Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin



Documents pareils
nexus Timestamp Server

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

MODE D EMPLOI Envoi des télédéclarations au Portail

Royaume du Maroc. Simpl-TVA. E-service de télédéclaration et de télépaiement de la TVA. 20 juin juin 2006

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Du 03 au 07 Février 2014 Tunis (Tunisie)

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

Cours 14. Crypto. 2004, Marc-André Léger

Signature électronique. Romain Kolb 31/10/2008

Architectures PKI. Sébastien VARRETTE

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Politique de Certification

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

CIMAIL SOLUTION: EASYFOLDER SAE

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

28/06/2013, : MPKIG034,

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Gestion des Clés Publiques (PKI)

La sécurité dans les grilles

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Politique de Référencement Intersectorielle de Sécurité (PRIS)

La sécurité des Réseaux Partie 7 PKI

Public Key Infrastructure (PKI)

Annexe 8. Documents et URL de référence

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Protocoles d authentification

EMV, S.E.T et 3D Secure

Définition d une ICP et de ses acteurs

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

ÉPREUVE COMMUNE DE TIPE Partie D

Autorité de Certification OTU

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Le cloud-computing : une réponse aux problématique de gestion de la qualité des projets pour des équipes géographiquement dispersées

Les solutions de paiement CyberMUT (Crédit Mutuel) et CIC. Qui contacter pour commencer la mise en place d une configuration de test?

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Guide d implémentation. Réussir l intégration de Systempay

Responsable du cours : Héla Hachicha. Année Universitaire :

La dématérialisation fiscale

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

CYCLE DE VIE DES TRANSACTIONS

Le protocole SSH (Secure Shell)

Règlement pour les fournisseurs de SuisseID

Fiche descriptive de module

Les certificats numériques

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

Fonction de hachage et signatures électroniques

Livre blanc. Signatures numériques à partir du cloud fondements et utilisation

L exclusion mutuelle distribuée

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

La présentation qui suit respecte la charte graphique de l entreprise GMF

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Sénégal. Textes d application de la loi relative à la promotion de la bancarisation

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Algorithmique et langages du Web

Eway-Solutions Plateforme d inter-échange de factures électroniques. Service en mode SAAS orienté PMI/PME

GUIDE DE LA SIGNATURE ÉLECTRONIQUE

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

! "! #! $%& '( )* &#* +,

Sécurité des réseaux IPSec

Sécurisation des accès au CRM avec un certificat client générique

Certification électronique et E-Services. 24 Avril 2011

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Certificats et infrastructures de gestion de clés

SPF FIN. Patris Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale. Version 1.1

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

MEMENTO Version

Protocole industriels de sécurité. S. Natkin Décembre 2000

Les fonctions de hachage, un domaine à la mode

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha

Définition des Webservices Ordre de paiement par . Version 1.0

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

SYSTÈME DE GESTION DE FICHIERS

Espace Numérique Régional de Santé Formation sur la messagerie sécurisée. Version Auteur : Nathalie MEDA

Sauvegarde collaborative entre pairs Ludovic Courtès LAAS-CNRS

Compte Titres Cardif Plan d'épargne en Actions Cardif Livret Cardif

ARCHIVAGE DES ACTES D ETAT CIVIL

EJBCA Le futur de la PKI

Projet d informatique M1BI : Compression et décompression de texte. 1 Généralités sur la compression/décompression de texte

SYSTÈME DE GESTION DE FICHIERS SGF - DISQUE

LE COFFRE FORT NUMÉRIQUE AVEC SOLUTIONS INTÉGRÉES.

LEGALBOX SA. - Politique de Certification -

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr.

Transcription:

Horodatage Sécurisé J.M. Fourneau Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin M2 ASS-ACSIS 2008, Université de Versailles St Quentin [1/25] Horodatage Sécurisé Le service d horodatage permet la création des contremarques de temps. Ce service consiste d une part, en une apposition d une contremarque de temps sur des données afin d attester leur existence à un instant donné et d autre part en la production, délivrance et conservation des éléments permettant d attester l évènement associé. Chaque contremarque émise par le service d horodatage comprend une signature électronique de l autorité d horodatage (AH) afin d en garantir l intégrité et l authenticité. Horodatage sécurisé = jeton d horodatage sécurisé par signature numérique et une horloge fiable pour avoir l heure. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [2/25]

