“
Une ICP (Infrastructure de clés publiques) est un ensemble de composants,
fonctions et procédures dédiés à la gestion
de clés et de certificats utilisés par des services de sécurité
basés sur de la cryptographie à clé publique ”
Il
convient de dire qu’une ICP, au-delà des aspects techniques, rend
des services à une “application ” utilisatrice pour le compte
de ses usagers dont un usager particulier qui est une autorité.
Le terme autorité prend un sens plein lorsque les usagers lui sont
assujettis (à des niveaux contractuels variés). Il
s’agit de l’entreprise qui délivre des certificats à ses
employés pour remplacer le mot de passe (OTP-SSO[1])
ou une banque qui délivre des identités certifiées
pour le commerce électronique ou la banque à domicile. Il
peut également s’agir d’une autorité tierce, qui n’intervient
que pour la gestion des éléments certifiants (en résumé
le certificat) lorsque l’utilisation se fait sans engagement de l’autorité
en question. Il s’agit alors de la relation entreprise à entreprise,
où les entreprises ne sont pas assujetties à l’autorité
lorsqu’elles échangent des données EDI entre elles. C’est
également le cas de la relation consommateur à entreprise
dans les systèmes informatiques utilisant SSL et où le serveur
commerçant a obtenu une fois pour toutes un certificat de Verisign
(ou équivalent). Aujourd’hui, les ICP sont “ application oriented
” et “ product driven ” pour reprendre les appellations anglo-saxonnes.
Les autorités qui délivrent des certificats le font pour
une application (au sens produit) précise, par exemple SSL et SET.