TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN. Etudiants LELOUP Julien & VAYEUR Guillaume

Dimension: px
Commencer à balayer dès la page:

Download "TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN. Etudiants LELOUP Julien & VAYEUR Guillaume"

Transcription

1 TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN Etudiants LELOUP Julien & VAYEUR Guillaume 11 juin 2006

2 Table des matières 1 Notions essentielles PKI : Infrastructure à clé publique Les certicats numériques X Quelques notions de cryptographie Chirement symétrique Chirement asymétrique Signature numérique simple Fonction de hachage à sens unique Signature numérique sécurisée Les modes de chirement Le protocole SSL SAML LDAP : Lightweight Directory Access Protocol Présentation Le protocole LDAP Kerberos Qu'est-ce que Kerberos? Principe de fonctionnement L'algorithme DES Single Sign-On Les origines Les objectifs Architecture classique d'un SSO Le serveur d'authentication L'agent d'authentication Les architectures multi-tiers D'autres architectures SSO Exemples de projets liés au SSO Microsoft Passport Liberty Alliance Le projet Shiboleth Etude comparative LemonLDAP Architecture du programme et principe de fonctionnement Installation Avantages

3 3.1.4 Inconvénients Vulture Principes et architecture Installation Forces et faiblesses LASSO Le SSO made in Liberty Alliance Fonctionnement Des points forts mais aussi des points faibles C.A.S. : Central Authentication Service Origines Fonctionnement Points forts de CAS Points faibles Bibliographie et ouvrages de référence 54 2

4 Avant-propos Un début de journée comme les autres dans une entreprise comme les autres... 8 :00 - Arrivé au bureau, Mr. X allume son ordinateur et, comme chaque matin, doit "pointer", c'est-à-dire saisir son nom d'utilisateur et son mot de passe pour pouvoir ouvrir sa session...par chance, il les connaît par coeur. 8 :04 - Arrivée du chef de secteur dans le bureau : Il me faudrait le compte-rendu de la réunion de mardi. Je vous l'envoie de suite par , s'empresse de répondre Mr. X. Dans 1 minute vous pourrez l'imprimer! 8 :05 - Mr. X, ayant mis la main sur le compte-rendu, s'empresse de l'envoyer par ... encore doit-il se connecter à son client de messagerie... Zut, c'est quoi le mot de passe encore? Ah oui, c'est vrai, c'est écrit sur le post-it bleu! Et voilà, envoyé! 8 :08 - Retour du chef de secteur : X, merci pour la rapidité, mais le message est crypté... Mais puisque nous sommes du même service, il ne devrait pas vous faire ce genre d'erreur...bon, je vous l'envoie en décrypté tout de suite. 8 :09 - Bon, le décrypter, d'accord, mais c'est quoi le mot de passe pour ça? Ah oui, je l'ai noté sur mon Palm... que j'ai oublié en partant ce matin! Je suis bon pour en demander un nouveau à l'administrateur réseau. 8 :10 - L'administrateur réseau n'est pas dans son bureau... Mr. X réessaiera dans 5 minutes. 8 :12 - En attendant le nouveau mot de passe, je vais continuer ce que je faisais hier. Alors, pour lancer l'application Bidule, il me faut mon Login et mon Password... Zut, il est où ce post-it vert? 8 :17 - Mr. X a retrouvé le post-it vert, sous son armoire. Alors, Login : XXXX, Password : XXXX... Et voila, connecté! Ah c'est vrai, j'ai codé le travail d'hier... et le mot de passe pour le décrypter est dans mon Palm... Je suis bon pour appeler à la maison! 8 :22 - Mr. X a appelé chez lui et a pu ouvrir son travail. Il a également réussi, peu avant, à joindre l'administrateur réseau pour lui demander un mot de passe pour décrypter le compte-rendu demandé par son chef. Bon, en attendant des nouvelles de l'administrateur, j'ai de quoi faire, se dit Mr.X. Tu ne saurais pas comment je pourrais imprimer ce dossier plus rapidement? l'interrompt son collègue. C'est pas dicile, lui répond X, il te sut d'utiliser l'imprimante de la salle d'édition. Et comment je fais? C'est simple, regarde, tu vas dans Fichier, Imprimer, tu choisis Imprimante en réseau, et là tu vois Imprimante_Salle_Edition. Tu cliques sur OK et... Ah zut, encore un mot de passe... et je ne sais plus lequel c'est... 3

5 C'est pas écrit sur le post-it rouge? Ah oui, tu as raison... Le voilà... Ca y est, impression lancée. Merci bien! 8 :28 - Retour du chef de secteur : Bon, X, il en est où ce compte-rendu? J'attends toujours que l'administrateur m'envoie un nouveau mot de passe! Ah tiens, c'est quoi ce papier? Il est écrit "Crypto_Password : Xd2..." Le mot de passe pour le décryptage de mes rapports!! s'écrit X. Bon avec un peu de chance, il n'a pas encore été réinitialisé. 8 :29 - "Mot de passe incorrect" s'ache sur l'écran de l'ordinateur de Mr. X. Son mot de passe de cryptage a été réinitialisé, mais le nouveau n'est toujours pas arrivé. 8 :45 - Mr. X appelle le service des administrateurs réseau. 8 :51 - Quelqu'un décroche : Allo? Ici Mr. X du service Y. J'ai demandé un nouveau mot de passe de cryptage, mais j'attends depuis bientôt une demi heure... Il va arriver, ne vous inquiétez pas! 9 :12 - Le mot de passe arrive... Une heure dans une entreprise comme les autres... Mots de passe oubliés car trop nombreux, ou égarés car stockés au mauvais endroit, nuisent au bon déroulement d'une journée de travail. Pour palier à ce genre de problèmes, une solution a récemment été mise au point : le S.S.O. (Single Sign On). Grâce à celà, la saisie d'un seul couple "login/mot de passe" aurait permis à Mr. X d'accéder à tous ses documents et toutes les applications sans avoir à chercher tel ou tel post-it, car tel est le rôle d'un système SSO : orir un service d'authentication centralisée, ce qui améliore sécurité et facilité d'utilisation du système d'information. Le SSO est une technologie émergente, relativement jeune. Elle ne repose pas actuellement sur des bases, des normes et des protocoles communément admis, mais est plus un assemblage de diérentes technologies bien connues, mises en uvre dans un même but : l'authentication unique, avec renforcement de la sécurité du système d'information et de sa cohérence. Parmis ces technologies, citons, entre autres, les P.K.I. (Public Key Infrastructure), les certicats X.509, ou encore le protocole S.S.L. (Secure Socket Layer ), dont buts et fonctionnement seront expliqués en détail dans le Chapitre 1 : Notions essentielles. Bien que ne se basant pas sur des normes bien établies, on peut tout de même reconnaître des points communs aux diérentes solutions existantes actuellement sur le marché. La tendance la plus développée parmis les SSO actuels prend la forme du WebSSO : un serveur SSO basé sur des technologies du web (Apache, Tomcat, cookies, SSL...), accessibles par les utilisateurs via un navigateur web conventionnel. Un tel SSO permet aisément de faire le lien entre des utilisateurs et des applications web classique, mais aussi des applications non web, grâce à divers moyens tels que les C.G.I. (Common Gateway Interface) par exemple. La plupart des SSO rencontrés actuellement sont basés sur cette architecture, dont le schéma global est montré sur la Figure 1 ci-dessous, bien qu'il existe d'autres possibilités de SSO. Nous aborderons toutes ces architectures dans le Chapitre 2 : Single Sign On. 4

