Cette page donne une vue d'ensemble des certificats d'attributs.

• Qu'est-ce qu'un certificat d'attributs ?

• Comparer un certificat d'attributs et un certificat à clef publique

• Pourquoi ne pas utiliser des extensions privées ?

• Les composants d'un certificat d'attributs

• Références

Les certificats à clé publique prouvent l'identité de la personne mais ne définissent pas ce que la personne peut faire. Les certificats d'attributs ont été conçus pour répondre à cette problématique. Les certificats d'attributs et les certificats à clé publique sont tous les deux définis par le standard X509. Un certificat d'attributs a la même structure qu'un certificat à clé publique à la différence qu'il ne contient pas la clé publique du sujet. Parce qu'il ne contient pas d'information explicite sur l'identité de la personne, un certificat d'attributs ne peut pas être utilisé pour authentifier le possesseur du certificat. C'est pourquoi le possesseur d'un certificat d'attributs doit avoir aussi un certificat à clé publique, auquel il est fait référence dans le certificat d'attributs.

Bien que similaire en structure au certificat à clé publique, les informations fournies dans un certificat d'attributs tendent à être valides pour une période de temps limitée, éventuellement une heure ou moins. Elles ont également tendance à avoir un périmètre plus réduit ; par exemple elles peuvent ne concerner qu'un petit groupe comme une entité locale. En revanche les informations dans les certificats à clés publiques tendent à être valides pour des périodes de temps plus longues et à être utilisables de façon plus large. De par ces différences intrinsèques, un CMS (certificate managemet system) spécifique est nécessaire, répondant aux besoins suivants :

• Emission : Dans le cadre de la définition de privilèges dans un contexte local, l'émission doit être décentralisée. Par exemple, dans un environnement de banque de détail, l'affection du personnel à des missions est déterminée au niveau des agences. C'est pourquoi il est nécessaire que ce soit l'agence qui délivre le certificat d'attributs afférent à la mission de l'employé, alors que le certificat d'identité devrait être délivré par une entité centrale au groupe.

• Distribution : Si vous assignez une durée de vie courte à un certificat, la vitesse de distribution du certificat est particulièrement critique. Elle doit être beaucoup plus rapide et plus simple qu'elle ne l'est généralement dans le cas des certificats à clefs publiques, qui sont généralement déposés dans des annuaires X.500.

• Utilisation : Si un certificat d'attributs est délivré localement, les attributs n'ont pas besoin d'être définis globalement. La standardisation des attributs pourrait pénaliser la souplesse d'utilisation des certificat d'attributs.

• Révocation : Pour des certificats d'attributs avec des durées de vie courtes, il n'est pas nécessaire de mettre en place des mécanismes de révocation (en cas de problème, il est alors possible d'attendre leur expiration et de ne pas les renouveler).

Si les attributs de certificats doivent être liés à des certificats à clé publique, pourquoi ne pas simplement ajouter les attributs dans les extensions privées des certificats à clé publique X.509 ?

Cette solution est acceptable dans une situation où les certificats d'attributs ont les mêmes besoins en termes d'émission, de distribution, d'utilisation et de révocation que les certificats à clé publique.

Dans les cas où les attributs ont des durées de vie plus courtes (longévité) ou un périmètre plus réduit (portée), ils seront mieux gérés dans un cadre de certificat d'attributs. Par exemple, si Pierre s'occupe des tâches de Jean pendant que ce dernier est en congé et qu'il a besoin de privilèges (par exemple pour procéder à des ordres d'achats), un certificat d'attributs peut être émis pour Pierre pendant la durée de l'absence de Jean. Ce certificat d'attributs contiendra alors les privilèges nécessaires pour assurer les tâches de Jean.

A contrario, si, par exemple, les attributs décrivent le poste du directeur d'une organisation multinationale (et de supposer que ce poste a la même signification dans toute l'organisation), ces attributs auront probablement la même longévité et portée que le certificat à clef publique. Dans ce cas, il est acceptable de positionner des attributs dans une extension privée supplémentaire du certificat.

Le groupe de travail PKI (X.509) (PKIX) a défini le profil d'un certificat d'attributs :

• Version : La valeur doit être v1.

• Holder (possesseur) : Identifie le possesseur du certificat à clé publique auquel est rattaché le certificat d'attributs.

• Issuer (émetteur) : Spécifie le nom de l'autorité émettrice qui a signé le certificat. L'utilisation du certificat nécessite une confiance en cette entité. Pour éviter la confusion concernant des numéros de série et la révocation, l'émetteur du certificat d'attributs ne peut pas être également l'émetteur du certificat à clef publique.

• Signature : Identifie l'algorithme de signature utilisé pour signer le certificat.

• Serial Number : numéro de série): L'émetteur du certificat d'attributs assigne un numéro de série au certificat quand il est créé, de manière à le distinguer des autres certificats.

• Validity Period : Spécifie la période pendant laquelle le certificat est valide.

• Attributes : Donne des informations sur les privilèges du possesseur du certificat. Par exemple, l'attribut SvceAuthInfo identifie le possesseur du certificat d'attributs auprès des serveurs/services par nom, et l'attribut chargingIdentity identifie le possesseur de certificat pour des questions de paiement. Un certificat d'attributs doit contenir au moins un attribut. Seulement une instance de chaque attribut peut être présente dans un même certificat d'attribut, mais chaque instance peut contenir différentes valeurs.

• Extensions : Les champs extensions donnent généralement des informations sur le certificat d'attributs par opposition aux informations sur son possesseur. Par exemple l'extension authorityKeyIdentifier peut être utilisée pour faciliter la vérification de la signature sur le certificat d'attributs et l'extension AuthorityInformationAccess peut être utilisée pour aider à la vérification de l'état du certificat d'attributs (révocation). Le document RFC 3281 de l'Internet Engineering Task Force (IETF) définit le profil des certificats d'attributs.

• http://www.ietf.org/rfc/rfc3281.txt