L Authentification forte Etat de l art des médias d authentification forte

Transcription

1 L Authentification forte Etat de l art des médias d authentification forte Jérôme Francillon, Emeric Laroche, Igal Cohen-Hadria Dossier EPITA 28 janvier 2006

2 Sommaire Introduction 3 Quelques généralités 4 Les solutions du marché 5 XiRing (X-Sign) 5 Vasco (Digipass/Vacman) 6 RSA Security Smart Card 7 RSA security : USB Authentificator Verisign: Core Managed PKI 8 Safenet: CMS 9 ncryptone 10 Cryptme 12 Cyberflex 13 Aladdin HASP HL 14 Conclusion 15

3 I. INTRODUCTION La sécurité est un domaine complexe à aborder dans un cadre pratique. En effet, plus la sécurité est accru et moins l utilisateur s y retrouve. Il risque donc de négliger les directives de base pour éviter de répéter des gestes fastidieux à longueur de temps. De plus, la mise en place d une solution d authentification forte devient rapidement très chère pour une société puisque pour la plupart d entre elles nécessitent un déploiement massif de lecteurs, de logiciels spécifiques et de Tokens (Authentificateurs) rarement bon marché. Dans le cadre d une mise en place d une solution d authentification il faut donc trouver un compromis entre la simplicité d utilisation pour satisfaire au maximum l utilisateur, le niveau de sécurité le plus fort possible et le prix de la mise en place. Ce rapport à pour but de présenter les différentes solutions du marché, présentant les avantages et les inconvénient de chaque offre. Beaucoup d autres solutions existent sur le marché, nous nous attacherons donc à présenter les principales offres.

4 I. QUELQUES GÉNÉRALITÉS Voici une liste générique d avantages et d'inconvénients de Token (Authentificateur) disponible sur le marché. Cartes à puce (Xiring, Vasco, RSA, Verisign, Safenet, ncryptone, Cyberflex) : + Forte notoriété + Coût - Nécessite un lecteur - Non nomade - Mono-canal - Non universel Biométrie : + Forte notoriété + Très haut niveau de sécurité - Coût - Nécessite un lecteur spécifique - Non nomade - Problème éthique - Mono-canal - Mobilise de nombreuses ressources Dongle/Badge (Vasco, RSA): + Génère un mot de passe unique associé à un horodateur + Multi-canal - Peu connu - Nombreuses désynchronisions entre la carte et le serveur - Coût - Utilisation compliquée Clef USB (RSA, Verisign, SAfenet, Aladdin): + Prix compétitif + Portable - Mono-canal - Accès parfois difficile à la clé USB

5 II. LES SOLUTIONS DU MARCHÉ 1. XiRing (X-Sign) Classement : Lecteur carte à puce / Calculette Description de la solution : Xiring a développé un outil portable et personnel d'authentification et de signature basé sur la carte à puce conforme au standard EMV avec l application CAP de MasterCard et DPA de Visa. Le lecteur utilise la carte EMV pour toutes les fonctions de sécurité ainsi que pour les calculs cryptographiques. Il ne stocke ni clé ni secret. Il respecte également les spécifications Dynamic Passcode Authentication de Visa. MasterCard International a développé l algorithme CAP afin d offrir aux possesseurs de cartes de crédit des solutions simples et robustes pour le commerce électronique. Cet algorithme est une des méthodes d authentification pré installée dans les cartes de crédit standard aux normes EMV. Informations cryptographiques: - Alogorithme Mastercard CAP - Taille de l otp : 8 chiffres - Choix des clefs : Dérivation de clefs a partir d une clef mère (31 octet) et d un numéro de carte (4 à 10 octects) et d éléments secrets. Ex : MasterKey, KeyCard, AIP => Clef diversifié. Informations : ,9831,5C00. Clef diversifié : B F1960D72571EA5913B65A32. OTP : Avantage : - Ne nécessite pas l achat d une carte (une CB classic suffit). - Lecteur réutilisable - Fiable (Garantis par Mastercard CAP et Visa DPA). - 5 lecteurs allant du plus simple au plus complexe disponiblent. Inconvénient: - Coût. - Recopie de l OTP parfois nécessaire. - Intégration difficile, développement spécifique nécessaire à chaque fois.