Contremarque de temps Le contremarque de temps permet de fournir la preuve d existence de données à un instant dans le temps. Le but est de faire le lien entre une chaine de caractères et une marque de temps. Chaine : empreinte numérique (128 ou 160 bits) d une chaine quelconque de données obtenue par une fonction de hachage (SHA-1, MD5, RIPEMD-160). Marque de temps : valeur de temps obtenue d un serveur de temps fiable, sous la forme YYYYMMDDhhmmss. La norme permet d introduire des fractions de seconde si nécessaire. Référence du temps : Basé sur U.T.C. (temps donné par Greenwich). M2 ASS-ACSIS 2008, Université de Versailles St Quentin [3/25] Pourquoi faire? Eviter de forger un jeton d horodatage (différence entre horodatage simple et horodatage sécurisé) Ne pas antidater les documents Prouver sa bonne foi M2 ASS-ACSIS 2008, Université de Versailles St Quentin [4/25]

Exemples Documents contractuels: banque, assurance : ne pas pouvoir modifier la date de la signature. Ordre de bourse: être sûr de la date d achat ou de vente Médecine : datage des analyse Informatique : log (sécurité), mail (preuve) Archivage : Write Once Read Many (WORM). Mais attention à l évolution des supports de stockage. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [5/25] Sources de temps Il existe une notion d heure universelle et d heure légale sur le territoire national (cf décret 78-855 du 9 aot 1978 et 79-896 du 17 octobre 1979 relatif à l heure légale française (pas vu ici)). Du point de vue technologique, le temps est défini par les notions de date, d intervalle et de synchronisation. La date est un positionnement dans le temps par rapport à une origine. L intervalle est la mesure de temps en secondes qui sert de référence. La seconde est la durée de 9.192.631.770 périodes de la radiation correspondant à la transition entre deux niveaux d énergie de l atome de césium 133 à l état naturel (1ère résolution de la 13ème conférence générale des poids et mesures). On suppose ici que l horloge est fiable. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [6/25]

Protocoles de diffusion Pour distribuer date, heure, temps. L IETF a normalisé le protocole NTP (Network Time Protocol), qui permet une transmission fiable de la date et l heure, dans le RFC 1305, entre un serveur de temps et un consommateur de temps au travers d un réseau. Un protocole complémentaire, (ajout d authentification) STIME (Secure Network Time Protocol), est en cours d étude. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [7/25] Horodatage L horodatage certifié est spécifié dans le protocole IETF Internet X.509 Public Key Infrastructure (PKI) Time Stamp Protocol (TSP) d aot 2001 (RFC 3161). La fonction d horodatage (Time Stamping) est mise en oeuvre par un tiers certificateur spécifique qui peut fournir la preuve de l existence d un message à un instant déterminé : le tiers horodateur, (Time Stamping Authority, TSA). Le tiers horodateur est neutre vis-à-vis des opérations techniques. Il ne procède à aucun contrle sur le contenu du message à horodater. Il ne vérifie pas si la qualité des personnes leur permet ou non de demander un horodatage. Le tiers horodateur reçoit une requête contenant, entre autres, l empreinte des données à horodater et éventuellement la politique d horodatage sous laquelle le demandeur souhaite obtenir son jeton. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [8/25]

Réponse Le tiers horodateur construit une réponse contenant les données de la requête et en particulier l empreinte (le résumé) Il y rajoute une marque de temps ainsi que des données additionnelles dont l identité du tiers horodateur et la politique sous laquelle il a produit le jeton. Le jeton est contenu dans la réponse sous la forme d une structure CMS (Cryptographic Message Syntax) signée. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [9/25] Schéma d horodatage M2 ASS-ACSIS 2008, Université de Versailles St Quentin [10/25]

Schéma de vérification M2 ASS-ACSIS 2008, Université de Versailles St Quentin [11/25] Avantage Le client n envoie qu une empreinte pour obtenir un horodatage. Donc les informations confidentielles peuvent être horodatées sans être lues. Il est nécessaire d avoir des fonctions de hachage à sens unique sûres. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [12/25]

Inconvénients Fragilité des serveurs d horodatage Compararaison des horloges pour comparer des horodates issues de serveurs différents. Comment avoir un totale confiance dans le serveur? M2 ASS-ACSIS 2008, Université de Versailles St Quentin [13/25] Modèle de Liste/chainage Modèle Distribué Modele en Arbre Des solutions M2 ASS-ACSIS 2008, Université de Versailles St Quentin [14/25]