6 Fig. 1 Schéma général d'un système SSO Il nous est apparu, en eectuant diverses recherches sur le sujet, que de nombreuses solutions SSO existent en ce moment sur Internet. Certaines d'entre elles sont à but professionnel, et sont donc proposées à divers clients contre rémunérations. D'autres en revanche appartiennent au monde des logiciels libres de droit, sous licence G.P.L. (Global Public Licence), et dont les sources sont librement téléchargeables. Nous avons donc établi une étude comparative de quatre de ces solutions dites Open Source, que vous verrez dans le Chapitre 3 : Etude comparative. Le but de cette comparaison n'est pas d'eectuer un classement ou d'évaluer la "meilleure" solution SSO Open Source, mais de montrer l'absence de standard propre à cette technologie, et qu'aucune de ces solutions n'est meilleure que les autres. 5

7 Chapitre 1 Notions essentielles 6

8 1.1 PKI : Infrastructure à clé publique Grâce à la cryptographie à clé publique 1, chaque entité nale (une personne, un serveur, etc...) possède une paire de clés privée/publique. Avec sa clé privée, l'utilisateur peut s'authentier et/ou signer numériquement des documents. An que l'on puisse l'identier ou vérier sa signature, un utilisateur doit distribuer ou mettre à disposition sa clé publique auprès de tout le monde. Les PKI permettent de mettre à disposition sur un serveur les clés publiques des utilisateurs sous la forme d'un certicat numérique, notamment au format X Mais une première question se pose alors : comment peut-on savoir à qui appartient telle ou telle clé publique qui n'est qu'une chaîne binaire? En d'autres termes, comment rattacher une clé publique à son propriétaire? > La solution est de ne pas distribuer de clé, mais des certicats numériques contenant ces clés, un certicat numérique étant un chier contenant la clé publique d'un utilisateur et des donnés sur son identité. Par exemple, ces données seront pour une personne physique son état civil, alors que pour un serveur, on donnera son nom de domaine. Se pose alors une autre question : comment être sûr de l'authenticité d'un certicat? > Pour être reconnu comme authentique, un certicat (a) doit être signé avec une clé privée. Celle-ci est associée à une clé publique contenue dans un autre certicat (b). Donc grâce à (b), on sait que (a) est authentique. Mais alors comment reconnaître à son tour (b) comme authentique? > Il faut à ce moment que (b) se certie lui-même! On dira alors que ce certicat est auto-signé. Ce certicat particulier est appelé certicat racine ou certicat RootCA ( Root Certicate Authority, en français racine de l'autorité de certication). Dénition : Une Autorité de Certication (AC) - Certicate Authority (CA) en anglais - est l'entité juridique et morale d'une PKI (en général, un organisme de certication, une entreprise). En conclusion, la PKI peut se dénir ainsi : Une PKI est une infrastructure formée de serveurs et de certicats, créant, gérant et mettant à disposition des certicats numériques dont l'authenticité est certiée par l'autorité de certication représentant et utilisant cette PKI. La chaîne précédemment construite ((b) certie (a)) s'appelle une chaîne de certicats. Pour mettre en place la structure logique d'une PKI, il faut contruire cette chaîne en partant du certicat RootCA. Pour cela, il existe plusieurs types de chaînes de certicats : 1 Voir la section page 14 2 Voir la section 1.2 page 9 7

9 Fig. 1.1 PKI formée d'une chaîne de certicats Ce type de structure (Fig. 1.1 ) peut être utilisé dans les entreprises de grande taille pour distribuer des certicats qui donneront accès à l'intranet de l'entreprise. Dans ce cas, chaque certicat CA Intermédiaire peut représenter une liale ou un département de l'entreprise. Fig. 1.2 PKI formée d'un seul certicat RootCA Ce cas (Fig. 1.2 ) est peu utilisé par les organismes de certication, puisque c'est une structure plus adaptée aux entreprises de petite taille, ou utilisée pour une application web unique. Fig. 1.3 PKI formée de plusieurs certicats RootCA Ce cas (Fig. 1.3 ) est très souvent utilisé par les organismes de certication. 8

