Solution de déploiement de certificats à grande échelle. En savoir plus...

Transcription

1 Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce + lecteur) et sans stocker les certificats sur les postes des utilisateurs. En savoir plus... [ Des atouts remarquables ] [ Un protocole de sécurité solide ] [ Des outils accessibles par les utilisateurs ] [ Une Administration centralisée ] [ Les caractéristiques ] A quoi sert le web key server? offre aux utilisateurs reliés à Internet un coffre-fort de certificats individuel permettant de centraliser la gestion des certificats et clés numériques pour des utilisations dans des fonctions d'authentification, de signature et de chiffrement. Pourquoi choisir web key server? est une réponse efficace à la problématique des certificats logiciels qui peuvent être perdus, volés, effacés accidentellement, copiés, dupliqués ou mêmes compromis. est également une solution alternative à l utilisation de supports externes tels que les Tokens ou les cartes à puce compte tenu du coût de la technologie et de la structure organisationnelle nécessaire pour supporter un déploiement à grande échelle. Qui a besoin du web key server? Toutes sociétés souhaitant mettre en place des systèmes d authentification forte par certificat, de chiffrement et de signature électronique pour répondre aux probmématiques de dématérialisation, d ouverture des systèmes d information, de sécurisation des messageries électroniques, En un coup d œil... Simple et facile à déployer à grande échelle! Aucune installation de progiciels n est requise ni même de plug-in au niveau des applications. Création d un compte utilisateur en ligne à partir d un formulaire web Compatible avec tous les logiciels qui respectent les interfaces standardisées PKCS#11 et CSP de Microsoft : les navigateurs et serveurs web, les logiciels de messagerie et VPN, Interopérabilité avec les ACs respectant la norme X509v3 et utilisant une procédure d enregistrement avec interface web. Enrôlement simplifié grâce à l initialisation préalable des comptes utilisateur avec plusieurs certificats sans compromettre les clés privées. Import de certificats au format PKCS#12 dans le coffre-fort Tous les mécanismes cryptographiques sont dérivés d un seul secret (code confidentiel). Aucune clé secrète n est stockée sur le poste de l utilisateur Identification et authentification de l utilisateur Espace de stockage étanche et sécurisé Tous les informations échangées entre le coffre-fort électronique et les postes «client» sont chiffrées. Fabrication des clés privées sur le poste client et stockage sécurisé dans le web key server. Sauvegarde sécurisée des codes confidentiels Administration centralisée

2 Des atouts remarquables... Simple et facile à déployer à grande échelle Aucune installation de progiciels n est requise ni même de plug-in au niveau des applications. Une simple installation du Provider Hashlogic (dll WKS-C) permet aux utilisateurs d avoir accès à leur coffre-fort de certificats. L utilisateur a juste à sélectionner le certificat parmi les certificats rattachés à son compte pour satisfaire une fonction d authentification, de signature ou de chiffrement. Ainsi, une même personne peut posséder plusieurs certificats accessibles depuis n importe quel ordinateur relié à Internet. Plus de contraintes à posséder plusieurs certificats Le web key server offre un espace de stockage paramétrable pour une gestion de plusieurs certificats par utilisateur. Les certificats sont classés par catégorie : signature, chiffrement, authentification, administratif. Respect des normes et standards L utilisation des interfaces PKCS#11 et CSP de Microsoft permet de garantir une compatibilité avec tous les logiciels qui respectent ces interfaces. Les Postes «Client» sont banalisés et standardisés. Le WKS a été qualifié avec un grand nombre de PKI du marché (Idealix, Thawte, VeriSign,...) Toutes celles qui respectent les interfaces PKCS#11 et CSP, la norme X509 v3 et utilisent une procédure d enregistrement avec interface web. Les sockets http/https sont utilisées pour satisfaire aux règles de sécurité sur les firewall ou proxy. Simplicité lors de la phase d enrôlement Le web key server apporte une solution sure et pratique permettant de simplifier la distribution des certificats lors de la phase d enrôlement. En effet, l Autorité de certification peut avant la phase d enrôlement créer un compte utilisateur et le charger avec plusieurs certificats sans compromettre les clés privées. Ainsi, la phase de distribution des certificats est simplifiée et se résume à communiquer un login et un code d activation à usage unique qui servira à l activation du compte par l utilisateur. Séquestre des certificats de chiffrement Sous le contrôle des Gestionnaires, activation possible de la mise sous séquestre automatique des certificats de chiffrement. Création d un compte utilisateur en ligne à partir d un formulaire web La création d un compte peut se faire à l initiative de l utilisateur ou sous le contrôle d un Gestionnaire. Quelque soit le modèle organisationnel, le web key server offre une procédure accessible à l aide d un navigateur. Demande en ligne d un code confidentiel oublié Sous réserve que le niveau de sécurité défini par le Gestionnaire l autorise, l utilisateur peut à l aide de son code PUK obtenir son code confidentiel en ligne. Référencement des Autorités de certification habilitées Le Gestionnaire défini la liste des Autorités de certificats habilités. Ainsi, un utilisateur pourra faire une demande de certificat uniquement auprès d une AC reconnue ou importer dans son coffre un certificat appartenant à une des ACs référencées. Mise à jour automatique de la disponibilité et de la validité des certificats En fonction de la politique défini par le Gestionnaire, le web key server verrouille ou déverrouille l usage d un certificat expiré ou révoqué. Ainsi, le Gestionnaire a la possibilité d interdire l usage d un certificat expiré ou révoqué. Synchronisation automatique des certificats Dès que l utilisateur active son compte à l aide de son login, le web key server synchronise les certificats contenus dans le coffre-fort de l utilisateur avec le magasin Microsoft. Cette synchronisation porte seulement sur les certificats et non sur les clés privés associées. La suppression d un certificat dans le coffre est automatiquement répercutée sur le poste client. L utilisateur peut désactiver son compte. Dans ce cas, tous les certificats présents dans le magasin Microsoft sont effacés. Configuration automatique des certificats dans les produits de messagerie Le web key server permet de configurer simplement les certificats de signature et de chiffrement dans les logiciels de messagerie Microsoft. Import de certificats dans le coffre-fort électronique Les utilisateurs qui possèdent déjà des certificats peuvent les importer dans leur coffre-fort. Le chargement s effectue à partir d un fichier au format PKCS#12. Le protocole de sécurité prend en charge la sécurisation, le transfert et le stockage des clés numériques et du certificat. Externalisation possible La solution peut être externalisée sans compromettre la sécurité du système puisque aucune information secrète n est présente sur le serveur.

