MIDDLEWARE CLASSIC CLIENT Le middleware de Gemalto proposé avec les cartes Classic TPC IM CC v3 est appelé «Classic Client». Ce middleware supporte l'ensemble des cartes de la gamme «Classic TPC». Caractéristiques générales Logiciel Cryptographie à clé publique RSA Authentification SSL Signature et chiffrement S/MIME Support CryptoAPI pour les applications Microsoft Support PKCS #11 pour les applications tierces Génération de bi-clé sur la carte Smart card logon natif sous Windows 2000, XP, Vista et 2003 Signature/chiffrement des documents Office Signature/chiffrement des documents Adobe Acrobat Support clients VPN Autentification WiFi par carte à puce/ certificats Support Citrix et Terminal Services Support IdenTrust Création de packages d'installation utilisateurs: utilitaire de création par l'administrateur de package de setup destinés au déploiement par les utilisateurs finaux. Gestion de certificats:: propagation automatique, visualisation, import, export (sauf clé privée) et suppression. Gestion de code PIN: Politique de PIN, changement de PIN à la première utilisation en option, interface de changement et déblocage de code PIN Lecteurs de carte 1. Support pour tout lecteur compatible PC/SC 2. Support pour le lecteur sécurisé à clavier et écran Gemalto PC Pinpad
Architecture de Classic Client Classic Client est fondé sur des APIs standard: PKCS#11 et CAPI. Celles-ci sont installées sur le poste client, afin que les applications faisant usage de modules cryptographiques puissent avoir accès aux certificats et biclés présents sur les cartes. Grâce à cette architecture, les applications n'ont ainsi pas besoin de connaître le type de carte à puce ou clé USB employé et la manière de communiquer avec elles: c'est le rôle de Classic Client. Utilitaire Classic Client Toolbox Tous les outils fournis par Classic Client sont regroupés dans un utilitaire appelé Classic Client Toolbox, qui founit un certain nombre de fonctionnalités à l'utilisateur. Cet outil est disponible dans de nombreux langages dont le français voir liste complète plus loin dans ce document. 1 Administration de la carte 1.1. Changement du PIN et déblocage (si autorisé) 2 Contenu de la carte Voir les informations sur la carte Voir les Certificates stockés sur la carte (et choisir le cas échéant le certificat par défaut pour le logon par carte à puce) 3 Diagnostics (destiné aux interactions avec le support technique) Informations détaillées sur le produit et son installation Ci dessous, l'interface de changement de code PIN:
Import et export de certificats Figure - Gestion du code PIN Le Classic Client Toolbox permet d'importer et exporter des certificats. La disponibilité de ces fonctions peut être configurée (permise ou non) par l'administrateur lors de la création du setup utlisateur. Dans le dossier Certificats, l'utilisateur peut: Importer un certificat dans la carte à puce, depuis le magasin de certificats Windows ou bien depuis un fichier dans un des formats suivants: Fichier PKCS#12 (*.p12, *.pfx) Fichier binaire (*.der, *.cer, *.crt) PKCS#7 (*.p7b) Certificat encodé Base 64 (*.b64)
Exporter un certificat depuis la carte à puce vers le magasin Windows ou bien un fichier Note: il n'est naturellement pas possible d'exporter vers un fichier PKCS#12, ce format étant destiné à contenir et certificat et biclé entier: la carte à puce n'autorise jamais l'export de la clé privée une fois que celle-ci a été soit générée à bord soit chargée ultérieurement. 1.1.1.1 Déblocage de PIN à distance Figure - Gestion des certificats Si le PIN de la carte est bloqué (par défaut après trois tentatives), l'administrateur peut définir plusieurs options: L'utilisateur peut débloquer la carte directement à l'aide du PUK L'utilisateur peut débloquer la carte en mode challenge response dans lequel il doit appeler le support technique qui lui communiquera un code de déblocage à usage unique
