X509

De Wiki info-lab.fr
Aller à : Navigation, rechercher

Présentation

Pour un présentation de X509 consulter l'article correspondant X509 sur Wikipedia
En résumé X509, partie de la norme X500, est un cadre fournissant les moyens d'authentification en définissant notamment un format de certificats et une chaîne de vérification.

Utilisation de X509

L'authentification X509 peut être utilisée de 3 manières différentes  :

  1. Authentification à sens unique : A --> B

Cette authentification prouve à B que A est bien l'émetteur du message, que le message est bien destiné à B, que le message n'a pas été altéré et qu'il n'a pas été envoyé plusieurs fois (anti-rejeu). Pour cela A doit inclure un horodatage dans le message, une nonce (avec date d'expiration), définir l'identité du destinataire B (Optionnellement A peut ajouter une clé de session et la chiffrer avec la clé publique de B) et signer le tout avec sa clé privée.

  1. Authentification à double sens : A --> B puis B --> A

Cette authentification prouve tout ce qui est déjà défini dans l'authentification à sens unique en ajoutant : Vérification de l'identité de B par A, et dans la réponse au message vérification que B est bien l'émetteur de la réponse, que A est bien le destinataire de la réponse, et enfin que la réponse est intègre et n'a pas été rejouée. Pour cela A doit inclure un horodatage dans le message initial, une nonce (avec date d'expiration), définir l'identité du destinataire B,(Optionnellement A peut ajouter une clé de session et la chiffrer avec la clé publique de B) et signer le tout avec sa clé privée ; dans la réponse B doit inclure un horodatage, reporter la nonce choisie par A pour valider la réponse, inclure lui aussi sa nonce (avec date d’expiration), définir l'identité de A (Optionnellement B peut ajouter une clé de session et la chiffrer avec la clé publique de A) et signer le tout avec sa clé privée.

  1. Authentification à triple sens : A --> B puis B --> A puis A --> B

En plus de la mise en oeuvre de l'authentification à double sens, un troisième message est émis de A vers B ; ce message contient une copie de la nonce de B signée par A. Puisque les 2 nonces sont répétées par les vis-à-vis on peut s'affranchir des problèmes de synchronisation d'horloge tout en évitant le rejeu.

X509 v3

X509 pose plusieurs problèmes :

  • champ sujet trop court et manque de détails pour identifier l'utilisateur
  • dans le sujet manque la possibilité de mettre une URL ou une adresse de messagerie
  • pas de possibilité d'associer le certificat à une politique de sécurité ou une fonction (IPsec par exemple)
  • pas de possibilité de limiter l'usage d'un certificat en particulier
  • pas de possibilité d'identifier différentes clés utilisées par le même propriétaire à différentes heures

...

Solution : plutôt que de continuer à ajouter des champs fixes au format de certificats X509, ajout d'un certain nombre d'extensions facultatives. Les extensions X509 v3 concernent les champs de 3 catégories :

  • informations de clés et de politique
  • attributs du sujet
  • attributs de l'émetteur du certificat
  • contraintes du chemin de certification

Chaque extension v3 contient les informations suivantes :

  • identification d'extension
  • indication d'état critique (indique si une extension peut être ignorée sans risque : si la valeur critique est vraie et que l'implémentation n'identifie pas cette extension, elle doit traiter ce certificat comme incorrect et le rejeter)
  • valeur d'extension
Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Outils