3 Identification et authentification de l utilisateur L utilisateur est préalablement identifié et authentifié avant d autoriser l accès au coffre-fort de certificats. L utilisateur dispose de trois essais pour saisir correctement son code confidentiel. Au bout de trois tentatives consécutives et infructueuses, le compte utilisateur se bloque interdisant toutes demandes d accès. Le déblocage du compte s effectue soit par l utilisateur à l aide de son code PUK soit par l intervention d un gestionnaire. Espace de stockage étanche et sécurisé L utilisation des fonctionnalités du coffre-fort électronique nécessite la création d un compte utilisateur et l allocation d un espace de stockage étanche et sécurisé pour la gestion de plusieurs certificats (authentification, signature ou chiffrement). Sécurisation des échanges Toutes les informations échangées entre le coffre-fort électronique et les postes «Client» sont chiffrées. Génération des codes confidentielles Lors de l activation d un compte par son utilisateur à l aide du code d activation à usage unique et du login, le code confidentiel et le code PUK (Public Unlock Key) sont générés aléatoirement sur le poste de l utilisateur. L utilisateur doit mémoriser le code confidentiel et garder précieusement le code PUK. Génération d un bi-clé Les clés privées d un utilisateur sont générées puis chiffrées sur son ordinateur, puis conservées chiffrées sur un serveur, rendant toute compromission impossible même par les administrateurs du système. Téléchargement d un coffre-fort de certificats L ensemble des certificats et clés privées chiffrées présent dans le coffre-fort de l utilisateur sont téléchargées pour la durée d une session sur son ordinateur et effacées dès que l utilisateur se déconnecte. Utilisation d une clé privée Lorsque l utilisateur a besoin d un bi-clé et de son certificat pour signer un document ou s authentifier, les clés sont déchiffrées juste le temps des calculs cryptographiques, soit quelques microsecondes, puis sont détruites. Aucune clé secrète n est stockée sur le poste de l utilisateur Aucune clé secrète n est conservée en mémoire de manière résidente sur le poste de l utilisateur et aucune clé chiffrée présente sur le serveur ne peut être déchiffrée. Sauvegarde sécurisée des codes confidentiels Les codes confidentiels sont générés sur le poste client lors de l activation du compte utilisateur. Ils sont utilisés pour protéger les clés privées. Les codes confidentiels peuvent être sauvegardés en toute sécurité et selon trois méthodes suivant le niveau de responsabilité accordé à l utilisateur : Sous le contrôle exclusif de l utilisateur (code oublié code perdu) Sous le contrôle exclusif du/des Gestionnaire(s) Sous le contrôle conjoint du/des gestionnaires et de l utilisateur. Un protocole de sécurité solide...