L'utilisateur n'est pas autorisé à débloquer sa carte (soit parce que seul l'administrateur a accès à cette option, soit parce que le code de déblocage n'est pas initialisé) L'option numéro deux ci dessus permet de mettre en place une procédure de déblocage plus sécurisée que l'utilisation d'un simple code PUK - L'utilisateur n'est pas obligé de faire appel à un administrateur pour débloquer sa carte, le support technique habituel peut suffire. - L'administrateur ne communique jamais le véritable code PUK - L'utilisateur ne peut pas réutiliser le code de déblocage, celui-ci étant à usage unique - Il n'est pas possible de débloquer une carte autre que celle de l'utilisateur à l'aide de code de déblocage Dans ce mode, l'utilisateur téléphone au support technique, s'identifie, et après communication de son numéro de série de carte et du code aléatoire affiché dans la Classic Client Toolbox, le helpdesk lui fournit un code de déblocage. Avec ce code déblocage, qui n'est valide qu'une seule fois, l'utilisateur peut débloquer sa carte et choisir un nouveau PIN. 1. L'utilisateur choisit l'option Administration de la carte dans le Classic Client Toolbox et choisit l'option Déblocage de PIN. L'utilisateur appelle alors le support technique et, après identification, communique le numéro de série et aléa qui sont affichés:
Figure - Déblocage de PIN à distance 2. Le support technique communique alors un code temporaire de déblocage (en réalité le code PUK chiffré) que l'utilisateur peut alors taper. La carte est alors débloquée et l'utilisateur choisit un nouveau code PIN. Figure - Déblocage et choix du nouveau PIN
Notes importantes sur l'utilisation du déblocage de PIN à distance: L'utilisation de cet outil nécessite que l'opérateur du support technique ait accès à l'application de déblocage correspondante, afin de pouvoir: 1 Entrer le numéro de série de la carte de l'utilisateur ainsi que l'aléa 2 Calculer le code de déblocage à communiquer au téléphone. Cette application peut être facilement intégrée dans les workflows des supports techniques, ou même à l'intérieur d'applications de 'Card Management Systems'. L'opérateur du support technique doit posséder une carte dédiée qui stocke les codes de déblocage de manière sécurisée et calcule les codes de déblocage. Fonctions administrateur de Classic Client Toolbox Le logiciel Classic Client livré sur CDROM ou bien via un site web sécurisé est par défaut un package administrateur, qui permet à l'intégrateur de définir lui-même l'ensemble des paramètres qui seront accessibles aux utilisateurs finaux de Classic Client. Ce package contient ainsi une option Administrateur spécifique permettant à un administrateur de définir ces options, et de générer le Setup d'installation correspondant. De cette manière, l'intégrateur ou l'administrateur peut définit précisément les réglages de sécurité ainsi que de politique de code PIN, ainsi que les options de configuration, et créer un exécutable déployé chez les utilisateurs. Durant la création d'un installateur destiné aux utilisateurs finaux, trois grandes étapes sont proposées: 1. Réglages de configuration 2. Politique de code PIN 3. Spécifications du paquet d'installation Naturellement, le paquet d'installation utilisateur ainsi généré ne contiendra aucune des options administrateur. Réglages de configuration:
Lors de cette étape, l'administrateur définit à travers une interface graphique les options de configuration du setup utilisateur: Si l'utilisateur peut débloquer une carte bloquée Si l'utilisateur a accès à la procédure de déblocage à distance décrite précédemment Si l'utilisateur a le droit ou non d'effacer le contenu de sa carte Si l'utilisateur est autorisé à changer son code PIN ou non. Si l'import et l'export de certificats est autorisé Figure - Ecran de configuration Politique de code PIN: Dans cette fenête, l'administrateur peut définir la politique de code PIN. 1. Longueur du code PIN 2. Caractères autorisés 3. Vérification de l'historique du code PIN, et de présence de répétitions (e.g. 11221122)
4. Appartenance du PIN à une liste de PIN 'faibles' connue, et définition de cette liste. Figure - Politique de code PIN Par la suite, lorsqu'un utilisateur souhaitera changer son code PIN, la politique définie par l'administrateur affichée par Classic Client, et l'utilisateur devra suivre cette politique afin de changer son code PIN. Génération du paquet d'installation: L'administrateur, après définition des configurations ci-dessus, pourra ensuite générer un ou plusieurs paquets d'installation correspondant aux divers profils d'utilisateurs en usage pour son application. Cest paquets comprendront:
Les réglages de configuration La politique de PIN La langue 1. Les divers modules supplémentaires à inclure ou non Figure - Génération de l'installeur Une fois définies, ces options permettront de créer un installeur personnalisé qui pourra ensuite être distribué aux utilisateurs finaux. Déploiement de l'installeur Après avoir créé un installeur à destination des utilisateurs finaux, se pose la question des options de déploiement.