10 1.2 Les certicats numériques X.509 Un certicat numérique peut être utilisé pour mettre en oeuvre le protocole SSL 3 sur un serveur web. Cette utilisation d'un certicat X.509 par un serveur web est nécessaire an de permettre l'échange de clé de session entre le client et le serveur pour établir la condentialité des données transmises, l'authentication du serveur par le client, et, en option, l'authentication du client par le serveur. Les certicats numériques sont également utilisés dans les applications mettant en oeuvre le standard S/MIME (Secure Multipurpose Internet Mail Extensions) comme les messageries de courrier électronique. Ces certicats permettent de chirer et/ou signer ses messages. Un certicat Utilisateur permettra de mieux authentier une personne physique que la simple utilisation du traditionnel couple login/password, car l'identité de la personne est contenue et certiée dans le certicat et car la clé privée correspondant à la clé publique contenue dans ce certicat est chirée à l'aide d'un mot de passe connu seulement de cette personne. Un certicat numérique X.509 contient trois champs obligatoires : 1. Un champs appelé TBS (To Be Signed), qui sera signé, et qui contient toutes les informations suivantes : Le numéro de version du certicat X.509 (v1, v2, ou v3) Le numéro de série du certicat Le DN (Distinguished Name) du certicat signataire (issuer) La période de validité du certicat et de sa clé publique Le DN du titulaire de la clé publique La clé publique (du titulaire) et son algorithme associé Des extensions X.509 v3 facultatives 2. L'algorithme asymétrique et la fonction de hachage 4 utilisés pour la signature 3. La signature de l'empreinte numérique du TBS. Création d'un certicat numérique : Générer une requête de certicat au format standard PKCS#10 ( Public-Key Cryptography Standard #10 ) L'envoyer à une authorité de certication Cette authorité de certication crée le champs TBS avec toutes les données de la requête. Elle calcule l'empreinte numérique du TBS qu'elle signe avec sa clé privée. Cette signature est jointe au TBS pour former le certicat numérique X.509. Vérication de la validité d'un certicat : Pour vérier la validité d'un certicat, il faut au préalable que le destinataire fasse conance à l'autorité de certication signataire du certicat qu'il souhaite vérier. La vérication d'un certicat se fait en 4 étapes : 1. Récupération du certicat de l'authorité de certication signataire 2. Calcul de l'empreinte numérique des données (TBS) du certicat 3 Voir section 1.4 page 19 4 Fonctionnement du chirement asymétrique et des fonctions de hachage expliqués dans la section Quelques notions de cryptographie page 13. 9

11 3. Déchirement de l'empreinte numérique chirée du certicat à l'aide de la clé publique de l'autorité de certication 4. Vérication de l'égalité des deux empreintes numériques obtenues Schématiquement, la création et la vérication de la validité d'un certicat peut se représenter ainsi : Dénition ASN.1 : Fig. 1.4 Création et validation d'un certicat numérique La dénition d'un certicat X.509 est faite en langage ANS.1 (Abstract Syntax Notation number One) qui permet de décrir des types de données indépendamment de l'architecture choisie. Un chier source dans ce langage aura ".asn" pour extension. Pour illustrer ce langage, voici les deux premières déclarations ASN.1 d'un certicat X.509 : Certificate ::= SEQUENCE { tbscertificate TBSCertificate, signaturealgorithm AlgorithmIdentifier, signature BIT STRING } TBSCertificate ::= SEQUENCE { version [0] Version DEFAULT v1, serialnumber CertifiacteSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, 10

12 -- If present, version MUST be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 extensions [3] Extensions OPTIONAL -- If present, version MUST be v3 -- } Le format DER : La transformation de la dénition ASN.1 d'un certicat X.509 en chier exploitable par des applications se fait en appliquant les règles d'encodage DER (Distinguished Encoding Rules) qui sont une sous-ensemble des règles BER (Basic Encoding Rules) décrites dans les recommandations ITU-T X.208. Les éléments ASN.1 codés avec DER sont des triplés balise/longueur/valeur représentés par une suite d'octets. Un chier au formats DER ou BER aura pour extension respectivement ".der" ou ".ber". Le format PEM : Le format DER des certicats numériques n'est pas adapté aux traitements faits par les applications de courriers électroniques, car il contient des octets qui pourraient être modiés par les serveurs de mails au cours des transferts. Ainsi, le format PEM (Privacy Enhanced Mail) résout ce problème en codant les données au format Base64. Un chier quelconque au format PEM aura ".pem" comme extension, mais en général on préférera lui donner une extension spéciant le type des données contenues (exemple : ".crt" pour un certicat signé). Comme exemple, voici un chier contenant un certicat X.509 codé en Base64 : BEGIN CERTIFICATE MS4Df4rtgSDf4b525vghDF8g552DFGvfrGt24GQz24DCfrD8F7rfdCVG4tF4EG52... JF4feFE1veHTHTbtrbfJVd4gtGr44EEJ== END CERTIFICATE Le format Base64 permet de coder un chier binaire (codé sur 256 valeurs) avec les 64 caractères [A-Za-z0-9/+] sur des lignes de 64 octets : il remplace 3 octets binaires par 4 octets ASCII achables, car 3 blocs de 8 bits (3 X 8 = 24) peuvent être vus commes 4 blocs de 6 bits. Or avec 6 bits, il est possible de coder 64 caractères. De plus, chacun de ces 64 caractères ACSII sera codé sur un octet. Comme les chiers n'ont pas nécessairement une taille multiple de 48 octets, la dernière ligne peut être incomplète (de taille inférieure à 64 octets) ; de même, le dernier bloc de 4 octets peut contenir le caractère "=". 11

