Fonctionnement

Certificats dont la clé privée peut être protégée par le module TPM

Retrouvez les certificats concernés et les versions SNS compatibles dans le chapitre Prérequis.

Mot de passe d'administration du module TPM

Lors de l'initialisation du module TPM sur le firewall SNS, un mot de passe d'administration du TPM doit être défini. Ce dernier est indispensable pour réaliser certaines actions sur le module TPM, comme arrêter de protéger la clé privée d'un certificat ou désactiver le module TPM.

Dans cette note technique, le mot de passe d'administration du module TPM est nommé "mot de passe du TPM".

IMPORTANT
Conservez le mot de passe du TPM dans un espace sécurisé et sauvegardé. En cas de perte, Stormshield n'est pas en mesure de retrouver ce mot de passe.

Protection de la clé privée des certificats du firewall grâce à la clé symétrique

Quand la clé privée d'un certificat est protégée par le TPM, celle-ci est chiffrée grâce à une clé symétrique. Seule la clé symétrique permet de chiffrer et de déchiffrer la clé privée du certificat.

La clé symétrique est définie lors de l'initialisation du module TPM et est stockée sur le TPM. L'accès à cette clé est strictement protégé, notamment par une mesure fiable de l'état du système : les registres PCR (Platform Configuration Registers).

Lorsqu'une clé privée doit être déchiffrée, le firewall doit récupérer la clé symétrique du TPM. Cette opération ne peut aboutir que si l'état du firewall est reconnu comme fiable par les PCR.

Dans le cas où les PCR changent, par exemple après une mise à jour de version SNS impliquant des modifications dans la séquence de démarrage du produit, le firewall ne peut plus récupérer la clé symétrique et les clés privées protégées ne peuvent plus être déchiffrées. Seul le mot de passe du TPM permet de mettre à jour la politique d'accès et ainsi de retrouver l'usage de ces clés (ce cas est décrit dans le chapitre Résoudre les problèmes).

Mécanisme de dérivation de la clé symétrique pour un cluster de firewalls

Dans le cas d'un cluster de firewalls en haute disponibilité (HA), chaque firewall dispose de son propre module TPM. Deux clés symétriques existent donc :

  • Une première clé symétrique stockée sur le module TPM du firewall actif,
  • Une seconde clé symétrique stockée sur le module TPM du firewall passif.

Un mécanisme de dérivation de la clé symétrique (appelé derivekey) permet de définir sur les deux firewalls du cluster la même clé symétrique. Ainsi, en cas de bascule du firewall passif en actif, les clés privées de certificats protégées par le TPM peuvent toujours être déchiffrées car les clés symétriques sont les mêmes.