L'installeur se présente sous forme d'un répertoire contenant un fichier setup.msi ainsi que les divers fichiers nécessaires à l'installation. Plusieurs méthodes peuvent être utilisées: 1. Gravage et distribution d'un CDROM 2. Fourniture du Package via une distribution en ligne 3. Déploiement du logiciel via un système automatisé. Ce mode est particulièrement adapté en entreprise où le déploiement des logiciels s'effectue généralement en mode silencieux, 'poussé' par l'administrateur.
Description technique des composants de Classic Client Cette section décrit les diverses caractéristiques techniques de Classic Client, ainsi que la liste des applications testées par Gemalto à chaque sortie de nouvelle version. Cependant, Classic Client peut fonctionner en général avec toute application faisant usage de soit PKCS#11 soit Microsoft-CAPI, et cette liste n'est donc pas exhaustive. Cependant, aucune suite standard de certification n'existant pour ces deux standards, Gemalto effectue un certain nombre de tests pour les applications les plus populaires, et un test d'intégration est recommandé pour les applications non présentes dans la liste. Version du produit : v6.0 Applets et cartes supportées: Classic TPC IS Classic TPC IM CC Classic MDE TPC IM Carte IAS ECC Cartes obsolètes supportées: GemSafe GPK16000 (requires GPK add-on on top of Classic Client) Lecteurs de carte à puce supportés: Contact: o PC Card o PC Express o USB Shell Token V2 o PC Twin
o o o USB e-seal Token V2 PC USB-SL PC USB-TR Secure PIN Pad Readers: o PC Pinpad o GCR 5500 o Dell keyboards SK-3105, SK-3205 and RT7D60 Contactless: o Prox DU/SU Systèmes d'exploitation supportés: Windows 2000 Professional SP4 32 bits Windows XP Pro SP2 & SP3 32 & 64 bits Windows Vista SP1 & SP2 32 & 64 bits Windows 7 32 & 64 bits Windows Server 2003 R2 SP2 32 & 64 bits Windows Server 2008 (up to SP2) 32 & 64 bits Windows Server 2008 R2 64 bits Linux RedHat RHEL v5 32 bits Debian Etch 32 bits Mac OS 10.5 & 10.6 Prérequis matériels: Processeur 1GHz minimum 1Go de RAM minimum pour Windows 32 bits 1Go de RAM minimum pour Windows 64 bits Interfaces cryptographiques supportées:
PKCS#11 v2.01 Microsoft CAPI v2 Langues supportées en standard: Anglais Chinois (Simplifié) Chinois (Traditionel) Czech Hollandais Français Allemand Hongrois Italien Japonais Latvian Polonais Portuguais Espagnol Suédois Turc Nom du produit Versions Commentaire Navigateurs Internet Explorer, v7, v8 Strong authentication with SSL
Nom du produit Versions Commentaire Mozilla Firefox V3.0, V3.5 Strong authentication with SSL, PIN change, PKCS#12 file key injection Email Microsoft Outlook 2003 SP1 & 2007, express Email signature and encryption Mozilla Thunderbird v2.0 Email signature and encryption Certification Authorities Microsoft Windows CA Server 2003/2008 Certificate enrolment and renewal Entrust Authority v7.1 Certificate enrolment and renewal Card Management Systems Opentrust SCM V4.1 Certificate enrolment and renewal Microsoft ILM 2007 FP1 Certificate enrolment and renewal Intercede MyID 8.0 SR1 Certificate enrolment and renewal Thin client and remote access Microsoft Terminal Services Server 2003 & 2008 Smartcard logon Citrix Xenapp Server v4.5 & 5.0 Smartcard logon Office tools Microsoft office 2003 SP1, 2007 Documents signature and encryption, VB macros signing Adobe Acrobat Reader V8, v9 Document encryption and signature Adobe Acrobat V9 Document encryption and signature Open Office V3.0 Document signature Disk Encryption McAfee Endpoint Encryption Build 5600 Preboot Authentication & Disk Encryption WinMagic SecureDoc 4.8 Preboot Authentication & Disk Encryption