Projet RNRT ICare: Services évolués de signature et de contrôle d'accès basés sur de nouveaux concepts d certificats

Transcription

1 Projet RNRT ICare: Services évolués de signature et de contrôle d'accès basés sur de nouveaux concepts d certificats Refik Molva Institut EURECOM Octobre 2002

2 Partenaires du Projet Thales Communications (responsable du projet) CEA - LETI Cabinet d avocats A. Bertrand ENST Paris Institut Eurécom Université de Technologie de Compiègne Ecole des Mines d Alès

3 Axes du Projet Expérimentation Infrastructure de Clés Publiques (ICP) Choix du logiciel et déploiement Recherche et Développement Contrôle d accès distribué Services de signature Certificats d attributs Etudes et Méthodologie Etude des Usages Critères de certification Législation

4 Choix logiciel Expérimentation solution open source IDX-PKI (IdealX) solution propriétaire UniCert (Baltimore) Déploiement au sein du consortium Communautés académiques (ENST, EMA, Eurécom) et industrielle (Thalès) Test d interopérabilité / applications URL PKI Icare:

5 Etude Usages Sites non équipés : 2 écoles (14 et 7 entretiens avec grille et observations) Sites équipés en ICP (avec grille et observations): une grande entreprise en phase pilote (8 entretiens) un réseau logiciel libre utilisateur courant (4 entretiens plus observation participante) une entreprise de solution de sécurité (1 entretien)

6 Etude Usages - Conclusions Sécurité suffisante Langage obscur Formalismes stricts Etat actuel Impossible Tolérance pour une déviance normale Garanties absolues (biométrie, Etat) Partir des applicatifs Ergonomie basée sur ontologies ordinaires Délégation entre Autorités distribuées Modes et Principes Solution Viser larges populations (non-limitées aux informaticiens) Tolérance négociée espaces de régulation

7 Axe R&D Limitations de l ICP basé sur les certificats d identité X509 : absence support pour le contrôle d accès complexité et codage inadéquat (DN, ASN.1) Solutions : Certificats d attributs Codage XML

8 Certificat d attributs Droits KP Attributs Signature de l Autorité Certificat d autorisation (SPKI) Clé publique Certificat d attributs Nom Attributs Signature de l Autorité ICare Nom Certificat d identité (X.509) Nom KP Signature de l Autorité

9 Certificats d Attributs - Applications Certificat d attribut Contrôle d accès Services évolués de Signature Gestion d identités

10 Architecture Autorité pour les Attributs Certificat Racine Certificat d Attributs Origine de l autorité (SoA) Certificat d Attributs: privilèges AA Certificat d Attributs: privilèges AA Certificat d Attributs: policy Certificat Racine Ressource Demandeur Web browser Requête Vérificateur Web server

11 Certificats d Attributs Choix du format Lien avec certificat d identité Intégration dans l ICP Intégration avec logiciels applicatifs

12 Certificat d attributs en XML Issuer CertificateReference avec un at X.509 u un rtificat ttribut 1 CertificateReference PublicKey 1 Subject Content 1 Signature algorithm 1 Delegation depth 1 CertificateInfo version type 1 Attribute name resource validity + Privilèg ou rôle AttributeCertificate

13 Script CGI Grammaires DTD: Accounting <Name> <Organization Unit > <Office> Project <Phone> <Project Name> <Organization> <Organization Unit> <Project Manager> Validation du fichier xml Formulaires HTTP: Compatabilite Project Script CGI Nom de la grammaire <xml. Fichier XML: <compta> <xml. <name> </name> <organization <project> unit> </organization unit> <office> </office> <project name> </project name> <phone> </phone> <organization> </organization> </compta> <organization unit> </organization unit> </xml> <project manager> </project manager> </project> </xml>

14 APIs Administration Control d accès Signature Logiciel client (browser web ) Logiciel client (browser web ) Logiciel (serveur web) Integration dans produits exista face API Autorité de rtificat d Attributs Outils de gestion (définition de rôles, des politiques d acces ) Interface API Demandeur / Verificateur Interface API Signature Développeme ICARE ICARE API de BASE (objet certificat d attribut et sa gestion, communications, etc.) XML API Crypto API Database Librairies OpenSource Commerciale

15 Etat de l art X.509 ASN1 XML Compatibilité avec les Technologies Internet ICP(PKI) non-indispensable délégation et autorisation sans identification (SPKI) XACML Orienté Politique de C. A. SAML Format d échange

16 Application : Multisignature Secrétaire secrétaire Carl Certificat d attribut Qui doit signer (Vincent, Marc et Carl) Dans quel ordre Politique de signature (accepter un certificat d habilitation) Vincent Marc Carl signature Vincent re signature Vincent signature Vincent Marc Marc secrétaire

17 Multisignature Variante XAdES-C + Certificat d attributs General bundle Attribute Certificate SignaturePath SignedInfo SignedInfo SignedInfo Signature TSP Signature Signature Signature SignatureInfo KeyInfo SignaturePacket SignedObjects Object Certificate and CRL Reference

18 Conclusion Expérimentation PKI et Usages Introduction par Processus Itératif R&D sur Certificats d Attributs et Services Avancés Développement en cours Niveau comparable aux activités W3C, ETSI Publications en cours Précompétitif: Start-up(s)