TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN. Etudiants LELOUP Julien & VAYEUR Guillaume
|
|
- Danielle Bourgeois
- il y a 8 ans
- Total affichages :
Transcription
1 TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN Etudiants LELOUP Julien & VAYEUR Guillaume 11 juin 2006
2 Table des matières 1 Notions essentielles PKI : Infrastructure à clé publique Les certicats numériques X Quelques notions de cryptographie Chirement symétrique Chirement asymétrique Signature numérique simple Fonction de hachage à sens unique Signature numérique sécurisée Les modes de chirement Le protocole SSL SAML LDAP : Lightweight Directory Access Protocol Présentation Le protocole LDAP Kerberos Qu'est-ce que Kerberos? Principe de fonctionnement L'algorithme DES Single Sign-On Les origines Les objectifs Architecture classique d'un SSO Le serveur d'authentication L'agent d'authentication Les architectures multi-tiers D'autres architectures SSO Exemples de projets liés au SSO Microsoft Passport Liberty Alliance Le projet Shiboleth Etude comparative LemonLDAP Architecture du programme et principe de fonctionnement Installation Avantages
3 3.1.4 Inconvénients Vulture Principes et architecture Installation Forces et faiblesses LASSO Le SSO made in Liberty Alliance Fonctionnement Des points forts mais aussi des points faibles C.A.S. : Central Authentication Service Origines Fonctionnement Points forts de CAS Points faibles Bibliographie et ouvrages de référence 54 2
4 Avant-propos Un début de journée comme les autres dans une entreprise comme les autres... 8 :00 - Arrivé au bureau, Mr. X allume son ordinateur et, comme chaque matin, doit "pointer", c'est-à-dire saisir son nom d'utilisateur et son mot de passe pour pouvoir ouvrir sa session...par chance, il les connaît par coeur. 8 :04 - Arrivée du chef de secteur dans le bureau : Il me faudrait le compte-rendu de la réunion de mardi. Je vous l'envoie de suite par , s'empresse de répondre Mr. X. Dans 1 minute vous pourrez l'imprimer! 8 :05 - Mr. X, ayant mis la main sur le compte-rendu, s'empresse de l'envoyer par ... encore doit-il se connecter à son client de messagerie... Zut, c'est quoi le mot de passe encore? Ah oui, c'est vrai, c'est écrit sur le post-it bleu! Et voilà, envoyé! 8 :08 - Retour du chef de secteur : X, merci pour la rapidité, mais le message est crypté... Mais puisque nous sommes du même service, il ne devrait pas vous faire ce genre d'erreur...bon, je vous l'envoie en décrypté tout de suite. 8 :09 - Bon, le décrypter, d'accord, mais c'est quoi le mot de passe pour ça? Ah oui, je l'ai noté sur mon Palm... que j'ai oublié en partant ce matin! Je suis bon pour en demander un nouveau à l'administrateur réseau. 8 :10 - L'administrateur réseau n'est pas dans son bureau... Mr. X réessaiera dans 5 minutes. 8 :12 - En attendant le nouveau mot de passe, je vais continuer ce que je faisais hier. Alors, pour lancer l'application Bidule, il me faut mon Login et mon Password... Zut, il est où ce post-it vert? 8 :17 - Mr. X a retrouvé le post-it vert, sous son armoire. Alors, Login : XXXX, Password : XXXX... Et voila, connecté! Ah c'est vrai, j'ai codé le travail d'hier... et le mot de passe pour le décrypter est dans mon Palm... Je suis bon pour appeler à la maison! 8 :22 - Mr. X a appelé chez lui et a pu ouvrir son travail. Il a également réussi, peu avant, à joindre l'administrateur réseau pour lui demander un mot de passe pour décrypter le compte-rendu demandé par son chef. Bon, en attendant des nouvelles de l'administrateur, j'ai de quoi faire, se dit Mr.X. Tu ne saurais pas comment je pourrais imprimer ce dossier plus rapidement? l'interrompt son collègue. C'est pas dicile, lui répond X, il te sut d'utiliser l'imprimante de la salle d'édition. Et comment je fais? C'est simple, regarde, tu vas dans Fichier, Imprimer, tu choisis Imprimante en réseau, et là tu vois Imprimante_Salle_Edition. Tu cliques sur OK et... Ah zut, encore un mot de passe... et je ne sais plus lequel c'est... 3
5 C'est pas écrit sur le post-it rouge? Ah oui, tu as raison... Le voilà... Ca y est, impression lancée. Merci bien! 8 :28 - Retour du chef de secteur : Bon, X, il en est où ce compte-rendu? J'attends toujours que l'administrateur m'envoie un nouveau mot de passe! Ah tiens, c'est quoi ce papier? Il est écrit "Crypto_Password : Xd2..." Le mot de passe pour le décryptage de mes rapports!! s'écrit X. Bon avec un peu de chance, il n'a pas encore été réinitialisé. 8 :29 - "Mot de passe incorrect" s'ache sur l'écran de l'ordinateur de Mr. X. Son mot de passe de cryptage a été réinitialisé, mais le nouveau n'est toujours pas arrivé. 8 :45 - Mr. X appelle le service des administrateurs réseau. 8 :51 - Quelqu'un décroche : Allo? Ici Mr. X du service Y. J'ai demandé un nouveau mot de passe de cryptage, mais j'attends depuis bientôt une demi heure... Il va arriver, ne vous inquiétez pas! 9 :12 - Le mot de passe arrive... Une heure dans une entreprise comme les autres... Mots de passe oubliés car trop nombreux, ou égarés car stockés au mauvais endroit, nuisent au bon déroulement d'une journée de travail. Pour palier à ce genre de problèmes, une solution a récemment été mise au point : le S.S.O. (Single Sign On). Grâce à celà, la saisie d'un seul couple "login/mot de passe" aurait permis à Mr. X d'accéder à tous ses documents et toutes les applications sans avoir à chercher tel ou tel post-it, car tel est le rôle d'un système SSO : orir un service d'authentication centralisée, ce qui améliore sécurité et facilité d'utilisation du système d'information. Le SSO est une technologie émergente, relativement jeune. Elle ne repose pas actuellement sur des bases, des normes et des protocoles communément admis, mais est plus un assemblage de diérentes technologies bien connues, mises en uvre dans