Présentation de l'infrastructure de clés publiques (PKI)

Une infrastructure de clés publiques (PKI) est un système qui facilite les communications sécurisées en utilisant des certificats numériques. Reflection prend en charge l'usage d'une PKI pour l'authentification hôte et utilisateur durant les sessions Secure Shell et SSL/TLS.

Authentification

L'authentification consiste à contrôler de manière fiable l'identité d'une partie en vue d'un échange de données. Vous pouvez prouver votre identité au moyen d'un élément que vous connaissez (comme un mot de passe), que vous possédez (comme une clé privée ou un jeton) ou qui vous est propre (comme votre empreinte digitale). Au cours d'une session Telnet normale avec un hôte distant, l'utilisateur s'authentifie à l'aide d'un mot de passe, mais l'hôte n'est pas authentifié. Les protocoles plus sécurisés, dont Secure Shell et SSL/TLS, nécessitent une authentification hôte. Dans les sessions Secure Shell et SSL/TLS, l'authentification hôte est effectuée à l'aide de la cryptographie à clé publique. De plus, les deux types de session peuvent être configurés pour l'utilisation de la cryptographie à clé publique pour l'authentification utilisateur.

Cryptographie à clé publique

La cryptographie à clé publique utilise un algorithme mathématique avec une paire de clés (clé publique/privée) pour chiffrer et déchiffrer les données. L'une des clés est une clé publique, qui peut être librement distribuée aux parties communicantes, tandis que l'autre est une clé privée, que son propriétaire doit garder secrète. Les données chiffrées avec la clé privée peuvent être déchiffrées uniquement avec la clé publique et inversement.

Lorsque les clés sont utilisées pour l'authentification, la partie authentifiée crée une signature numérique à l'aide de la clé privée d'une paire de clés (clé publique/privée). Le destinataire doit utiliser la clé publique correspondante pour vérifier l'authenticité de la signature numérique. Cela signifie que le destinataire doit posséder une copie de la clé publique de l'autre partie et être certain de l'authenticité de cette clé.

Certificats numériques

Les certificats numériques font partie d'une infrastructure de clés publiques (PKI). Les certificats sont émis par une autorité de certification (CA), ce qui garantit la validité des informations qu'ils contiennent. Chaque certificat contient les informations d'identification du propriétaire du certificat, une copie de la clé publique du propriétaire du certificat (utilisée pour le chiffrement et le déchiffrement des messages et des signatures numériques) et la signature numérique du contenu du certificat, générée par l'autorité de certification. Cette signature est utilisée par un destinataire pour vérifier que le certificat n'a pas été altéré et qu'il peut être approuvé.

Listes de certificats numériques

Les certificats numériques sont conservés sur votre ordinateur dans des listes de certificats. Une liste de certificats contient les certificats que vous utilisez pour confirmer l'identité de parties distantes. Elle peut également contenir des certificats personnels, que vous utilisez pour vous identifier auprès de parties distantes. Les certificats personnels sont associés à une clé privée sur votre ordinateur.

Reflection peut être configuré pour l'utilisation de certificats numériques situés dans l'une des deux listes suivantes ou les deux :

• Liste de certificats de Windows

  Cette liste peut être utilisée par diverses applications, dont Reflection, les navigateurs Web et les clients de messagerie. Certains certificats de cette liste sont inclus lorsque vous installez le système d'exploitation Windows. D'autres peuvent être ajoutés lorsque vous vous connectez à des sites Internet et que vous les approuvez, lorsque vous installez un logiciel ou lorsque vous recevez un message chiffré ou un message signé numériquement. Vous pouvez également importer des certificats manuellement dans votre liste Windows. Gérez les certificats de cette liste à l'aide du Gestionnaire de certificats de Windows.
  

• Liste de certificats de Reflection

  Cette liste est utilisée uniquement par les applications Reflection. Pour ajouter des certificats à cette liste, vous devez les importer manuellement. Vous pouvez importer des certificats à partir de fichiers et également utiliser des certificats sur des jetons matériels comme les cartes à puce. Gérez les certificats de cette liste à l'aide du Gestionnaire de certificats de Reflection.

Les applications Reflection peuvent être configurées pour l'authentification au moyen des certificats situés dans la liste Reflection uniquement ou au moyen des listes de Reflection et de Windows. Le fait d'activer l'authentification hôte au moyen de la liste de certificats de Windows signifie qu'il n'est peut-être pas nécessaire d'importer des certificats, car l'authentification peut s'effectuer au moyen de certificats déjà disponibles. Le fait de désactiver l'authentification au moyen de la liste de certificats de Windows vous permet d'exercer un meilleur contrôle sur les certificats qui sont utilisés pour l'authentification. Pour plus d'informations, reportez-vous à la rubrique Activation et désactivation de l'authentification au moyen de la liste de certificats de Windows.

Infrastructure de clés publiques dans les sessions Reflection

Les sessions Reflection prennent en charge l'authentification par infrastructure de clés publiques pour les sessions Secure Shell et SSL/TLS.

• Toutes les sessions SSL/TLS nécessitent des certificats pour l'authentification hôte. En l'absence du certificat nécessaire, vous ne pouvez pas établir de connexion hôte. Selon la configuration de l'hôte, il est possible que vous deviez également installer des certificats pour l'authentification utilisateur. Pour plus d'informations, reportez-vous à la rubrique Certificats numériques pour les sessions SSL/TLS.
• Les sessions Secure Shell nécessitent généralement une authentification hôte et une authentification utilisateur. Des certificats peuvent être utilisés pour l'authentification hôte et/ou utilisateur, mais ne sont pas requis par défaut. Pour plus d'informations, reportez-vous à la rubrique Certificats numériques pour les sessions Secure Shell.