13 Le format PKCS#12 : Le format PKCS#12 (Public-Key Cryptography Standard #12 ) permet de rassembler dans un seul chier une paire de clés privée/publique, le certicat correspondant, le certicat signataire et toutes les chaînes de certicats CA signataires jusqu'à un certicat RootCA. Ce format est très utile pour installer un certicat Utilisateur dans un client web ou un client de messagerie. Un tel chier a pour extension ".p12". Voici un exemple de certicat X.509 (certicat RootCA d'une authorité de certication) : Certificate: Data: Version: 3 (0X2) Serial number: (0X1) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, L=City, O=Company, CN=Company Root CA Validity Not Before: Mar 28 12:00: GMT Not After : Mar 28 18:00: GMT Subject: C=FR, L=City, O=Company, CN=Company Root CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (4096 bit) Modulus (4096 bit): 00:ac:49:db:13:df:fa:84:78:e8:15:9a:53:d6:32: 60:f6:b6:34:0d:7f:30:37:65:80:fa:b6:ba:29:7e:... 68:11:b9:c5:c2:f0:c2:e8:d5:f2:b8:05:2f:ad:a8: c4:ed:47 Exponent: (0X10001) X509v3 extensions: X509v3 Basic Constraints: critical CA: TRUE X509v3 Subject Key Identifier: FC:75:A1/BF:EA:92:9F:80:51:B9:60:5C:E6:C0:00:8A:10:E8:A4:FD X509v3 Key Usage: critical Certificate Sign, CRL Sign Signature Algorithm: sha1withrsaencryption 92:41:dc:3e:c2:7c:22:9f:77:b3:c3:72:92:9a:af:39:29:20: 85:eb:d8:ff:58:d2:4f:ce:98:01:4a:f2:29:f7:7e:96:fe:eb:... 2f:8a:a5:9b:e5:32:ff:7c:0e:83:81:bb:22:41:18:4b:25:05: 67:10:2b:95:01:57:d6:4e 12

14 Pour s'y retrouver, voici la structure générale d'un certicat X.509 : 1.3 Quelques notions de cryptographie Chirement symétrique Chirement symétrique, algorithme à clé secrète, cryptographie à clé secrète : tous ces termes désignent la même technique. Ici, l'émetteur et le destinataire du message disposent de la même clé secrète k. L'émetteur va utiliser cette clé secrète k pour chirer le message M. Le message chiré est C. Le récepteur utilisera cette même clé secrète pour déchirer C et retrouver ainsi le message en clair M. La condentialité est assurée, ainsi que l'authentication, car seules les deux parties possèdent la clé secrète k : condentialité car les deux parties concernées possèdent la clé secrète k ; authentication de l'émetteur assurée pour le destinataire car il sait que, mis à part luimême, l'émetteur est le seul à posséder la clé secrète k. Les algorithmes à clé secrète peuvent être classés en deux catégories. Certains opèrent sur le message en clair un bit à la fois. Ceux-ci sont appelés algorithmes de chirement en continu. D'autres opèrent sur le message en clair par groupes de bits. Ces groupes de bits sont appelés blocs, et les algorithmes correspondants sont appelés algorithmes de chirement par blocs. Pour des algorithmes réalisés sur ordinateur, la taille typique des blocs est de 64 bits 5. 5 Ce qui est assez grand pour interdire l'analyse et assez petit pour être pratique. 13

15 Fig. 1.5 Chirement symétrique : schéma de principe Chirement asymétrique Chirement asymétrique, algorithme à clé publique, cryptographie à clé publique : tous ces termes désignent la même technique. Cette technique repose sur le fait que la clé de chirement est diérente de la clé de déchirement. La clé de chirement, qui est appelée clé privée, est gardée secrète, tandis que la clé de déchirement, qui est appelée clé publique, est destinée à être divulguée. Les algorithmes à clé publique permettent d'assurer la condentialité d'un message. Dans ce cas, la procédure à suivre est la suivante : l'émetteur doit récupérer la clé publique k 1 du destinataire avec laquelle il va chirer le message en clair M. Puis il va envoyer le message chiré résultant C au destinataire ; ainsi, le destinataire peut déchirer ce message chiré C avec sa clé privée k2 et retrouver le message en clair M d'origine. Seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (c'est-à-dire le destinataire légitime) pourra déchirer ce message chiré C et retrouver le message en clair M d'origine. Cela garantit la condentialité du message envoyé. Fig. 1.6 Algorithme à clé publique : schéma de principe 14

16 1.3.3 Signature numérique simple L'un des pricipaux avantages de la cryptographie à clé publique est d'orir une méthode pour la signature numérique. Cette méthode permet au destinataire de vérier l'authenticité, l'origine et l'intégrité d'un message signé. Ainsi, les signatures numériques à clé publique garantissent l'authentication de l'émetteur et l'intégrité des données. Elles fournissent également une fonctionnalité de non-répudiation, an d'éviter que l'expéditeur prétende qu'il n'a pas envoyé les informations. Ces mécanismes sont mis en oeuvre selon la procédure suivante : l'émetteur chire (signe) le message en clair M avec sa clé privée k 2. Puis, il va envoyer ce message en clair M et le message chiré résultant C (le signature) au destinataire ; ainsi, le destinataire n'a qu'à récupérer la clé publique k 1 de l'émetteur avec laquelle il va déchirer le message chiré C pour obtenir un message M'. Pour vérier la signature, le destinataire doit comparer le message M' qu'il vient d'obtenir avec le message en clair M. Si les deux sont identiques, alors la signature est vériée. Donc, seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (l'émetteur) peut chirer le message en clair M et générer un message chiré C (la signature) qui pourra être déchirée avec la clé publique k 1. Un destinataire qui aura récupéré la clé publique k 1 de l'émetteur pourra ainsi être sûr que le message a bien été signé avec la clé privée k 2 de l'émetteur. Cela garantit bien l'authentication de l'émetteur et l'intégrité du message envoyé. Fig. 1.7 Principe d'une signature numérique avec un algorithme à clé publique : 15