un même but : l'authentication unique, avec renforcement de la sécurité du système d'information et de sa cohérence. Parmis ces technologies, citons, entre autres, les P.K.I. (Public Key Infrastructure), les certicats X.509, ou encore le protocole S.S.L. (Secure Socket Layer ), dont buts et fonctionnement seront expliqués en détail dans le Chapitre 1 : Notions essentielles. Bien que ne se basant pas sur des normes bien établies, on peut tout de même reconnaître des points communs aux diérentes solutions existantes actuellement sur le marché. La tendance la plus développée parmis les SSO actuels prend la forme du WebSSO : un serveur SSO basé sur des technologies du web (Apache, Tomcat, cookies, SSL...), accessibles par les utilisateurs via un navigateur web conventionnel. Un tel SSO permet aisément de faire le lien entre des utilisateurs et des applications web classique, mais aussi des applications non web, grâce à divers moyens tels que les C.G.I. (Common Gateway Interface) par exemple. La plupart des SSO rencontrés actuellement sont basés sur cette architecture, dont le schéma global est montré sur la Figure 1 ci-dessous, bien qu'il existe d'autres possibilités de SSO. Nous aborderons toutes ces architectures dans le Chapitre 2 : Single Sign On. 4
6 Fig. 1 Schéma général d'un système SSO Il nous est apparu, en eectuant diverses recherches sur le sujet, que de nombreuses solutions SSO existent en ce moment sur Internet. Certaines d'entre elles sont à but professionnel, et sont donc proposées à divers clients contre rémunérations. D'autres en revanche appartiennent au monde des logiciels libres de droit, sous licence G.P.L. (Global Public Licence), et dont les sources sont librement téléchargeables. Nous avons donc établi une étude comparative de quatre de ces solutions dites Open Source, que vous verrez dans le Chapitre 3 : Etude comparative. Le but de cette comparaison n'est pas d'eectuer un classement ou d'évaluer la "meilleure" solution SSO Open Source, mais de montrer l'absence de standard propre à cette technologie, et qu'aucune de ces solutions n'est meilleure que les autres. 5
7 Chapitre 1 Notions essentielles 6
8 1.1 PKI : Infrastructure à clé publique Grâce à la cryptographie à clé publique 1, chaque entité nale (une personne, un serveur, etc...) possède une paire de clés privée/publique. Avec sa clé privée, l'utilisateur peut s'authentier et/ou signer numériquement des documents. An que l'on puisse l'identier ou vérier sa signature, un utilisateur doit distribuer ou mettre à disposition sa clé publique auprès de tout le monde. Les PKI permettent de mettre à disposition sur un serveur les clés publiques des utilisateurs sous la forme d'un certicat numérique, notamment au format X Mais une première question se pose alors : comment peut-on savoir à qui appartient telle ou telle clé publique qui n'est qu'une chaîne binaire? En d'autres termes, comment rattacher une clé publique à son propriétaire? > La solution est de ne pas distribuer de clé, mais des certicats numériques contenant ces clés, un certicat numérique étant un chier contenant la clé publique d'un utilisateur et des donnés sur son identité. Par exemple, ces données seront pour une personne physique son état civil, alors que pour un serveur, on donnera son nom de domaine. Se pose alors une autre question : comment être sûr de l'authenticité d'un certicat? > Pour être reconnu comme authentique, un certicat (a) doit être signé avec une clé privée. Celle-ci est associée à une clé publique contenue dans un autre certicat (b). Donc grâce à (b), on sait que (a) est authentique. Mais alors comment reconnaître à son tour (b) comme authentique? > Il faut à ce moment que (b) se certie lui-même! On dira alors que ce certicat est auto-signé. Ce certicat particulier est appelé certicat racine ou certicat RootCA ( Root Certicate Authority, en français racine de l'autorité de certication). Dénition : Une Autorité de Certication (AC) - Certicate Authority (CA) en anglais - est l'entité juridique et morale d'une PKI (en général, un organisme de certication, une entreprise). En conclusion, la PKI peut se dénir ainsi : Une PKI est une infrastructure formée de serveurs et de certicats, créant, gérant et mettant à disposition des certicats numériques dont l'authenticité est certiée par l'autorité de certication représentant et utilisant cette PKI. La chaîne précédemment construite ((b) certie (a)) s'appelle une chaîne de certicats. Pour mettre en place la structure logique d'une PKI, il faut contruire cette chaîne en partant du certicat RootCA. Pour cela, il existe plusieurs types de chaînes de certicats : 1 Voir la section page 14 2 Voir la section 1.2 page 9 7
9 Fig. 1.1 PKI formée d'une chaîne de certicats Ce type de structure (Fig. 1.1 ) peut être utilisé dans les entreprises de grande taille pour distribuer des certicats qui donneront accès à l'intranet de l'entreprise. Dans ce cas, chaque certicat CA Intermédiaire peut représenter une liale ou un département de l'entreprise. Fig. 1.2 PKI formée d'un seul certicat RootCA Ce cas (Fig. 1.2 ) est peu utilisé par les organismes de certication, puisque c'est une structure plus adaptée aux entreprises de petite taille, ou utilisée pour une application web unique. Fig. 1.3 PKI formée de plusieurs certicats RootCA Ce cas (Fig. 1.3 ) est très souvent utilisé par les organismes de certication. 8
