Passer au contenu

nShield 300 SCSI protège les clés de certification

Pour protéger les clés privées authentifiant les membres d’une PKI, nCipher les enferme dans un serveur dédié invisible du réseau.

Le boîtier nShield 300 SCSI du constructeur britannique nCipher a pour vocation de protéger, comme le ferait un coffre-fort, les clés de chiffrement privées, fournies par les autorités de certification qui garantissent l’authenticité des serveurs dans une infrastructure à clé publique (PKI). “Pour être exploitée, une clé privée doit, en effet, être déchiffrée ; elle apparaît donc en clair dans la mémoire du serveur, ce qui la rend très vulnérable “, avertit Éric Naegels, directeur technique de nCipher France. Selon lui, pour l’obtenir, un simple script téléchargeant la mémoire du serveur suffit. La parade du constructeur consiste à retirer au serveur la gestion des clés privées, pour la confier à un boîtier dédié dépourvu de système d’exploitation. Pour renforcer son caractère inattaquable, ce serveur dédié coffre-fort se connecte uniquement par un lien SCSI au serveur pour lequel il gère la PKI. Le nShield 300 SCSI est ainsi complètement invisible du réseau, puisqu’il n’apparaît à aucun moment comme une ressource, même au niveau du bus SCSI (aucun LUN déclaré).

Plusieurs cartes à puce chiffrent la configuration

Ce type de connexion lui permet également d’offrir une redondance entre les boîtiers nShield, qui peuvent prendre en charge – en commun, telle une grappe de serveurs – la gestion d’une clé privée, par exemple pour un site de commerce électronique. Dernier niveau de protection : la configuration du boîtier n’est accessible qu’après insertion d’une ou de plusieurs cartes à puce, qui contiennent chacune un morceau d’une clé privée spécifique à chaque boîtier.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Paul Philipon-Dollet