17 1.3.4 Fonction de hachage à sens unique En informatique, une foncton de hachage est une fonction qui convertit une suite de bits de taille quelconque en une suite de bits de taille xe. Le résultat d'une fonction de hachage s'appelle une empreinte numérique. Deux suites de bits identiques donneront deux empreintes numériques identiques. Deux suites de bits diérentes peuvent donner deux empreintes numériques identiques mais la probabilité de se trouver dans ce cas est innitésimale. Cela est très utile, par exemple, pour comparer deux chiers : au lieu de comparer les deux chiers octet par octet, il sut de calculer leur empreinte numérique et de comparer celles-ci. En mathématique, une fonction à sens unique est une fonction facile à calculer dont l'inverse l'est beaucoup moins 6. En d'autres termes, étant donné un x, il est facile de calculer f(x), mais étant donnée f(x), il est très dicile de calculer x. En cryptographie, une fonction de hachage à sens unique est une fonction qui permet de calculer facilement une empreinte numérique de taile xe à partir d'une suite de bits de taille quelconque et dont l'inverse est très dicile à calculer. C'est-à-dire, étant données une suite de bits et son empreinte numérique, il est dicile de trouver une suite de bits diérente donnant la même empreinte numérique. En termes mathématiques, cela s'écrit ainsi : Etant donne un x 1, il est facile de calculer f(x 1 ), mais il est dicile de calculer x 2 tel que : x 1 x 2 et f(x 1 ) = f(x 2 ) Les fonctions de hachage (à sens unique) utilisées en cryptographie ont la particularité suivante : Si l'on modie un seul bit du message d'origine, alors la fonction de hachage produit une empreinte numérique complètement diérente. Fig. 1.8 Fonction de hachage à sens unique : fonctionnement 6 Très dicile voire impossible dans un temps raisonnable, c'est-à-dire inférieur à l'âge de l'univers (estimé à 1, années en 2003 par la NASA) 16

18 1.3.5 Signature numérique sécurisée La signature numérique simple n'est jamais utilisée en pratique, car le processus est lent et produit un volume important de données. Il est lent car l'obtension de la signature se fait en chirant l'ensemble du texte original. Et le résultat comprend le texte en clair et la signature, ce qui donne un volume de données égal au double de la taille du texte en clair. En pratique, on utilise la signature numérique sécurisée qui s'appuie sur les fonctions de hachage à sens unique. Plutôt que signer tout le message, seule l'empreinte numérique du message est signé. D'après les propriétés des fonctions de hachage à sens unique, cela revient exactement au même que de signer le message lui-même. Une empreinte numérique signée s'appelle code d'authentication du message (en anglais MAC :Message Authentication Code). Fig. 1.9 Signature numérique sécurisée : fonctionnement Les modes de chirement Il ne sut pas de découper un message en blocs de même taille et de chirer chacun de ces blocs avec un algorithme de chirement par blocs, puis de mettre tous ces blocs chirés côte à côte pour former le message chiré. La sécurité en serait très faible, car un bloc identique serait toujours chiré de la même façon, et donc il surait de cryptanalyser 7 les blocs un à un indépendamment les uns des autres, et de se faire une base de données de couples "bloc en clair/bloc chiré". C'est pour répondre à ce problème que les modes de chirement ont été inventés. 7 La cryptanalyse est la science qui permet de reconstruire le texte en clair sans connaissance de la clé de chirement. Une tentative de cryptanalyse est appelée attaque et une attaque réussie est appelée une méthode, qui fournit soit le texte en clair, soit la clé. 17

19 Il en existe 4 principaux : Mode ECB (Electronic CodeBook ) : ce mode revient ne rien faire et n'assure aucune sécurité. c i = E k (m i ) Mode CBC (Cypher Block Chaining ) : ce mode est très sécurisé, car il dépend fortement du message à chirer. Néanmoins, il faut écrire la fonction D k = E 1 k inverse de la fonction E k pour déchirer le message. { c0 = IV c i = E k (m i c i 1 ) Mode CFB (Cypher FeedBack ) : ce mode est également très sécurisé, car il dépend fortement du message à chirer. De plus, l'algorithme de chirement E k n'est plus utilisé que dans un seul sens (le sens du chirement). Le déchirement se fait au niveau du OU Exclusif. { c0 = IV c i = m i E k (c i 1 ) Mode OFB (Output FeedBack ) : autre mode très sécurisé. De plus, comme le mode CFB, l'algorithme de chirement de E k n'est utilisé que dans le sens du chirement. Le mode OFB est symétrique, c'est-à-dire que le chirement et le déchirement sont identiques. z 0 = IV z i = E k (z i 1 ) c i = m i z i Légende des équations : m i i e bloc du message en clair c i i e bloc du message chiré E k algorithme de chirement utilisant la clé secrète k OU Exclusif (XOR) IV Initial Value (valeur initiale quelconque et en clair) Caractéristiques des modes de chirement : Chirement Déchirement Transmission Mode Une erreur sur le bloc m i, Une erreur sur le bloc c i, La synchronisation : le texte en clair... le texte chiré... conséquence d'un décalage ECB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le bloc m i non déchirable. CBC Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc c i bloc c i rend le bloc m i et tous et tous les blocs suivants et dans le bloc c i+1 les suivants indéchirables. CFB Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le et dans tous les suivants. et dans le bloc m i+1. bloc m i non déchirable. OFB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i. dans le bloc m i. bloc c i rend le bloc m i et tous les suivants non déchirables. 18

20 En conclusion, les infrastructures PKI sont très performantes en matière de sécurité, en permettant l'authentication d'un utilisateur auprès d'un serveur, la non-répudiation des communication et la signature de celles-ci. Cette méthode est très utile lors de la mise en place d'une solution SSO : en eet, le SSO permet d'intégrer n'importe quelle méthode d'authentication, et la PKI permet d'avoir un surcroit de sécurité intéressant. 1.4 Le protocole SSL SSL (Secure Socket Layer), développé par la société Netscape Communication Corporation, est un protocole de sécurisation des échanges de données sur Internet entre un client et un serveur. Les trois fonctionnalités de ce protocole sont : l'authentication du serveur, l'authentication du client et le chirement des données. SSL est apparu en 1994 dans les navigateurs web avec la version 2.0. L'actuelle version 3.0 est la plus répandue, et est plus sécurisée que la version précédente. En 2001, l'ietf (Internet Engineering Task Force) rachète le brevet à Netscape pour sortir le nouveau protocole TLS (Transport Layer Security) décrit dans la RFC 2246 [1]. Ces deux protocoles SSL et TLS utilisent des certicats numériques X.509 pour mettre en oeuvre les principes de la cryptographie asymétrique an d'échanger en toute condentialité une clé de session SSL. Dans le modèle OSI, le protocole SSL se situe juste au-dessus de la couche TCP et sous la couche Application : il peut être vu comme un protocole de niveau 5 (couche Session). Cela signie que SSL est indépendant de la couche Application et que tous les protocoles HTTP, FTP, POP3, LDAP, TELNET,...peuvent être encapsulés dans le protocole SSL. Ainsi, ces protocoles applicatifs sont renommés HTTPS, FTPS, POP3S, LDAPS et TELNETS ("S" pour secured, sécurisé). Fig Fonctionnement SSL Le protocole SSL est composé des protocoles suivants : La couche "SSL Record Layer" qui est chargée de la fragmentation, de la compression, de l'intégrité et du chirement des données ; 19