6 2. Vasco (Digipass/Vacman) Classement : Calculette / Badge temporel Description de la solution : La solution d authentification forte de Vasco se base sur des lecteurs de carte et/ou des badges d authentification temporel permettant a des utilisateurs de s authentifier sur un parc informatique. Vasco vend en plus des Tokens, un outils (dit middleware) VACMAN permettant d utiliser les technologies Radius pour l'authentification des OTP. Il devient donc naturellement compatible avec la plupart des outils d'accès à distance (VPN...). Informations cryptographiques: - Algorithme non connu a base de 3DES/DESMAC - Taille des clefs : N/C - 1 OTP / 36 secondes Avantage : - VACMAN outils puissant et facile d utilisation. - Certification OPSEC. - Compatible IIS, Active directory, Citrix... Inconvénient: - Coût (Achat des Tokens et de la licence Vacman / Token). - Recopie de l OTP toujours nécessaire. - Le proxy Radius Vacman ne supporte que les protocoles : PAP/CHAP

7 3. RSA Security Smart Card Classement : Carte à puce Description de la solution : Centralisation de l authentification dans une seule carte de la taille d une carte bleue pour tous les accès dans l entreprise : Entrée dans l immeuble, authentification sur les ordinateurs et accès aux applications grâce à RSA Signon Manager. Aspect Cryptographique - 3 authentifications fortes de logon Windows - 7 certificats et clés privée RSA empruntes biométriques - 5 RSA SecureId token seed - Les encryptions possibles sont DES, 3DES, RSA 1024-bit, SHA-1 Aspect Déploiement La Smart Card de RSA s intègre à la fois dans le hardware et le software : - Partenariats avec des fabricants de portes automatiques. - RSA Sign-On Manager : Interface d administration gérant les droits d accès. La smartcard RSA, comme toutes les autres smartcard nécessite des lecteurs de cartes à puce. La smartcard RSA gère le PKCS #11, le PKCS #15 et la librairie Microsoft CryptoApi. Éléments de coût - à partir de 70 dollars par utilisateur en mode mot de passe - à partir de 85 dollars par utilisateur en mode authentification à deux facteurs - environ 20$ la carte vierge. Site officiel : Pour Todd Blank, Directeur Technologique de IP Outlet (une société de services IP utilisatrice de la solution) : «Notre datacenter est un élément critique de notre infrastructure réseau. Il nous permet de surveiller la qualité de service de nos réseaux pour nos clients dans le secteur de la banque, de la santé, du gouvernement ou du commerce électronique. En cas de crise, je ne souhaite pas que mes employés aient à se souvenir de 30 mots de passe différents pour accéder à la fois aux matériels et applications critiques que nous gérons pour nos clients. Les autres solutions ne sont pas aussi adaptées que RSA Sign On Manager et je ne voudrais pas à avoir à gérer notre infrastructure sans cela».

8 4. RSA security : USB Authentificator 6100 Classement : Dongle USB Présentation L USB Authentificator propose les mêmes services que la RSA Smart card tout en diminuant les coups de déploiement : Il possède son propre lecteur et est compatible avec tous les pc bénéficiant d un port USB. 5. Verisign: Core Managed PKI Classement : Carte à puce et jeton USB Présentation Le service Managed PKI permet aux entreprises d établir un système d autorité de certification et de PKI pour l émission de pièces d identité numériques : s, Réseaux, VPN, ERP. Des cartes à puces ou des jetons USB peuvent être utilisé comme support de transport des clefs privées et des certificats numériques pour proposer une authentification à deux facteurs. Les avantages des PKI sont : - La confidentialité : Seul le destinataire pourra décrypter le document. - L authentification : Lors de l envoi d un message, on connaît le destinataire. - L intégrité : On garantie la non altération d un message envoyé. Aspect Déploiement S intègre dans le applications et systèmes d exploitations Microsoft Windows, et du matériel comme Cisco, Nortel Networks ou Check Point. Propose un SDK pour intégrer l authentification dans les applications développées par l entreprise. Compatible avec les systèmes actuels : S/MINE, SSL, Ipsec, LDAP, PKCS 7, 10, 12.

9 6. Safenet: CMS Classement : Carte à puce, USB Présentation CMS est un système de management de smart cards et tokens USB via une interface web. La simplicité d utilisation et d administration semble être mise plus en avant que la sécurité apportée par la solution. Capacité d'administration L interface d administration est une interface web, proposant l accréditation des utilisateur ou la révocation des droits. L entreprise gère elle même ses cartes et tokens et ne dépend donc pas d un fournisseur externe. Aspect Déploiement Deja integré dans certains logiciels et matériels : - Messagerie : (MS exchange, Lotus Notes, AOL IM) - VPN (Cisco, Nortel Networks, Check point) - Authentification bifactorielle : (Aladdin, Authenex, Activ Card, Schlumberger)