4 Des outils accessibles pour les utilisateurs... Le est une solution logicielle d infrastructure, complémentaire aux infrastructures PKI, pour le déploiement à grande échelle des certificats et clés numériques afin de démocratiser l usage des certificats dans les fonctions : Authentification forte par certificat Signature électronique Chiffrement / déchiffrement Autorités de certification Autorités d horodatage TSP https OCSP http / https https https Poste Client Frontal Web Gestionnaires L utilisateur accède à son compte à l aide de son navigateur pour : La consultation du contenu de son coffre-fort La consultation du journal d activités L import d un certificat au format PKCS#12 La demande de son code confidentiel oublié Le déblocage de son compte Le changement du code confidentiel La suppression d un certificat

5 Une administration centralisée... L accès à la console d administration est réservé aux gestionnaires qui ont été déclarés sur le serveur. Ainsi, les gestionnaires à l aide de leur navigateur et via un canal sécurisé (https) disposent d un outil simple et convivial pour une administration centralisée. Autorités de certification Autorités d horodatage TSP https OCSP http / https https https Poste Client Frontal Web Gestionnaires Administration des Gestionnaires L accès à la console d administration est réservé aux gestionnaires qui ont été déclarés sur le serveur. WKS est administré par plusieurs catégories de Gestionnaires : «Administrateur» : création suppression des autres gestionnaires et attribution du profil. «PKI» : Administration des Autorités de Certification, certificats et coffres-forts. «Coffre» : Chaque coffre-fort est administré par ses propres Gestionnaires pour le suivi d activité. Un coffre fort est administré par quatres catégories de gestionnaires : Gestionnaire «coffre» Gestionnaire «codepin» et Gestionnaire «codepuk «Gestionnaire «sequestre» «SAV» : ils sont autorisés à accéder à la console d administration uniquement en mode de consultation des comptes utilisateurs, des pistes d audit et des logs. Rôle des Gestionnaires «coffre» Configuration des règles de gestion : politique de sauvegarde du code confidentiel politique de gestion des certificats : verrouillage déverrouillage des certificats révoqués ou expirés dans le coffre politique de séquestre des certificats de chiffrement, Activation désactivation du journal d activités La consultation des comptes utilisateurs La gestion applicative du cycle de vie des comptes utilisateur et pour chacun d eux, gestion applicative du cycle de vie des certificats associés L attribution des ACs habilitées. La détection des comptes en sommeil La purge des comptes supprimés Le déblocage d un compte utilisateur, La consultation du journal d activités associé à un compte. Consultation des pistes d audit, Rôle des Gestionnaires «codepin» et «codepuk» En fonction de la politique de sécurité mise en place, extraction du code confidentiel rattaché à un compte. Rôle des Gestionnaires «Séquestre» En fonction de la politique de sécurité mise en place, consultation et extraction des certificat de chiffrement mis sous séquestre.

6 Les caractéristiques... Le est une solution logicielle d infrastructure, complémentaire aux infrastructures PKI, pour le déploiement à grande échelle des certificats et clés numériques. Autorités de certification Autorités d horodatage TSP https OCSP http / https https https Gestionnaires Poste Client Frontal Web Caractéristiques de web key server Système d exploitation : Windows 2000, XP, Linux Red Hat + JRE de SUN. Serveur d application : webmethods Integration Server 6.1 ou BEA weblogic server disponible prochainement. Stockage des données : compatible JDBC et LDAP Module de sécurité (HSM) : Tout matériel disposant d une interface PKCS 11 Algorithmes cryptographiques : RSA, TDES, AES, SHA 1, MD5, etc. Protocoles de sécurité : PKCS 7, PKCS 12, SMIME V2, CMS, XML DSIG, SSL V3, OCSP, TSP Codages : ASN 1, PEM, DER WKS Administration WKS Coffre Fort De Certificats WKS Séquestre Webmethods Integration Server 6.1 SUN JRE Kit cryptographique IAIK Windows ou Red Hat Caractéristiques du Poste Client Système d exploitation : Toutes plateformes Windows 98, Me, 2000, XP Interfaces : PKCS#11 et CSP de Microsoft Navigateurs compatibles : Internet Explorer 5+, Netscape 4.7+, Mozilla1.5+ Logiciels de messageries : OutLook, OutLook Express, Messenger, Netscape, Tous progiciels compatibles avec les interfaces PKCS#11 et CSP Microsoft. Certificats X.509v3 (RFC 3279, RFC 3280) Compatible avec toutes les PKI utilisant les interfaces PKCS#11 et CSP. Requêtes de certificats : Formats PKCS #10 Stockage de certificats : Format DER Logiciels Microsoft Internet Explorer, Outlook, Autres logiciels Netscape, Mozilla, Applets Java Sign Applet, Auth Applet, Wrapper PKCS11 WKS-C_CSP Windows WKS-C_PKCS11