Partenariats

Les PKI sont utilisées pour identifier les appareils qui se connectent à un réseau et fournir un moyen de communication sécurisé entre ces appareils. Les appareils reçoivent une accréditation cryptographique (un certificat numérique) qui identifie l’appareil et son fabricant.

Les noms d’utilisateur et les mots de passe sont destinés à des utilisateurs humains et posent de nombreux problèmes de sécurité, notamment lorsqu’ils sont impliqués dans la gestion de la sécurité à grande ou moyenne échelle. Il est possible de saisir un nom d’utilisateur et un mot de passe pour 10 appareils, mais pas pour 10 000. En outre, les mots de passe peuvent être plus facilement compromis que les certificats numériques.

Un certificat de test ne peut être utilisé que dans le domaine d’un environnement de test. Les certificats de test sont générés en utilisant le même format et les mêmes algorithmes que la PKI de production, mais ils n’ont pas la documentation et la rigueur de sécurité nécessaires pour une PKI de production. L’objectif des certificats d’essai est de tester les fonctionnalités avant la mise en production des appareils. C’est une bonne pratique pour toute entreprise utilisant une PKI de faire des tests avant de passer à la production.

L’autorité d’approbation des politiques est généralement le propriétaire de la mise en œuvre de la PKI et définit les politiques et les exigences pour les entités et leurs dispositifs qui seront membres de l’écosystème. L’autorité d’approbation peut être un groupe de normalisation ou un grand fabricant.

L’autorité d’enregistrement agit au nom de l’autorité d’approbation pour mettre en œuvre et appliquer les politiques et les exigences de la PKI pour cet écosystème. L’autorité d’enregistrement vérifiera les informations sur les entreprises et l’identité des utilisateurs qui s’inscrivent dans l’écosystème et vérifiera également le statut de certification (si nécessaire) des entreprises et des produits qui se connecteront à l’écosystème. L’autorité d’enregistrement s’occupe de la gestion administrative de la PKI de l’écosystème.

Une autorité de certification agit de concert avec l’autorité d’enregistrement pour implémenter la PKI et l’infrastructure de sécurité afin de créer les certificats numériques que les membres de l’écosystème utiliseront pour y accéder. L’autorité de certification constitue la fonction d’exploitation et d’ingénierie de la PKI de l’écosystème.

Vous pourriez, mais les certificats SSL/TLS sont conçus pour le cas d’utilisation spécifique de l’authentification de navigateur à serveur pour le commerce sur le web, et non pour la sécurité des dispositifs IdO. Ces certificats ont une courte durée de vie (1 à 2 ans) et utilisent généralement le chiffrement RSA, qui utilise des longueurs de clé de 2 048 ou 4 096 bits. Les appareils de l’IdO n’ont généralement pas la puissance de stockage ou de calcul nécessaire pour ces types de certificats et utilisent généralement la cryptographie à courbe elliptique (ECC), qui produit des longueurs de clé beaucoup plus courtes. L’ECC avec une longueur de clé de 256 bits est à peu près identique à la RSA avec des clés de 3 072 bits.

La PKI a été conçue dans un souci d’évolutivité. Par exemple, l’industrie de la télévision par câble utilise la PKI depuis près de 20 ans pour des centaines de millions d’appareils. Ces certificats de PKI sont utilisés pour vérifier de manière cryptographique tout, de la conformité aux normes DOCSIS à l’éligibilité des utilisateurs pour les services. Contrairement aux clés symétriques utilisées dans l’industrie mobile, la PKI nécessite une structure de gestion des clés assez simple, même pour les grands écosystèmes multifournisseurs contenant des millions d’appareils.

Les racines publiques sont utilisées pour les certificats SSL/TLS lorsque vous disposez d’un écosystème public/ouvert comme le World Wide Web pour les navigateurs et les hôtes web. Les racines privées sont créées par des groupes de normalisation ou des entreprises privées où l’accès à l’écosystème est fermé ou restreint en fonction de la satisfaction d’exigences précises. Selon l’écosystème, des tests de certification de conformité peuvent être exigés avant de recevoir les certificats qui permettent l’accès aux écosystèmes privés de la PKI.

La réponse à cette question dépend de vos ressources internes et des exigences de l’autorité d’approbation en matière de politique de sécurité. Dans la plupart des cas, il est beaucoup plus économique et plus sûr de confier l’exploitation de votre PKI à une entreprise spécialisée dans ce domaine. Pour déployer et exploiter correctement une PKI, il faut une quantité importante de documentation et de gestion des processus pour garantir que l’accès aux clés de signature et aux systèmes de génération de certificats est étroitement contrôlé. Dans certains écosystèmes, la soumission à des audits par des tiers est nécessaire pour fournir la preuve de la conformité à la politique de sécurité. Pour la plupart des entreprises, cette fonction nécessiterait des frais généraux importants à maintenir sur une longue période, et c’est pourquoi tant d’entreprises externalisent leur PKI.

