DÉBLOQUER LA GESTION DES CLÉS DE CRYPTAGE

encryption key

DÉBLOQUER LA GESTION DES CLÉS DE CRYPTAGE

Toute communication cryptée dépend de la sécurité des clés utilisées par le système qui les a verrouillées. Si les clés sont compromises par des pirates informatiques, par négligence ou par d’autres moyens, toute communication utilisant ces clés peut être décryptée. Comment ces clés peuvent-elles être sécurisées?

Selon une récente étude de Ponemon 2016 Global Encryption Trend Study, 67 % des professionnels dans le domaine de l’informatique considèrent la gestion des clés comme l’une des principales caractéristiques d’une solution de cryptage. Comme de plus en plus d’entreprises utilisent des solutions de cryptage, elles se retrouvent avec plus de clés et plus de variétés de clés. La bonne gestion de ces clés de cryptage est essentielle à la sécurité de leurs données privées.

Comment gère-t-on les clés de cryptage de nos jours?
L’infrastructure à clé publique (ICP) « Public Key Infrastructure (PKI) » est un type de système de gestion des clés qui utilise des certificats numériques pour assurer l’authentification et des clés publiques pour permettre le cryptage. Les ICP utilisent une classe spécifique d’algorithmes de cryptage appelée cryptage asymétrique. Il s’agit de deux clés, l’une qui crypte les données (la clé publique) et l’autre qui décrypte les données (la clé privée).

L’avantage de l’utilisation d’algorithmes asymétriques est que la clé publique peut être distribuée à n’importe qui sans risque de décryptage des données. Seule la clé privée est capable de décrypter les données. Comme seule la clé privée décrypte, elle n’a pas besoin d’être disponible à l’état sauvage et peut être conservée dans un endroit sûr. Les clés publiques sont souvent conservées dans des répertoires pour que d’autres utilisateurs puissent les récupérer, tandis que les clés privées sont conservées dans des Bases de stockage de clés « key-stores » accessibles uniquement au propriétaire de la clé.

Un autre élément majeur d’une ICP est sa capacité à confirmer l’authenticité de la clé publique. Il garantit que toute communication cryptée avec une clé publique ne peut être décryptée qu’avec la clé privée correspondante.

Comment peut-on être sûr de « celui qui » a la clé?
Peut-être qu’un hacker a manipulé un répertoire et injecté sa clé publique. Pour éviter que cela ne se produise, une clé publique est intégrée dans un certificat. Considérez cela comme un processus de validation. Un certificat contient généralement des informations sur le destinataire de la clé publique (une adresse électronique, le surnom du propriétaire ou un nom de domaine) et est signé numériquement par une autorité de certification (CA). Imaginez un certificat papier avec la clé publique qui lui est attachée. Il y a le nom et les informations sur le propriétaire de la clé, ainsi que le nom et la signature de la personne qui l’a émise.
Le CA est un intervenant à qui l’on fait mutuellement confiance. Lorsque deux parties ont les clés publiques de l’autre partie, elles peuvent compter sur la CA pour s’assurer que la communication cryptée ne peut être décryptée qu’entre elles. Si Alice veut envoyer un message à Bob et ne lui fait pas immédiatement confiance, elle peut utiliser un CA pour confirmer que la clé appartient bien à Bob.

Introduction à la récupération et le Séquestre des clés
Les clés privées, utilisées pour décrypter les messages électroniques, doivent être stockées en toute sécurité. La méthode la plus simple est d’utiliser un mot de passe pour crypter la clé privée. Bien qu’il soit bien connu que les mots de passe faibles peuvent facilement être décryptées, un mot de passe fort et unique est aussi bon que n’importe quel autre type de cryptage.

Mais que se passe-t-il lorsqu’un utilisateur oublie son mot de passe ou qu’il perd sa clé en raison d’une défaillance matérielle ?

C’est le cas lorsque la récupération des clés ou le séquestre est utilisé. Une façon d’y parvenir est d’utiliser un algorithme de partage secret. Le partage secret se produit lorsqu’un élément de données est divisé en plusieurs parties de sorte qu’aucune partie ne suffit pour distinguer les données d’origine. Dans une ICP, la clé privée peut être brisée de cette façon. Chaque partie de la clé est cryptée pour un individu unique et le seul moyen de la récupérer est que tous ou certains des détenteurs de la partie de la clé acceptent d’effectuer la récupération de la clé. Une fois que la clé a été récupérée, elle peut être livrée en toute sécurité à l’utilisateur. Cette méthode évite que toute autre personne puisse accéder à la clé privée.

Les ICP ont ainsi révolutionné le monde en permettant une communication sécurisée entre les différents intervenants, qu’il s’agisse de services bancaires en ligne, de commerce électronique ou de courrier électronique sécurisé. Malheureusement, c’est plus facile à dire qu’à faire pour la majorité des personnes. La même étude de Ponemon a révélé que 53 % des personnes interrogées considéraient la gestion des clés comme un véritable casse-tête.

Faciliter la gestion des clés
Tandis que l’utilisation du chiffrement du courrier électronique continue à se généraliser et à se diversifier dans la façon dont il est utilisé, les équipes de sécurité cherchent à éliminer les îlots de cryptage qui se sont formés et accumulés au fil des ans.

Cette approche contribue à atténuer certains des principaux défis historiques qui se posent en matière de gestion – un manque de maîtrise de la gestion de cette fonction clé, une pénurie de personnel qualifié, des systèmes cloisonnés et fragmentés et des outils de gestion inadéquats.

C’est une mesure qui sera bien accueillie par tous les secteurs d’activité. Paradoxalement, dans le secteur de la sécurité aujourd’hui, plus le facteur de menace est sophistiqué, plus la solution dont nous avons besoin en tant qu’utilisateurs pour gérer le problème doit être simple. Les employés des entreprises chercheront toujours des solutions de rechange moins sûres, de sorte que la création de systèmes de cryptage et de gestion des clés plus efficaces, faciles à gérer et compatibles avec le Cloud aidera à porter la protection de nos données privées à un niveau supérieur et ainsi les pirates informatiques se retrouveront sans rien à faire.

Pour en savoir plus sur la façon dont les équipes de sécurité sont en train de réorganiser les opérations, de réduire les coûts de prestation de services et de dynamiser la productivité des utilisateurs en simplifiant le cryptage des courriels et les systèmes de gestion des clés de leur entreprise:

• Lisez notre LIVRE BLANC | Migrer le PGP vers le Cloud « Migrating PGP to the Cloud »
• Téléchargez notre DOSSIER TECHNIQUE | Méthodes de distribution du cryptage Echoworx « Echoworx Encryption Delivery Methods »

Par John Fleming, Senior Architect, Echoworx