Chainage Le TSA envoie (n, ID n pour répondre à une sollicitation du client. Le client retourne H n le résumé du message d indice n. Le TSA récupère la date t n et construit un label L n à partir des informations précédentes Le jeton est S(n, t n, H n, ID n, L n ). L n = t n 1, ID n 1, H n 1, H(L n 1 ) M2 ASS-ACSIS 2008, Université de Versailles St Quentin [15/25] Avantage/Inconvénients On peut ajouter plusieurs chainages dans le jeton Difficile de modifier la date du jeton car on ne maitrise pas le flux de demande Vérification plus difficile besoin de moins de confiance dans le TSA. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [16/25]

Distribution La demande d horodatage est envoyé à plusieurs autorités. Algorithme: 1. on tire au hasard k autorités d horodatage 2. on envoie le résumé du document à chacune. 3. le jeton est l ensemble des réponses. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [17/25] Avantage/Inconvénients Il est moins probable que les k autorités soient compromises. La vérification est simple mais longue. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [18/25]

Idées: on définit un tour. Arbre Binaire Toutes les demandes dans un tour sont combinées dans un arbre binaire. A chaque noeud de l arbre on applique H sur les feuilles pour produire R n à la racine. La vérification ne nécessite pas la sauvegarde de toutes les demandes du tour mais seulement d une partie (en log). Seulement utile si il y a bcp de demande par tour. le jeton est constitué de la date, du chemin vers R n, de R n 1 et R n. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [19/25] Arbre de Merkel M2 ASS-ACSIS 2008, Université de Versailles St Quentin [20/25]

Entités composant le TSA Le tiers horodateur peut impliquer 2 entités : l autorité d horodatage (AH) et l opérateur de service d horodatage (OSH). Le tiers horodateur a un engagement de continuité. AH : matrise d ouvrage, responsable de l émission des contremarques OSH : matrise d oeuvre, émission techniques des contremarques. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [21/25] AH et OSH-1 L AH prend en charge l ensemble du processus d horodatage et est donc garante de la validité des contremarques de temps émises sous sa responsabilité. La garantie apportée par l AH résulte de la qualité de la technologie mise en oeuvre, et de son engagement à un cadre réglementaire et contractuel. AH établit la politique d horodatage. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [22/25]

AH et OSH-2 L OSH assure les prestations techniques nécessaires au processus d émission des contremarques de temps de l AH. Il est en charge du bon fonctionnement et de la sécurité des moyens informatiques et techniques. Il doit assurer le bon respect des procédures et des dispositifs nécessaires pour garantir un niveau de fiabilité satisfaisant. L OSH est techniquement dépositaire de la clé privée de l AH utilisée pour la signature des contremarques de temps. Première mission : protéger la clé Sa responsabilite ne peut être engagée que par l AH. Elle est limitée au respect des procédures établies entre AH et OSH. L OSH doit répondre aux exigences et aux spécifications énoncées par l AH dans sa politique d horodatage. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [23/25] Exemple tiers horodateur: déclaration des revenus 1. Absence complète de preuve Dépôt de la déclaration des revenus dans la bote à lettre de son Centre des Impôts. Aucune preuve de dépôt n est fournie. 2. Absence de preuve fournie par un tiers Dépôt de la déclaration des revenus en main propre au Centre des Impôts contre remise d un accusé de réception indiquant la liste des documents joints. La preuve de date (réception de la déclaration) est fournie par le Centre des Impôts Il n est fait aucun recours à un Tiers de Confiance extérieur. 3. Preuve fournie par un tiers extérieur Envoi en recommandé avec avis de réception de la déclaration des revenus. Il est fait recours à un Tiers de Confiance (Poste). Le rôle d AH est assumé par celle-ci. Le rôle d OSH est assumé par l AH en interne ou par un prestataire technique sous contrat avec l AH. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [24/25]

4. Service de preuve fourni par le destinataire Dépôt de la déclaration des revenus en utilisant TéléIR (en 2003). L AH et l AC sont confondues avec le destinataire qui est le Centre des Impôts Il n est fait aucun recours à un Tiers de Confiance. L OSH est assurée par un prestataire technique sous contrat avec la DGI. M2 ASS-ACSIS 2008, Université de Versailles St Quentin [25/25]

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back