Supports de stockage des certificats
De nombreuses solutions de stockage des clés, énumérées ci- dessous, sont disponibles en fonction du niveau de sûreté désiré et de la nature de l’entité utilisatrice des clés (un utilisateur, un serveur, une composante de la PKI, etc.)
Disquette
Avantages : Pas d’acquisition de matériel dédié. Mobilité du support.
Inconvénients : Possibilité de substitution ou de réplication de la disquette. Fiabilité et pérennité du support.
Disque dur
Avantage : Pas d’acquisition de matériel dédié.
Inconvénients : Le niveau de sécurité dépend de la protection du poste de travail. Mobilité difficile.
Carte à puce
(intégrant généralement un module de calcul cryptographique)
Avantages : Les calculs sont faits dans la carte, la clé privée n’est alors pas exposée. Possibilité de lecteurs de cartes disposant d’un clavier : le code PIN n’est alors pas disponible en dehors du dispositif.
Inconvénient : Coût assez élevé.
Token sur port USB
Avantages : Dispositif dédié moins coûteux qu’une carte à puce (pas besoin d’équiper les ressources si elles possèdent un port USB). Les calculs sont faits dans le token, la clé privée n’est alors pas exposée.
Inconvénients : Port USB nécessaire. Pas de clavier dédié.
Module HSM
(Hardware Security Module)
Avantages : Equipement matériel dédié, protégé physiquement. Adapté à la génération et au stockage de données sensibles (par exemple Clé privée de la CA). Les calculs peuvent être faits dans le dispositif, les clés privées ne sont alors pas exposées. Calculs cryptographiques accélérés.
Inconvénients : Prix d’acquisition élevé. Dispositif fixe.
Carte PCMCIA
Excepté le fait que ces cartes sont mobiles, elles présentent les mêmes caractéristiques qu’un module HSM.
Avantage : Adapté au stockage de données sensibles sur des postes nomades.
Inconvénient : Possibilité de dérober le dispositif.
Le standard PKCS#11
Cryptographic Token Interface Standard (Cryptoki)
Afin de s’affranchir de l’hétérogénéité des différents périphériques contenant des informations cryptographiques, une interface de programmation (API) a été développée par les laboratoires RSA. Cette API dénommée PKCS#11 définit une interface permettant de communiquer avec des périphériques contenant une information cryptographique et d’effectuer des opérations cryptographiques.
PERSONNALISATION DES CARTES A PUCES
Afin de générer et de stocker la clé privée en lieu sûr, il est possible d’utiliser un support matériel, comme la carte à puce ou le token.
Dans un premier temps, les supports sont fabriqués de manière industrielle (étape de production). Le support doit être initialisé, via le chargement des programmes de bases sur sa puce électronique. Un fabricant spécialisé est généralement chargé de cette action en raison de sa spécificité. Il y a ensuite plusieurs étapes de personnalisation à réaliser.
Dans le cas d’une carte à puce, le support doit aussi être éventuellement personnalisé « graphiquement » (inscription d’un logo, du nom du porteur…).
Enfin, les clés peuvent être générées par la carte ou le token, puis les informations concernant le demandeur et le certificat émis par la CA sont inscrites sur la carte ou le token.
