Qu'est-ce que Infrastructure à clés publiques ?
L'infrastructure à clés publiques (PKI) est un cadre complet de rôles, politiques, matériels, logiciels et procédures servant à créer, gérer, distribuer, stocker et révoquer les certificats numériques et les paires de clés publiques-privées associées.
Aussi connu sous le nom de : PKI, public key infrastructure
La PKI est l'ossature de confiance d'Internet. Chaque fois que ton navigateur affiche un cadenas sur une connexion HTTPS, la PKI est à l'œuvre. Le système repose sur des autorités de certification (AC) qui émettent des certificats numériques liant une clé publique à une identité — qu'il s'agisse d'un nom de domaine, d'une organisation ou d'une personne. Ces certificats permettent aux clients de vérifier qu'ils communiquent avec le serveur légitime, et non avec un attaquant.
Le modèle de confiance de la PKI est hiérarchique. Les AC racines sont au sommet, leurs certificats étant préinstallés dans les systèmes d'exploitation et les navigateurs. Les AC racines signent les certificats des AC intermédiaires, qui signent à leur tour les certificats d'entité finale destinés aux serveurs et services individuels. Cette chaîne de confiance permet à tout client de vérifier un certificat en remontant les signatures jusqu'à une racine de confiance. Si un maillon de la chaîne est compromis ou révoqué, les certificats qu'il a signés ne sont plus dignes de confiance.
La PKI dépasse le seul TLS web. Elle prend en charge la signature de code (vérification de l'authenticité des logiciels), le chiffrement des e-mails (S/MIME), l'authentification VPN, le TLS mutuel entre microservices et l'authentification par carte à puce. Gérer une PKI à grande échelle, c'est suivre l'expiration des certificats, automatiser le renouvellement, gérer les listes de révocation (CRL) ou les répondeurs OCSP, et protéger les clés privées des AC — la compromission de la clé privée d'une AC racine saperait la confiance dans toute la hiérarchie.
Comment Vaulted utilise Infrastructure à clés publiques
Vaulted s'appuie indirectement sur la PKI via HTTPS. Le certificat TLS de vaulted.fyi, émis par une autorité de certification de confiance, garantit que ton navigateur communique avec le véritable serveur Vaulted et non avec un intermédiaire malveillant. Cela protège le texte chiffré et les métadonnées en transit. Vaulted ne dépend toutefois pas de la PKI pour son modèle de chiffrement central : les secrets sont chiffrés côté client avec des clés symétriques AES-256-GCM qui ne transitent jamais par le réseau, de sorte que même une défaillance de la PKI n'exposerait aucun secret en clair.