Les connexions réseau entre deux entités sont rarement directes. La plupart du temps, les connexions se font sur plusieurs bonds entre les serveurs et les commutateurs des deux parties. Souvent, la connexion entre les bonds est cryptée et sécurisée, mais à chaque bond, les données sont décryptées, recryptées et envoyées au bond suivant. Le cryptage et la sécurité de bout en bout impliquent une couche au-dessus de la couche réseau/TLS où une authentification supplémentaire a lieu, de sorte que la couche de cryptage est établie entre les deux points d’extrémité. Pendant le transit, les données sont doublement cryptées, de sorte que même si elles sont décryptées à chaque bond, il existe encore une autre couche de cryptage.

Les termes « cryptage » et « sécurité » sont souvent utilisés de manière interchangeable, mais ils sont en fait très différents. Le cryptage a une fonction cryptographique très spécifique, qui consiste à empêcher l’écoute des transmissions entre les parties. Ce que le cryptage ne fait pas bien, c’est identifier avec qui vous communiquez. L’authentification remplit une fonction cryptographique distincte, qui consiste à vérifier l’identité. Grâce à l’utilisation de la PKI (ci-dessus), une chaîne de confiance de signatures numériques peut être établie de sorte que lorsqu’un appareil présente son certificat, vous pouvez être certain de manière cryptographique avec qui votre appareil communique.

L’un des principaux avantages d’une PKI gérée est que chaque certificat est identifiable de manière unique et que le contrôle d’accès peut être géré jusqu’au dispositif individuel. La révocation et la gestion individuelle des appareils représentent l’un des principaux avantages de l’utilisation d’une PKI gérée.

Une politique de certification est un document qui décrit les exigences de sécurité et de processus autour de la gestion de la PKI d’un écosystème. La politique de certification spécifie tout, du format des certificats (profils) à la sécurité physique impliquée dans la protection des clés privées racine et sous l’autorité de certification. En outre, la politique de certification définit le processus et les exigences concernant la révocation des certificats, ainsi que la durée de vie et le cycle de vie des certificats. L’objectif d’une politique de certification est de garantir qu’un ensemble cohérent de politiques et de procédures peut être appliqué à tous les membres d’un écosystème et que le respect de ces processus peut être audité et vérifié de manière indépendante.

La cryptoagilité est la capacité à appliquer de bonnes pratiques de sécurité dans un large éventail d’applications et de secteurs. Chaque cas d’utilisation et chaque secteur vertical a ses propres exigences de fabrication, sa propre chaîne d’approvisionnement et ses propres besoins commerciaux.

Comme pour un passeport ou un permis de conduire, un certificat numérique fournit une preuve d’identité et un moyen de contrôle d’accès. De même, ces titres ont tous une durée de vie limitée, de sorte qu’ils se périment au bout d’un certain temps et que le titulaire doit reconfirmer son identité et sa conformité aux spécifications avant qu’un nouveau titre ne lui soit délivré, un peu comme vous devez renouveler votre carte d’identité régulièrement. La gestion de la délivrance et du renouvellement des certificats numériques est essentielle au maintien de l’intégrité de l’écosystème.

La PKI est un moyen de faire respecter les exigences relatives aux écosystèmes. Dans de nombreux écosystèmes, vous ne pouvez pas accéder à la PKI de production et recevoir des certificats tant que votre entreprise et votre produit n’ont pas passé la certification. Par conséquent, le certificat numérique ne sert pas seulement de preuve d’identité pour un appareil ; il peut simultanément servir de preuve de conformité aux spécifications. En outre, il est tout à fait possible qu’un même appareil ait plusieurs certificats qui sont utilisés pour vérifier l’identité ou l’éligibilité à différents services.

Kyrio et Sectigo ont conclu une alliance stratégique afin de combiner les atouts de l’expérience de Kyrio dans la gestion des écosystèmes et la fabrication de matériel, avec l’ampleur de l’infrastructure de certificats et de sécurité de Sectigo.

L’alliance entre Kyrio et Sectigo permet aux fabricants d’appareils de mettre en place une sécurité forte dans leur écosystème de réseau d’une manière qui s’aligne sur leurs flux de fabrication existants. L’utilisation de la PKI existante de Kyrio permet aux fabricants de déployer des certificats pour une sécurité basée sur une authentification forte, mais sans avoir à supporter le coût de la création et de l’hébergement de leur propre PKI pour le faire.

Kyrio est le principal point de contact.

Kyrio est le principal point de contact.

Kyrio est le principal point de contact à l’adresse pkiops@kyrio.com. Toutefois, pour le support technique du portail de production, Sectigo est disponible en dehors des heures de travail pour assurer la continuité de la génération des certificats pour la production.