaire. À une fraction du prix de cette dernière.

Les composants d'une PKI libre

1 . Tous les serveurs et proxy d'une PKI libre peuvent fonctionner avec Linux ou, dans le cas des autorités, avec OpenBSD, plus sécurisé.

2 . La bibliothèque OpenSSL permet la création d'une usine à certificats.

3 . Le serveur web Apache peut fournir les services pour l'interface avec l'autorité de certification par le biais de ModSSL et vers l'annuaire (pour du webSSO) grâce aux modules AuthLDAP.

4 . L'annuaire OpenLDAP stocke les profils et les certificats.

5 . Pour les utilisateurs, le navigateur Mozilla assure une navigation sécurisée (SSL) et la signature des e-mails.

Cliquez ici pour agrandir l'image

" Nous proposons des solutions métier "

Benoît Mangin , directeur général d'Entrust France.

Quels atouts revendiquez-vous face aux PKI libres ? a force d'une PKI comme la nôtre, c'est le programme Entrust Ready, qui permet d'y intégrer facilement les produits de grands noms tels SAP ou PeopleSoft. Leurs solutions fonctionnent directement avec notre infrastructure. Nos clients sont sensibles à cette facilité d'intégration de la PKI aux solutions applicatives. Et ainsi, nous pouvons proposer des solutions métier prêtes à l'emploi, tout en envisageant l'arrivée de la PKI dans des structures plus réduites. Les certifications détenues par les PKI commerciales sont-elles accessibles à une PKI libre ? Cela me paraît difficile. Pour recevoir des labels de qualité officiels tels que FIPS 140-1 level 2, que nous détenons, il est nécessaire de répondre, entre autres, à des critères très stricts dans le processus de développement de la solution. Et il semble difficile d'appliquer de telles contraintes aux développements open source, puisqu'ils sont l'oeuvre de développeurs individuels répartis dans le monde entier.

" Notre PKI est utilisée par 2000 personnes "

Jean-Luc Archimbaud , directeur adjoint de l'unité réseau du CNRS.

Pourquoi avoir choisi une PKI en open source ? Pour sa souplesse. Nous avions besoin de plusieurs centaines d'Autorités d'Enregistrement, mais aucune PKI commerciale ne peut en gérer plus d'une. L'autre critère était la facilité d'accès : il fallait que tout, de la demande du certificat à sa délivrance, en passant par son contrôle, se fasse à l'aide d'un navigateur. Ce n'était pas non plus le cas des PKI commerciales. Et, bien sûr, le coût à joué un rôle important : ce sont vraiment des produits chers par rapport au nombre de lignes de code ! Comment avez-vous créé votre PKI ? Nous sommes partis d'un Linux Red Hat standard, et des briques traditionnelles que sont OpenSSL, le serveur web Apache et OpenLDAP. Le tout est lié avec du Perl. Techniquement, ce n'est pas très difficile à faire. Cela nous a demandé une année/ homme de réalisation. Mais le plus compliqué n'est pas la technique, c'est la réforme de l'organisation qui va avec le déploiement d'une PKI. Quel avenir pour votre PKI maison ? Aujourd'hui, nous avons une PKI parfaitement adaptée à nos besoins. Elle est utilisée par 2000 personnes pour du contrôle d'accès et de la signature. À terme, plus de 70 000 employés l'utiliseront. Notre souci est maintenant d'assurer la pérénité du code. Nous envisageons pour cela de verser notre PKI dans la communauté open source.

" La PKI libre est idéale pour les petites structures "

Guillaume Malgras , consultant sécurité pour le groupe Telindus.

Comment est née la PKI open source ? Les vendeurs de PKI ont abordé ce marché en vendant leurs solutions très cher, alors que techniquement il n'est pas très difficile de faire une PKI. Ils vendaient cela au prix des PGI, alors que créer une PKI demande beaucoup moins de travail. Le mouvement open source a réagi en créant les outils nécessaires pour faire la même chose à moindre coût. Aujourd'hui, les vendeurs de PKI se sont calmés sur les prix, mais la PKI open source est toujours là. Quelles sont les différences techniques entre les PKI libres et commerciales ? Avec une PKI libre telle que celle d'IdealX, on ne peut pas, par exemple, mettre de boîtier cryptographique pour protéger la clé racine aussi facilement qu'avec une PKI commerciale. Et puis, bien qu'elle offre absolument toutes les fonctions essentielles, beaucoup de choses restent à faire manuellement dans une PKI libre. Surtout pour la gestion des processus de vie du certificat, l'interface, la délégation d'administration ou la définition de profils distincts. Tout cela peut être réalisé en open source par la suite, par un prestataire de services, mais il faut bien en évaluer le coût. Quel avenir pour une PKI libre ? C'est l'idéal pour des petites structures, jusqu'à quelques centaines d'utilisateurs. Elles disposent alors de toutes les fonctions d'une PKI standard, avec des certificats qui offrent tous les champs pour faire du chiffrement, de la signature électronique, etc.