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Certificats électroniques

Certificats électroniques Certificats électroniques Matthieu Herrb Jean-Luc Archimaud, Nicole Dausque & Marie-Claude Quidoz Février 2002 CNRS-LAAS Plan Services de sécurité Principes de cryptographie et signature électronique Autorités

Plus en détail

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1 Cryptographie Master de cryptographie Architectures PKI 23 mars 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 23 mars 2015 1 / 17 Cadre Principe de Kercho : "La sécurité d'un système

Plus en détail

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Introduction aux architectures web de Single Sign-on

Introduction aux architectures web de Single Sign-on Olivier Salaün Comité Réseau des Universités Campus de Beaulieu - Rennes Olivier.salaun@cru.fr 15 Octobre 2003 Résumé Introduction aux architectures web de Single Sign-on L'article aborde la problématique

Plus en détail

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20

Plus en détail

1 Introduction. La sécurité

1 Introduction. La sécurité La sécurité 1 Introduction Lors de l'écriture d'une application de gestion, les problèmes liés à la sécurité deviennent vite prégnants. L'utilisateur doit disposer des droits nécessaires, ne pouvoir modifier

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Chapitre 4 PROTOCOLES SÉCURISÉS

Chapitre 4 PROTOCOLES SÉCURISÉS Chapitre 4 PROTOCOLES SÉCURISÉS 52 Protocoles sécurisés Inclus dans la couche application Modèle TCP/IP Pile de protocoles HTTP, SMTP, FTP, SSH, IRC, SNMP, DHCP, POP3 4 couche application HTML, MIME, ASCII

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

OpenSSL. Table des matières. 1 Présentation de openssl. M. Petitot (d'après E. Wegrzynowski) 23 octobre 2012. 1.1 Protocole SSL. 1.

OpenSSL. Table des matières. 1 Présentation de openssl. M. Petitot (d'après E. Wegrzynowski) 23 octobre 2012. 1.1 Protocole SSL. 1. OpenSSL M. Petitot (d'après E. Wegrzynowski) 23 octobre 2012 Table des matières 1 Présentation de openssl 1 1.1 Protocole SSL........................................... 1 1.2 openssl..............................................

Plus en détail

Sécurité 2. Université Kasdi Merbah Ouargla. PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS.

Sécurité 2. Université Kasdi Merbah Ouargla. PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS. Sécurité 2 Université Kasdi Merbah Ouargla Département Informatique PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS Janvier 2014 Master RCS Sécurité informatique 1 Sommaire

Plus en détail

Réseaux virtuels Applications possibles :

Réseaux virtuels Applications possibles : Réseaux virtuels La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Sécurité Informatique

Sécurité Informatique République Algérienne Démocratique et Populaire Université M'Hamed Bougara-Boumerdes Faculté des sciences département d'informatique Sécurité Informatique Les protocoles de messagerie sécurisés Réalisé

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Chiffrement à clef publique, authentification et distribution des clefs. Plan

Chiffrement à clef publique, authentification et distribution des clefs. Plan Chiffrement à clef publique, authentification et distribution des clefs Sécurité des réseaux informatiques 1 Plan Les principes de l'authentification de message Les fonctions de hachage sécurisées SHA-1

Plus en détail

TP4-5 : Authentication Java

TP4-5 : Authentication Java TP4-5 : Authentication Java V. Danjean V. Marangozova-Martin Résumé Le but de ce TP est double : se familiariser avec le mécanisme classique d'authentication en Java ; apprendre à utiliser la documentation

Plus en détail

TP : RSA et certicats avec openssl

TP : RSA et certicats avec openssl Univ. Lille 1 - Master Info 2013-2014 Principes et Algorithmes de Cryptographie TP : RSA et certicats avec openssl 1 Presentation de openssl 1.1 Protocole SSL Le protocole SSL (Secure Socket Layer) a été

Plus en détail

Description de la maquette fonctionnelle. Nombre de pages :

Description de la maquette fonctionnelle. Nombre de pages : Description de la maquette fonctionnelle Nombre de pages : 22/07/2008 STATUT DU DOCUMENT Statut Date Intervenant(s) / Fonction Provisoire 22/07/2008 Approuvé Validé HISTORIQUE DES MODIFICATIONSICATIONS

Plus en détail

HTTPS : HTTP Sécurisé

HTTPS : HTTP Sécurisé HTTPS : HTTP Sécurisé Décembre 2000 sa@cru.fr Objectifs Crypter la communication entre le client et le serveur Authentifier le serveur Authentifier la personne 1 Principes élémentaires de crypto Cryptage

Plus en détail

Authentification et contrôle d'accès dans les applications web

Authentification et contrôle d'accès dans les applications web Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités

Plus en détail

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION 32 Services souhaités par la cryptographie Confidentialité : Rendre le message secret entre deux tiers Authentification : Le message émane t-il de l expéditeur

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

Les certificats numériques

Les certificats numériques Les certificats numériques Quoi, pourquoi, comment Freddy Gridelet 9 mai 2005 Sécurité du système d information SGSI/SISY La sécurité : quels services? L'authentification des acteurs L'intégrité des données

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Technologies de l Internet Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Cryptage avec clé secrète même clé I think it is good that books still exist, but they do make

Plus en détail

Réseaux. Virtual Private Network

Réseaux. Virtual Private Network Réseaux Virtual Private Network Sommaire 1. Généralités 2. Les différents types de VPN 3. Les protocoles utilisés 4. Les implémentations 2 Sommaire Généralités 3 Généralités Un VPN ou RPV (réseau privé

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

SSL ET IPSEC. Licence Pro ATC Amel Guetat

SSL ET IPSEC. Licence Pro ATC Amel Guetat SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

1 - Chiffrement ou Cryptage, Déchiffrement ou Décryptage?