10 1.2 Les certicats numériques X.509 Un certicat numérique peut être utilisé pour mettre en oeuvre le protocole SSL 3 sur un serveur web. Cette utilisation d'un certicat X.509 par un serveur web est nécessaire an de permettre l'échange de clé de session entre le client et le serveur pour établir la condentialité des données transmises, l'authentication du serveur par le client, et, en option, l'authentication du client par le serveur. Les certicats numériques sont également utilisés dans les applications mettant en oeuvre le standard S/MIME (Secure Multipurpose Internet Mail Extensions) comme les messageries de courrier électronique. Ces certicats permettent de chirer et/ou signer ses messages. Un certicat Utilisateur permettra de mieux authentier une personne physique que la simple utilisation du traditionnel couple login/password, car l'identité de la personne est contenue et certiée dans le certicat et car la clé privée correspondant à la clé publique contenue dans ce certicat est chirée à l'aide d'un mot de passe connu seulement de cette personne. Un certicat numérique X.509 contient trois champs obligatoires : 1. Un champs appelé TBS (To Be Signed), qui sera signé, et qui contient toutes les informations suivantes : Le numéro de version du certicat X.509 (v1, v2, ou v3) Le numéro de série du certicat Le DN (Distinguished Name) du certicat signataire (issuer) La période de validité du certicat et de sa clé publique Le DN du titulaire de la clé publique La clé publique (du titulaire) et son algorithme associé Des extensions X.509 v3 facultatives 2. L'algorithme asymétrique et la fonction de hachage 4 utilisés pour la signature 3. La signature de l'empreinte numérique du TBS. Création d'un certicat numérique : Générer une requête de certicat au format standard PKCS#10 ( Public-Key Cryptography Standard #10 ) L'envoyer à une authorité de certication Cette authorité de certication crée le champs TBS avec toutes les données de la requête. Elle calcule l'empreinte numérique du TBS qu'elle signe avec sa clé privée. Cette signature est jointe au TBS pour former le certicat numérique X.509. Vérication de la validité d'un certicat : Pour vérier la validité d'un certicat, il faut au préalable que le destinataire fasse conance à l'autorité de certication signataire du certicat qu'il souhaite vérier. La vérication d'un certicat se fait en 4 étapes : 1. Récupération du certicat de l'authorité de certication signataire 2. Calcul de l'empreinte numérique des données (TBS) du certicat 3 Voir section 1.4 page 19 4 Fonctionnement du chirement asymétrique et des fonctions de hachage expliqués dans la section Quelques notions de cryptographie page 13. 9
11 3. Déchirement de l'empreinte numérique chirée du certicat à l'aide de la clé publique de l'autorité de certication 4. Vérication de l'égalité des deux empreintes numériques obtenues Schématiquement, la création et la vérication de la validité d'un certicat peut se représenter ainsi : Dénition ASN.1 : Fig. 1.4 Création et validation d'un certicat numérique La dénition d'un certicat X.509 est faite en langage ANS.1 (Abstract Syntax Notation number One) qui permet de décrir des types de données indépendamment de l'architecture choisie. Un chier source dans ce langage aura ".asn" pour extension. Pour illustrer ce langage, voici les deux premières déclarations ASN.1 d'un certicat X.509 : Certificate ::= SEQUENCE { tbscertificate TBSCertificate, signaturealgorithm AlgorithmIdentifier, signature BIT STRING } TBSCertificate ::= SEQUENCE { version [0] Version DEFAULT v1, serialnumber CertifiacteSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, 10
12 -- If present, version MUST be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 extensions [3] Extensions OPTIONAL -- If present, version MUST be v3 -- } Le format DER : La transformation de la dénition ASN.1 d'un certicat X.509 en chier exploitable par des applications se fait en appliquant les règles d'encodage DER (Distinguished Encoding Rules) qui sont une sous-ensemble des règles BER (Basic Encoding Rules) décrites dans les recommandations ITU-T X.208. Les éléments ASN.1 codés avec DER sont des triplés balise/longueur/valeur représentés par une suite d'octets. Un chier au formats DER ou BER aura pour extension respectivement ".der" ou ".ber". Le format PEM : Le format DER des certicats numériques n'est pas adapté aux traitements faits par les applications de courriers électroniques, car il contient des octets qui pourraient être modiés par les serveurs de mails au cours des transferts. Ainsi, le format PEM (Privacy Enhanced Mail) résout ce problème en codant les données au format Base64. Un chier quelconque au format PEM aura ".pem" comme extension, mais en général on préférera lui donner une extension spéciant le type des données contenues (exemple : ".crt" pour un certicat signé). Comme exemple, voici un chier contenant un certicat X.509 codé en Base64 : BEGIN CERTIFICATE MS4Df4rtgSDf4b525vghDF8g552DFGvfrGt24GQz24DCfrD8F7rfdCVG4tF4EG52... JF4feFE1veHTHTbtrbfJVd4gtGr44EEJ== END CERTIFICATE Le format Base64 permet de coder un chier binaire (codé sur 256 valeurs) avec les 64 caractères [A-Za-z0-9/+] sur des lignes de 64 octets : il remplace 3 octets binaires par 4 octets ASCII achables, car 3 blocs de 8 bits (3 X 8 = 24) peuvent être vus commes 4 blocs de 6 bits. Or avec 6 bits, il est possible de coder 64 caractères. De plus, chacun de ces 64 caractères ACSII sera codé sur un octet. Comme les chiers n'ont pas nécessairement une taille multiple de 48 octets, la dernière ligne peut être incomplète (de taille inférieure à 64 octets) ; de même, le dernier bloc de 4 octets peut contenir le caractère "=". 11
13 Le format PKCS#12 : Le format PKCS#12 (Public-Key Cryptography Standard #12 ) permet de rassembler dans un seul chier une paire de clés privée/publique, le certicat correspondant, le certicat signataire et toutes les chaînes de certicats CA signataires jusqu'à un certicat RootCA. Ce format est très utile pour installer un certicat Utilisateur dans un client web ou un client de messagerie. Un tel chier a pour extension ".p12". Voici un exemple de certicat X.509 (certicat RootCA d'une authorité de certication) : Certificate: Data: Version: 3 (0X2) Serial number: (0X1) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, L=City, O=Company, CN=Company Root CA Validity Not Before: Mar 28 12:00: GMT Not After : Mar 28 18:00: GMT Subject: C=FR, L=City, O=Company, CN=Company Root CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (4096 bit) Modulus (4096 bit): 00:ac:49:db:13:df:fa:84:78:e8:15:9a:53:d6:32: 60:f6:b6:34:0d:7f:30:37:65:80:fa:b6:ba:29:7e:... 68:11:b9:c5:c2:f0:c2:e8:d5:f2:b8:05:2f:ad:a8: c4:ed:47 Exponent: (0X10001) X509v3 extensions: X509v3 Basic Constraints: critical CA: TRUE X509v3 Subject Key Identifier: FC:75:A1/BF:EA:92:9F:80:51:B9:60:5C:E6:C0:00:8A:10:E8:A4:FD X509v3 Key Usage: critical Certificate Sign, CRL Sign Signature Algorithm: sha1withrsaencryption 92:41:dc:3e:c2:7c:22:9f:77:b3:c3:72:92:9a:af:39:29:20: 85:eb:d8:ff:58:d2:4f:ce:98:01:4a:f2:29:f7:7e:96:fe:eb:... 2f:8a:a5:9b:e5:32:ff:7c:0e:83:81:bb:22:41:18:4b:25:05: 67:10:2b:95:01:57:d6:4e 12
14 Pour s'y retrouver, voici la structure générale d'un certicat X.509 : 1.3 Quelques notions de cryptographie Chirement symétrique Chirement symétrique, algorithme à clé secrète, cryptographie à clé secrète : tous ces termes désignent la même technique. Ici, l'émetteur et le destinataire du message disposent de la même clé secrète k. L'émetteur va utiliser cette clé secrète k pour chirer le message M. Le message chiré est C. Le récepteur utilisera cette même clé secrète pour déchirer C et retrouver ainsi le message en clair M. La condentialité est assurée, ainsi que l'authentication, car seules les deux parties possèdent la clé secrète k : condentialité car les deux parties concernées possèdent la clé secrète k ; authentication de l'émetteur assurée pour le destinataire car il sait que, mis à part luimême, l'émetteur est le seul à posséder la clé secrète k. Les algorithmes à clé secrète peuvent être classés en deux catégories. Certains opèrent sur le message en clair un bit à la fois. Ceux-ci sont appelés algorithmes de chirement en continu. D'autres opèrent sur le message en clair par groupes de bits. Ces groupes de bits sont appelés blocs, et les algorithmes correspondants sont appelés algorithmes de chirement par blocs. Pour des algorithmes réalisés sur ordinateur, la taille typique des blocs est de 64 bits 5. 5 Ce qui est assez grand pour interdire l'analyse et assez petit pour être pratique. 13
15 Fig. 1.5 Chirement symétrique : schéma de principe Chirement asymétrique Chirement asymétrique, algorithme à clé publique, cryptographie à clé publique : tous ces termes désignent la même technique. Cette technique repose sur le fait que la clé de chirement est diérente de la clé de déchirement. La clé de chirement, qui est appelée clé privée, est gardée secrète, tandis que la clé de déchirement, qui est appelée clé publique, est destinée à être divulguée. Les algorithmes à clé publique permettent d'assurer la condentialité d'un message. Dans ce cas, la procédure à suivre est la suivante : l'émetteur doit récupérer la clé publique k 1 du destinataire avec laquelle il va chirer le message en clair M. Puis il va envoyer le message chiré résultant C au destinataire ; ainsi, le destinataire peut déchirer ce message chiré C avec sa clé privée k2 et retrouver le message en clair M d'origine. Seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (c'est-à-dire le destinataire légitime) pourra déchirer ce message chiré C et retrouver le message en clair M d'origine. Cela garantit la condentialité du message envoyé. Fig. 1.6 Algorithme à clé publique : schéma de principe 14
16 1.3.3 Signature numérique simple L'un des pricipaux avantages de la cryptographie à clé publique est d'orir une méthode pour la signature numérique. Cette méthode permet au destinataire de vérier l'authenticité, l'origine et l'intégrité d'un message signé. Ainsi, les signatures numériques à clé publique garantissent l'authentication de l'émetteur et l'intégrité des données. Elles fournissent également une fonctionnalité de non-répudiation, an d'éviter que l'expéditeur prétende qu'il n'a pas envoyé les informations. Ces mécanismes sont mis en oeuvre selon la procédure suivante : l'émetteur chire (signe) le message en clair M avec sa clé privée k 2. Puis, il va envoyer ce message en clair M et le message chiré résultant C (le signature) au destinataire ; ainsi, le destinataire n'a qu'à récupérer la clé publique k 1 de l'émetteur avec laquelle il va déchirer le message chiré C pour obtenir un message M'. Pour vérier la signature, le destinataire doit comparer le message M' qu'il vient d'obtenir avec le message en clair M. Si les deux sont identiques, alors la signature est vériée. Donc, seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (l'émetteur) peut chirer le message en clair M et générer un message chiré C (la signature) qui pourra être déchirée avec la clé publique k 1. Un destinataire qui aura récupéré la clé publique k 1 de l'émetteur pourra ainsi être sûr que le message a bien été signé avec la clé privée k 2 de l'émetteur. Cela garantit bien l'authentication de l'émetteur et l'intégrité du message envoyé. Fig. 1.7 Principe d'une signature numérique avec un algorithme à clé publique : 15
17 1.3.4 Fonction de hachage à sens unique En informatique, une foncton de hachage est une fonction qui convertit une suite de bits de taille quelconque en une suite de bits de taille xe. Le résultat d'une fonction de hachage s'appelle une empreinte numérique. Deux suites de bits identiques donneront deux empreintes numériques identiques. Deux suites de bits diérentes peuvent donner deux empreintes numériques identiques mais la probabilité de se trouver dans ce cas est innitésimale. Cela est très utile, par exemple, pour comparer deux chiers : au lieu de comparer les deux chiers octet par octet, il sut de calculer leur empreinte numérique et de comparer celles-ci. En mathématique, une fonction à sens unique est une fonction facile à calculer dont l'inverse l'est beaucoup moins 6. En d'autres termes, étant donné un x, il est facile de calculer f(x), mais étant donnée f(x), il est très dicile de calculer x. En cryptographie, une fonction de hachage à sens unique est une fonction qui permet de calculer facilement une empreinte numérique de taile xe à partir d'une suite de bits de taille quelconque et dont l'inverse est très dicile à calculer. C'est-à-dire, étant données une suite de bits et son empreinte numérique, il est dicile de trouver une suite de bits diérente donnant la même empreinte numérique. En termes mathématiques, cela s'écrit ainsi : Etant donne un x 1, il est facile de calculer f(x 1 ), mais il est dicile de calculer x 2 tel que : x 1 x 2 et f(x 1 ) = f(x 2 ) Les fonctions de hachage (à sens unique) utilisées en cryptographie ont la particularité suivante : Si l'on modie un seul bit du message d'origine, alors la fonction de hachage produit une empreinte numérique complètement diérente. Fig. 1.8 Fonction de hachage à sens unique : fonctionnement 6 Très dicile voire impossible dans un temps raisonnable, c'est-à-dire inférieur à l'âge de l'univers (estimé à 1, années en 2003 par la NASA) 16
18 1.3.5 Signature numérique sécurisée La signature numérique simple n'est jamais utilisée en pratique, car le processus est lent et produit un volume important de données. Il est lent car l'obtension de la signature se fait en chirant l'ensemble du texte original. Et le résultat comprend le texte en clair et la signature, ce qui donne un volume de données égal au double de la taille du texte en clair. En pratique, on utilise la signature numérique sécurisée qui s'appuie sur les fonctions de hachage à sens unique. Plutôt que signer tout le message, seule l'empreinte numérique du message est signé. D'après les propriétés des fonctions de hachage à sens unique, cela revient exactement au même que de signer le message lui-même. Une empreinte numérique signée s'appelle code d'authentication du message (en anglais MAC :Message Authentication Code). Fig. 1.9 Signature numérique sécurisée : fonctionnement Les modes de chirement Il ne sut pas de découper un message en blocs de même taille et de chirer chacun de ces blocs avec un algorithme de chirement par blocs, puis de mettre tous ces blocs chirés côte à côte pour former le message chiré. La sécurité en serait très faible, car un bloc identique serait toujours chiré de la même façon, et donc il surait de cryptanalyser 7 les blocs un à un indépendamment les uns des autres, et de se faire une base de données de couples "bloc en clair/bloc chiré". C'est pour répondre à ce problème que les modes de chirement ont été inventés. 7 La cryptanalyse est la science qui permet de reconstruire le texte en clair sans connaissance de la clé de chirement. Une tentative de cryptanalyse est appelée attaque et une attaque réussie est appelée une méthode, qui fournit soit le texte en clair, soit la clé. 17
19 Il en existe 4 principaux : Mode ECB (Electronic CodeBook ) : ce mode revient ne rien faire et n'assure aucune sécurité. c i = E k (m i ) Mode CBC (Cypher Block Chaining ) : ce mode est très sécurisé, car il dépend fortement du message à chirer. Néanmoins, il faut écrire la fonction D k = E 1 k inverse de la fonction E k pour déchirer le message. { c0 = IV c i = E k (m i c i 1 ) Mode CFB (Cypher FeedBack ) : ce mode est également très sécurisé, car il dépend fortement du message à chirer. De plus, l'algorithme de chirement E k n'est plus utilisé que dans un seul sens (le sens du chirement). Le déchirement se fait au niveau du OU Exclusif. { c0 = IV c i = m i E k (c i 1 ) Mode OFB (Output FeedBack ) : autre mode très sécurisé. De plus, comme le mode CFB, l'algorithme de chirement de E k n'est utilisé que dans le sens du chirement. Le mode OFB est symétrique, c'est-à-dire que le chirement et le déchirement sont identiques. z 0 = IV z i = E k (z i 1 ) c i = m i z i Légende des équations : m i i e bloc du message en clair c i i e bloc du message chiré E k algorithme de chirement utilisant la clé secrète k OU Exclusif (XOR) IV Initial Value (valeur initiale quelconque et en clair) Caractéristiques des modes de chirement : Chirement Déchirement Transmission Mode Une erreur sur le bloc m i, Une erreur sur le bloc c i, La synchronisation : le texte en clair... le texte chiré... conséquence d'un décalage ECB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le bloc m i non déchirable. CBC Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc c i bloc c i rend le bloc m i et tous et tous les blocs suivants et dans le bloc c i+1 les suivants indéchirables. CFB Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le et dans tous les suivants. et dans le bloc m i+1. bloc m i non déchirable. OFB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i. dans le bloc m i. bloc c i rend le bloc m i et tous les suivants non déchirables. 18
20 En conclusion, les infrastructures PKI sont très performantes en matière de sécurité, en permettant l'authentication d'un utilisateur auprès d'un serveur, la non-répudiation des communication et la signature de celles-ci. Cette méthode est très utile lors de la mise en place d'une solution SSO : en eet, le SSO permet d'intégrer n'importe quelle méthode d'authentication, et la PKI permet d'avoir un surcroit de sécurité intéressant. 1.4 Le protocole SSL SSL (Secure Socket Layer), développé par la société Netscape Communication Corporation, est un protocole de sécurisation des échanges de données sur Internet entre un client et un serveur. Les trois fonctionnalités de ce protocole sont : l'authentication du serveur, l'authentication du client et le chirement des données. SSL est apparu en 1994 dans les navigateurs web avec la version 2.0. L'actuelle version 3.0 est la plus répandue, et est plus sécurisée que la version précédente. En 2001, l'ietf (Internet Engineering Task Force) rachète le brevet à Netscape pour sortir le nouveau protocole TLS (Transport Layer Security) décrit dans la RFC 2246 [1]. Ces deux protocoles SSL et TLS utilisent des certicats numériques X.509 pour mettre en oeuvre les principes de la cryptographie asymétrique an d'échanger en toute condentialité une clé de session SSL. Dans le modèle OSI, le protocole SSL se situe juste au-dessus de la couche TCP et sous la couche Application : il peut être vu comme un protocole de niveau 5 (couche Session). Cela signie que SSL est indépendant de la couche Application et que tous les protocoles HTTP, FTP, POP3, LDAP, TELNET,...peuvent être encapsulés dans le protocole SSL. Ainsi, ces protocoles applicatifs sont renommés HTTPS, FTPS, POP3S, LDAPS et TELNETS ("S" pour secured, sécurisé). Fig Fonctionnement SSL Le protocole SSL est composé des protocoles suivants : La couche "SSL Record Layer" qui est chargée de la fragmentation, de la compression, de l'intégrité et du chirement des données ; 19
Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO
Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction
Plus en détailIntroduction aux architectures web de Single Sign-on
Olivier Salaün Comité Réseau des Universités Campus de Beaulieu - Rennes Olivier.salaun@cru.fr 15 Octobre 2003 Résumé Introduction aux architectures web de Single Sign-on L'article aborde la problématique
Plus en détailCryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1
Cryptographie Master de cryptographie Architectures PKI 23 mars 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 23 mars 2015 1 / 17 Cadre Principe de Kercho : "La sécurité d'un système
Plus en détailChapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux
Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours
Plus en détailTour d horizon des différents SSO disponibles
Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire
Plus en détailSommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références
Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20
Plus en détailIntroduction. aux architectures web. de Single Sign-On
Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant
Plus en détailCIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Plus en détailCours 14. Crypto. 2004, Marc-André Léger
Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)
Plus en détailAuthentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011
1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...
Plus en détailAristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009
Aristote Groupe PIN Utilisations pratiques de la cryptographie Frédéric Pailler (CNES) 13 janvier 2009 Objectifs Décrire les techniques de cryptographie les plus courantes Et les applications qui les utilisent
Plus en détailLa sécurité dans les grilles
La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation
Plus en détailAuthentification et contrôle d'accès dans les applications web
Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités
Plus en détailGuide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique
Document technique : Guide d'initiation aux certificats ssl Document technique Guide d'initiation aux certificats SSL Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en
Plus en détailA. À propos des annuaires
Chapitre 2 A. À propos des annuaires Nous sommes familiers et habitués à utiliser différents types d'annuaires dans notre vie quotidienne. À titre d'exemple, nous pouvons citer les annuaires téléphoniques
Plus en détailSSL ET IPSEC. Licence Pro ATC Amel Guetat
SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique
Plus en détailLes certificats numériques
Les certificats numériques Quoi, pourquoi, comment Freddy Gridelet 9 mai 2005 Sécurité du système d information SGSI/SISY La sécurité : quels services? L'authentification des acteurs L'intégrité des données
Plus en détailLemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM
LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et
Plus en détailQu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants
Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités
Plus en détailSécurisation des architectures traditionnelles et des SOA
Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures
Plus en détailWebSSO, synchronisation et contrôle des accès via LDAP
31 mars, 1er et 2 avril 2009 WebSSO, synchronisation et contrôle des accès via LDAP Clément Oudot Thomas Chemineau Sommaire général Synchronisation d'identités WebSSO et contrôle des accès Démonstration
Plus en détailCertificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS
Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS Nicole Dausque CNRS/UREC CNRS/UREC IN2P3 Cargèse 23-27/07/2001 http://www.urec.cnrs.fr/securite/articles/certificats.kezako.pdf http://www.urec.cnrs.fr/securite/articles/pc.cnrs.pdf
Plus en détailS28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)
Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single
Plus en détailProtocole industriels de sécurité. S. Natkin Décembre 2000
Protocole industriels de sécurité S. Natkin Décembre 2000 1 Standards cryptographiques 2 PKCS11 (Cryptographic Token Interface Standard) API de cryptographie développée par RSA labs, interface C Définit
Plus en détailSécurité de l'information
Sécurité de l'information Sylvain Duquesne Université Rennes 1, laboratoire de Mathématiques 24 novembre 2010 Les Rendez-Vous Mathématiques de l'irem S. Duquesne (Université Rennes 1) Sécurité de l'information
Plus en détailCe document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.
PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des
Plus en détailDescription de la maquette fonctionnelle. Nombre de pages :
Description de la maquette fonctionnelle Nombre de pages : 22/07/2008 STATUT DU DOCUMENT Statut Date Intervenant(s) / Fonction Provisoire 22/07/2008 Approuvé Validé HISTORIQUE DES MODIFICATIONSICATIONS
Plus en détailRichard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple
Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises La banque en ligne et le protocole TLS : exemple 1 Introduction Définition du protocole TLS Transport Layer Security
Plus en détailCertificats et infrastructures de gestion de clés
ÉCOLE DU CIMPA "GÉOMÉTRIE ALGÉBRIQUE, THÉORIE DES CODES ET CRYPTOGRAPHIE" ICIMAF et Université de la Havane 20 novembre - 1er décembre 2000 La Havane, Cuba Certificats et infrastructures de gestion de
Plus en détailSignature électronique. Romain Kolb 31/10/2008
Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...
Plus en détailPrésentation de Active Directory
Brevet de Technicien Supérieur Informatique de gestion. Benoît HAMET Session 2001 2002 Présentation de Active Directory......... Présentation d Active Directory Préambule...4 Introduction...5 Définitions...5
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailSingle Sign-On open source avec CAS (Central Authentication Service)
JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi
Plus en détailCertificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC
Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre
Plus en détailChapitre 1 : Introduction aux bases de données
Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données
Plus en détailL'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :
Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization
Plus en détailDu 03 au 07 Février 2014 Tunis (Tunisie)
FORMATION SUR LA «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES» POUR LES OPERATEURS ET REGULATEURS DE TELECOMMUNICATION Du 03 au 07 Février 2014 Tunis (Tunisie) CRYPTOGRAPHIE ET SECURITE
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailFORMATION SUR «CRYPTOGRAPHIE APPLIQUEE
FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES : STANDARDS, ALGORITHMES DE HACHAGE ET PKI» DU 22 AU 26 JUIN 2015 TUNIS (TUNISIE) CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES
Plus en détailTélécom Nancy Année 2013-2014
Télécom Nancy Année 2013-2014 Rapport 1A Ajout du langage C dans la Programmer's Learning Machine GIANNINI Valentin Loria 615, rue du Jardin Botanique 54600, Villers-Lès-Nancy Maître de stage : QUINSON
Plus en détailSingle Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal
Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal SSO open source avec CAS Introduction Pourquoi le Single Sign-On? Principes du SSO sur le
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailArchitectures web/bases de données
Architectures web/bases de données I - Page web simple : HTML statique Le code HTML est le langage de base pour concevoir des pages destinées à être publiées sur le réseau Internet ou intranet. Ce n'est
Plus en détailLa suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008
La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands
Plus en détail[ Sécurisation des canaux de communication
2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies
Plus en détailRestriction sur matériels d impression
Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP
Plus en détailGestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader
Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:
Plus en détailArchitectures PKI. Sébastien VARRETTE
Université du Luxembourg - Laboratoire LACS, LUXEMBOURG CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours Cryptographie & Securité Réseau Master
Plus en détailI.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.
DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de
Plus en détailLes Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05
Les Protocoles de sécurité dans les réseaux WiFi Ihsane MOUTAIB & Lamia ELOFIR FM05 PLAN Introduction Notions de sécurité Types d attaques Les solutions standards Les solutions temporaires La solution
Plus en détailService de certificat
Service de certificat Table des matières 1 Introduction...2 2 Mise en place d une autorité de certification...3 2.1 Introduction...3 2.2 Installer le service de certificat...4 3 Sécuriser un site web avec
Plus en détailAnnuaires LDAP et méta-annuaires
Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS yphise@yphise.com - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 Agenda A propos d Yphise Les annuaires
Plus en détailInstallation et utilisation d'un certificat
1 IceWarp Merak Mail Server Installation et utilisation d'un certificat Icewarp France octobre 2007 2 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Sommaire Introduction...3 Situation
Plus en détailProtocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos
Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation
Plus en détailTAGREROUT Seyf Allah TMRIM
TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation
Plus en détailGestion des identités
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI
Plus en détail1. Présentation de WPA et 802.1X
Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition
Plus en détailUn exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi
Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé
Plus en détailGestion des utilisateurs et Entreprise Etendue
Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission
Plus en détailENVOLE 1.5. Calendrier Envole
ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise
Plus en détailPerso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs
HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés
Plus en détailL3 informatique TP n o 2 : Les applications réseau
L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique
Plus en détailFormation SSO / Fédération
Formation SSO / Fédération CYRIL GROSJEAN (cgrosjean@janua.fr) CONSULTANT JANUA Agenda Objectifs du SSO Terminologie, acronymes et protocoles Présentation d'architectures de SSO Présentation d'architectures
Plus en détailEMV, S.E.T et 3D Secure
Sécurité des transactionsti A Carte Bancaire EMV, S.E.T et 3D Secure Dr. Nabil EL KADHI nelkadhi@club-internet.fr; Directeur du Laboratoire L.E.R.I.A. www.leria.eu Professeur permanant A EPITECH www.epitech.net
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Plus en détailShibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010. 5 mai 2010 1
Shibboleth David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010 5 mai 2010 1 Plan de l'exposé Position du problème L'architecture de Shibboleth Shibboleth
Plus en détailLes messages d erreur d'applidis Client
Fiche technique AppliDis Les messages d erreur d'applidis Client Fiche IS00313 Version document : 1.00 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de
Plus en détailLa citadelle électronique séminaire du 14 mars 2002
e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com
Plus en détailTP 2 : Chiffrement par blocs
USTL - Licence et Master Informatique 2006-2007 Principes et Algorithmes de Cryptographie TP 2 : Chiffrement par blocs Objectifs du TP utiliser openssl pour chiffrer/déchiffrer, étudier le remplissage
Plus en détailAccessMaster PortalXpert
AccessMaster PortalXpert Sommaire 1. Historique du document.....3 2. Sécuriser les ressources web...4 3. Description du produit PortalXpert.....7 Instant Secure Single Sign-on 4. Scénarios de déploiement
Plus en détailLe protocole sécurisé SSL
Chapitre 4 Le protocole sécurisé SSL Les trois systèmes de sécurisation SSL, SSH et IPSec présentés dans un chapitre précédent reposent toutes sur le même principe théorique : cryptage des données et transmission
Plus en détailL'intégration de Moodle à l'université Rennes 2 Haute Bretagne
L'intégration de Moodle à l'université Rennes 2 Haute Bretagne Intervenant : Arnaud Saint-Georges Centre de Ressources Informatiques de l'université Rennes 2 Haute Bretagne Arnaud.Saint-Georges @uhb.fr.
Plus en détailTP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname
Département d'informatique Architecture des réseaux TP2 - Conguration réseau et commandes utiles L'objectif de ce TP est d'une part de vous présenter la conguration réseau d'une machine dans l'environnement
Plus en détailInnovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés
Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Version destinée aux enseignants qui exercent dans des établissements
Plus en détailAnnuaire LDAP, SSO-CAS, ESUP Portail...
Annuaire LDAP, SSO-CAS, ESUP Portail... Patrick DECLERCQ CRI Lille 1 Octobre 2006 Plan Annuaire LDAP : - Présentation - Recommandations (SUPANN) - Architecture - Alimentation, mises à jour - Consultation
Plus en détail1 Introduction à l infrastructure Active Directory et réseau
1 Introduction à l infrastructure Active Directory et réseau Objectifs d examen de ce chapitre Ce premier chapitre, qui donne un aperçu des technologies impliquées par la conception d une infrastructure
Plus en détailTunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.
Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers
Plus en détailLes modules SI5 et PPE2
Les modules SI5 et PPE2 Description de la ressource Propriétés Intitulé long Formation concernée Matière Présentation Les modules SI5 et PPE2 BTS SIO SI5 PPE2 Description Ce document présente une approche
Plus en détailWindows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.
2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation
Plus en détailPolux Développement d'une maquette pour implémenter des tests de sécurité
Polux Développement d'une maquette pour implémenter des tests de sécurité équipes SERES et SSIR 28 septembre 2007 2 / 55 Plan Première partie I Aspects fonctionnels 3 / 55 Plan 1 Présentation des aspects
Plus en détailJournées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB
Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots
Plus en détailUtilisation des certificats X.509v3
En pratique Utilisation des certificats X.509v3 Commerce électronique, avec HTTPS (HTTP/SSL) Authentification SSL/TLS par certificat, obligatoire pour le serveur Authentification optionnelle pour le client
Plus en détailSAML et services hors web
SAML et services hors web SAML en bref Security Assertion Markup Language Fédération d'identités pour le web SingleSignOn (SSO) et SingleLogout (SLO) Diffusion contrôlée d'informations personnelles Ne
Plus en détailModèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011
Modèle de sécurité de la Grille Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011 2 Plan Introduction a la sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification
Plus en détailPolitique de Certication. Certigna ID PRIS Pro
Dhimyotis - Référentiel documentaire RGS Politique de Certication Certigna ID PRIS Pro (Authentication et Signature) OID = 1.2.250.1.177.1.9.1.6 Entreprise et Administration Référence RD-102 Version 6.0
Plus en détailFORMATIONS 2010. www.ineovation.fr
Infrastructures à clefs publiques/pki X.509 Sécurité de la Voix sur IP Technologie IPSec VPN Introduction à la cryptographie Sécuriser un système Unix ou Linux Version 1.0: 17 MAI 2010 1 1 Infrastructures
Plus en détailChapitre 2 Rôles et fonctionnalités
19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les
Plus en détailCompte-rendu de projet de Système de gestion de base de données
Compte-rendu de projet de Système de gestion de base de données Création et utilisation d'un index de jointure LAMBERT VELLER Sylvain M1 STIC Université de Bourgogne 2010-2011 Reponsable : Mr Thierry Grison
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailL identité numérique. Risques, protection
L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur
Plus en détailCryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI
Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures
Plus en détailOASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication
Statut du Committee Working Draft document Titre XACML Language Proposal, version 0.8 (XACML : XML Access Control Markup Language) Langage de balisage du contrôle d'accès Mot clé Attestation et sécurité
Plus en détailSage CRM. 7.2 Guide de Portail Client
Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,
Plus en détailSécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte
Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte UN GUIDE ÉTAPE PAR ÉTAPE, pour tester, acheter et utiliser un certificat numérique
Plus en détailPublic Key Infrastructure (PKI)
Public Key Infrastructure (PKI) Introduction Authentification - Yoann Dieudonné 1 PKI : Définition. Une PKI (Public Key Infrastructure) est une organisation centralisée, gérant les certificats x509 afin
Plus en détailAccès Mobile Sécurisé à L'aide de VPN SSL
Accès Mobile Sécurisé à L'aide de VPN SSL Septembre 2005 Un livre blanc préparé par Peter Rysavy http://www.rysavy.com +1-541-386-7475 Rapport de synthèse L'accès à distance gagne sans cesse en complexité.
Plus en détailTutoriel d'introduction à TOR. v 1.0
Tutoriel d'introduction à TOR. v 1.0 1. Qu'est-ce que TOR 2. Quel est le principe de fonctionnement de TOR? 3. Comment utiliser TOR pour naviguer anonymement? 4. Comment aider (en seulement quelques clics)
Plus en détail