10 7. ncryptone Classement : Carte à puce autonome Description de la solution ncryptone propose deux types de carte à puce à énergie embarqué. Une carte audio produisant un son OTP et une carte à écran flexible affichant un OTP de 8 chiffres. Ces cartes sont au format iso carte bancaire (0,8 mm d épaisseur) et peuvent en plus embarquer d autres technologie comme le iclass, le mifare (sans contact), une piste magnétique et enfin une puce EMV. De plus ncryptone vend en plus de ces cartes un serveur d authentification multi-token (compatible Vasco, CAP, DPA, AudiCard, DisplayCard, RFID...) 1. La carte acoustique La carte acoustique est un Token d authentification fort. Il est composé d une pile, d un haut-parleur et d un crypto processeur qui permet la génération d OTP (One Time Password), audio utilisable aussi bien sur un ordinateur, que sur un téléphone. Cette carte peut également embarquer sans changer ses caractéristiques iso des modules «contact less» (HID 125, HID 31 Mhz, MiFaire) ainsi qu une puce EMV, une bande magnétique et donne la possibilité d être embossée (relief sur la carte). Informations cryptographiques: - 2 Signatures différentes (une standard, une téléphonique) - Clef de 56 bits Avantage : - le lecteur est un simple microphone - Marche via un téléphone (classic/ip/mobile) - Fédère plusieurs technologie en un seul badge - Son (hors téléphonique) non capturable par la plus part des magnétophone de poche - Déploiement très peu cher Inconvénient: - Son souvent filtré dans les ordinateurs récents - Utilisation de applet java ou d activex pour les transactions en ligne

11 1. La carte à display La carte à display est un Token d authentification fort. Il est composé d une pile, d un écran flexible et d un crypto processeur qui permet la génération d OTP (One Time Password), numérique. Cette carte peut également embarquer sans changer ses caractéristiques iso des modules «contact less» (HID 125, HID 31 Mhz, MiFaire) ainsi qu une puce EMV, une bande magnétique et donne la possibilité d être embossée (relief sur la carte). Informations cryptographiques: - Algorithme HOTP (cf OATH) - Clef de 21 octets Avantage : - pas de lecteur - portable - Fédère plusieurs technologie en un seul badge - compatible avec les autres Tokens du consortium OATH - Déploiement très peu cher Inconvénient: - recopie de l OTP

12 8. Cryptme Classement : INCLASSABLE Description de la solution : Des cartes uniques et numérotées individuellement sur lesquelles sont répartis aléatoirement des caractères, contiennent les mots de passe à usage unique nécessaires à l authentification forte. A chaque carte correspond un fichier empreinte permettant de vérifier si la personne est bien en possession de la carte. Les fichiers empreinte sont générés de telle façon qu il est impossible de calculer les mots de passe de la carte. Ce type d authentification est bien considéré comme authentification forte puisqu il faut détenir la carte pour récupérer le mot de passe. Cependant cette solution est très éloignée de l idée que l on s en fait d un outil technologique car c est bien du carton avec des lettres et une certaine manière de le lire qui donne le mot de passe. Cette solution est particulièrement originale et le service d édition des cartes est un service fournit par la société. La carte coûte peu chère (dans les 3,5 ). Cryptme fournit un logiciel fonctionnant sous Windows permettant l identification centralisée grâce aux empreintes. Retour sur expérience : Cette solution semble peu utilisée. De nombreux documents préconise cette carte pour la création de mots de passe. URL :

13 9. Cyberflex Classement : Carte à Puce Description de la solution : Solutions fournies par Axalto, leader mondial de cartes à puce (source Gartner 2003). Axalto fournit une suite d applications ainsi que de nombreux lecteurs de cartes différents. Ces cartes sont utilisable avec des bibliothèques standard telles que : - ISO Java Card Open Platform PKCS#11 - Crypto API Les cartes sont administrées par Access Client Software comprenant de très nombreuses fonctionnalité telles que : - Modification du code pin, personnalisation de la Smartcard - système de diagnostique de la Smartcard - import des clés de manière sécurisée - Smart Card Sign On - Permet la gestion de sessions au niveau de l utilisation de la carte. - Support de la bibliothèque PKCS#11 L utilisation de cette solution requière donc l'acquisition de 3 modules : - L achat de la smartcard - Le lecteur de carte - Le logiciel gérant le lecteur et l utilisation de la carte.

14 10. Aladdin HASP HL Classement : Clef USB Description de la solution : Ce solution permet la protection privé d un logiciel et la protection privé intellectuel grâce à la mise en place d un dongle USB. Ce dongle possède une identité unique, une clef AES privée ainsi qu un système de cryptage/décryptage AES interne qui permet à n importe quel programme de vérifier la présence de la clef et de chiffrer des documents. Informations cryptographiques: - Cryptage interne AES (La clef AES privé ne sort jamais du dongle) - Clef 128 bits Avantage : - Très securisé - Silencieux - Prévention contre le debogage de programme fournis - Support des principaux OS (Unix/Windows/MacOS) Inconvénient: - Non nomade

15 III. CONCLUSION Il existe de nombreuse solutions d authentifications fortes sur le marché. Toutes ces solutions tendent à évoluer vers des standards différent. Dans quelques années, il est fort probable qu un employé d un société se promène avec deux à trois Tokens d authentification différents sur lui. Il faut donc fédérer toutes ces technologies entre elles de façons a pouvoir évoluer correctement. C est l'objet du consortium OATH qui est charger de réunir toutes les sociétés d authentification forte et de définir avec elles des standards pour que la prochaine génération de Tokens soit au maximum compatibles entre elles.