1 - Chiffrement ou Cryptage, Déchiffrement ou Décryptage? Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à othebaud@e-watching.net

Plus en détail

Cryptographie Échanges de données sécurisés

Cryptographie Échanges de données sécurisés Cryptographie Échanges de données sécurisés Différents niveaux d'intégration dans l'organisation du réseau TCP/IP Au niveau 3 (couche réseau chargée de l'envoi des datagrammes IP) : IPSec Au niveau 4 (couche

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

WebSSO, synchronisation et contrôle des accès via LDAP

WebSSO, synchronisation et contrôle des accès via LDAP 31 mars, 1er et 2 avril 2009 WebSSO, synchronisation et contrôle des accès via LDAP Clément Oudot Thomas Chemineau Sommaire général Synchronisation d'identités WebSSO et contrôle des accès Démonstration

Plus en détail

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009 Aristote Groupe PIN Utilisations pratiques de la cryptographie Frédéric Pailler (CNES) 13 janvier 2009 Objectifs Décrire les techniques de cryptographie les plus courantes Et les applications qui les utilisent

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

TP : RSA et certificats avec openssl

TP : RSA et certificats avec openssl USTL - Licence et Master Informatique 2006-2007 Principes et Algorithmes de Cryptographie 1 Présentation de openssl 1.1 Protocole SSL TP : RSA et certificats avec openssl Le protocole SSL (Secure Socket

Plus en détail

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage.

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage. Rappel des propriétés à assurer Cryptographie et utilisation Secret lgorithmes symétriques : efficace mais gestion des clés difficiles lgorithmes asymétriques : peu efficace mais possibilité de diffuser

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre

Plus en détail

Présentation du projet EvalSSL

Présentation du projet EvalSSL 24 SSLTeam FévrierPrésentation 2011 du projet EvalSSL 1 / 36 Présentation du projet EvalSSL SSLTeam : Radoniaina ANDRIATSIMANDEFITRA, Charlie BOULO, Hakim BOURMEL, Mouloud BRAHIMI, Jean DELIME, Mour KEITA

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

PKI : Public Key Infrastructure

PKI : Public Key Infrastructure PKI : Public Key Infrastructure Diplômant : Denis Cotte Professeur responsable : Gérald Litzistorf Collaboration avec : Sylvain Maret e-xpert e solutions 1 Sommaire PKI : Infrastructure à clé publique

Plus en détail

A. À propos des annuaires

A. À propos des annuaires Chapitre 2 A. À propos des annuaires Nous sommes familiers et habitués à utiliser différents types d'annuaires dans notre vie quotidienne. À titre d'exemple, nous pouvons citer les annuaires téléphoniques

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

IPSec peut fonctionner selon deux modes, transport ou tunel.

IPSec peut fonctionner selon deux modes, transport ou tunel. Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente

Plus en détail

Active Directory Sommaire :

Active Directory Sommaire : Active Directory Sommaire : Définition Ce qu'il permet A quoi sert-il? Principe de fonctionnement Structure Hiérarchie Schéma Qu'est ce qu'un service d'annuaire? Qu'elle est son intérêt? L'installation

Plus en détail

Certificats et infrastructures de gestion de clés

Certificats et infrastructures de gestion de clés ÉCOLE DU CIMPA "GÉOMÉTRIE ALGÉBRIQUE, THÉORIE DES CODES ET CRYPTOGRAPHIE" ICIMAF et Université de la Havane 20 novembre - 1er décembre 2000 La Havane, Cuba Certificats et infrastructures de gestion de

Plus en détail

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE Michel Laloy 18/06/2002 Objectifs Expliquer les mécanismes de la signature digitale et de l authentification forte Montrer comment ces mécanismes s'appliquent

Plus en détail

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique Document technique : Guide d'initiation aux certificats ssl Document technique Guide d'initiation aux certificats SSL Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en

Plus en détail

Introduction à la sécurité

Introduction à la sécurité Introduction à la sécurité Qqs dénitions Cryptage symmétrique Cryptage asymmétrique Compléments Types de services de sécurité pour les communications Condentialité : l'assurance que ses actions, données,

Plus en détail

Sécurité de l'information

Sécurité de l'information Sécurité de l'information Sylvain Duquesne Université Rennes 1, laboratoire de Mathématiques 24 novembre 2010 Les Rendez-Vous Mathématiques de l'irem S. Duquesne (Université Rennes 1) Sécurité de l'information

Plus en détail

WebFTP Un client Web sécurisé pour FTP

WebFTP Un client Web sécurisé pour FTP WebFTP Un client Web sécurisé pour FTP Jirung Albert SHIH, Shih@math.Jussieu.fr Université Paris 7 JRES 2001 Introduction Nous allons dans ce document présenter une solution mise en œuvre sur le réseau

Plus en détail

Architectures web/bases de données

Architectures web/bases de données Architectures web/bases de données I - Page web simple : HTML statique Le code HTML est le langage de base pour concevoir des pages destinées à être publiées sur le réseau Internet ou intranet. Ce n'est

Plus en détail

Protocole industriels de sécurité. S. Natkin Décembre 2000

Protocole industriels de sécurité. S. Natkin Décembre 2000 Protocole industriels de sécurité S. Natkin Décembre 2000 1 Standards cryptographiques 2 PKCS11 (Cryptographic Token Interface Standard) API de cryptographie développée par RSA labs, interface C Définit

Plus en détail

Crypt ographie. Les risques réseau. Les risques réseau. Les risques réseau. Sniffing. Attaque passive. Spoofing ou masquarade.

Crypt ographie. Les risques réseau. Les risques réseau. Les risques réseau. Sniffing. Attaque passive. Spoofing ou masquarade. Crypt ographie Les risques réseau Spoofing ou masquarade Se faire passer pour quelqu'un d'autre Possible dès qu'il y a une association effectuée dynamiquement : adresse physique-ip adresse IP-nom redirection

Plus en détail

TP 2 : Chirements par blocs - Modes opératoires et bourrage. 1 Présentation de openssl. 1.1 Protocole SSL. 1.2 openssl

TP 2 : Chirements par blocs - Modes opératoires et bourrage. 1 Présentation de openssl. 1.1 Protocole SSL. 1.2 openssl 1 Univ. Lille 1 - Master Info 2013-2014 Principes et Algorithmes de Cryptographie TP 2 : Chirements par blocs - Modes opératoires et bourrage. Objectifs du TP utiliser openssl pour chirer/déchirer, étudier

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

Présentation de Active Directory

Présentation de Active Directory Brevet de Technicien Supérieur Informatique de gestion. Benoît HAMET Session 2001 2002 Présentation de Active Directory......... Présentation d Active Directory Préambule...4 Introduction...5 Définitions...5

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

Du 03 au 07 Février 2014 Tunis (Tunisie)

Du 03 au 07 Février 2014 Tunis (Tunisie) FORMATION SUR LA «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES» POUR LES OPERATEURS ET REGULATEURS DE TELECOMMUNICATION Du 03 au 07 Février 2014 Tunis (Tunisie) CRYPTOGRAPHIE ET SECURITE

Plus en détail

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS Nicole Dausque CNRS/UREC CNRS/UREC IN2P3 Cargèse 23-27/07/2001 http://www.urec.cnrs.fr/securite/articles/certificats.kezako.pdf http://www.urec.cnrs.fr/securite/articles/pc.cnrs.pdf

Plus en détail

THEME: Protocole OpenSSL et La Faille Heartbleed

THEME: Protocole OpenSSL et La Faille Heartbleed THEME: Protocole OpenSSL et La Faille Heartbleed Auteurs : Papa Kalidou Diop Valdiodio Ndiaye Sene Professeur: Année: 2013-2014 Mr, Gildas Guebre Plan Introduction I. Définition II. Fonctionnement III.

Plus en détail

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci Cours Cryptographie Jeudi 22 février 2012 M1 ISIC Authentification Gabriel Risterucci Cours Cryptographie - Authentification - Principes généraux Moyens d'authentification Authentification différée Système

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

LA SÉCURITÉ DES SYSTÈMES D'INFORMATION LA SÉCURITÉ DES SYSTÈMES D'INFORMATION 1. Pourquoi sécuriser son système d'information...2 2. Les objectifs en matière de sécurité....2 2.1. Les enjeux pour la sécurité...2 2.2. Définition des objectifs

Plus en détail

Annuaires LDAP et méta-annuaires

Annuaires LDAP et méta-annuaires Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS yphise@yphise.com - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 Agenda A propos d Yphise Les annuaires

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP

Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP Document révisé en Mars 2006 Introduction, historique et rappels Le filtrage des accès aux ressources électroniques

Plus en détail

Protocole SMTP. Informatique et Science du Numérique

Protocole SMTP. Informatique et Science du Numérique Protocole SMTP Table des matières 1. Introduction...2 2. Cheminement d'un courriel...2 2.1. Le MUA...2 2.2. Le MSA...2 2.3. Le MTA...3 2.4. Le MDA...3 3. Protocoles...4 3.1. Le protocole POP...4 3.2. IMAP...4

Plus en détail

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises La banque en ligne et le protocole TLS : exemple 1 Introduction Définition du protocole TLS Transport Layer Security

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

Version 1.0 Janvier 2011. Xerox Phaser 3635MFP Plate-forme EIP

Version 1.0 Janvier 2011. Xerox Phaser 3635MFP Plate-forme EIP Version 1.0 Janvier 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX et XEROX and Design sont des marques commerciales de Xerox Corporation aux États-Unis et/ou dans d'autres pays. Des modifications

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

PGP créé par Ph. Zimmermann Aujourd hui : PGP (Pretty Good Privacy) : commercial GPG (GnuPG) : version libre (licence GPL)

PGP créé par Ph. Zimmermann Aujourd hui : PGP (Pretty Good Privacy) : commercial GPG (GnuPG) : version libre (licence GPL) PGP créé par Ph. Zimmermann Aujourd hui : PGP (Pretty Good Privacy) : commercial GPG (GnuPG) : version libre (licence GPL) PGP/GPG Combine techniques symétriques et asymétriques Permet de chiffrer et signer

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal SSO open source avec CAS Introduction Pourquoi le Single Sign-On? Principes du SSO sur le

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Chiffrement et authentification

Chiffrement et authentification Chiffrement et authentification Certificats et architecture PKI Tuyêt Trâm DANG NGOC Université de Cergy-Pontoise 2012 2013 Tuyêt Trâm DANG NGOC Chiffrement et authentification 1 / 38

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service) JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi

Plus en détail

Service de certificat

Service de certificat Service de certificat Table des matières 1 Introduction...2 2 Mise en place d une autorité de certification...3 2.1 Introduction...3 2.2 Installer le service de certificat...4 3 Sécuriser un site web avec

Plus en détail

Table des matières 18/12/2009 10:13:21

Table des matières 18/12/2009 10:13:21 V.P.N. sous Win XP Table des matières V.P.N. sous Win XP...1 Introduction aux Réseaux Privés Virtuels...1 Royaume : «realm»...3 Qui fait une demande de «realm»?...3 Quels sont les «realms» actifs?...3

Plus en détail

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES : STANDARDS, ALGORITHMES DE HACHAGE ET PKI» DU 22 AU 26 JUIN 2015 TUNIS (TUNISIE) CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail