Mario Pasquali 13 décembre 2001



Documents pareils
Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Retour d'expérience sur le déploiement de biométrie à grande échelle

La citadelle électronique séminaire du 14 mars 2002

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Tutorial Authentification Forte Technologie des identités numériques

Aurélien Bordes. OSSIR 13 juillet 2010

Extraction de données authentifiantes de la mémoire Windows

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

ScTools Outil de personnalisation de carte

Sécurité des réseaux sans fil

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION

EMV, S.E.T et 3D Secure

Annexe 8. Documents et URL de référence

Service de lettre électronique sécurisée de bpost. Spécificités techniques

Kerberos en environnement ISP UNIX/Win2K/Cisco

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Sécurité WebSphere MQ V 5.3

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

La renaissance de la PKI L état de l art en 2006

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Le modèle de sécurité windows

Gestion des accès et des identités

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

La sécurité dans les grilles

Gestion des certificats en Internet Explorer

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

HCE & Authentification de seconde génération

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

mimikatz et la mémoire de Windows Benjamin DELPY `gentilkiwi`

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Pour tous renseignements sur les produits Microsoft, rendez-vous sur le site :

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Du 03 au 07 Février 2014 Tunis (Tunisie)

Version 2.2. Version 3.02

Admin-PKI: Certificats de classe B

Middleware eid v2.6 pour Windows

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Mai 2013

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Gestion des identités Christian-Pierre Belin

Le Network File System de Sun (NFS)

Architectures PKI. Sébastien VARRETTE

Authentification forte avec les USG

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

EJBCA Le futur de la PKI

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Le principe du moindre privilège appliqué aux systèmes Windows

identité électronique (eid(

mimikatz présentation et utilisation avancée Benjamin DELPY `gentilkiwi`

Introduction au Wi-Fi sécurisé

Network Identity Manager mit SN-Gina Outlook Web Access

L'AUTHENTIFICATION FORTE EN TANT QUE SERVICE libérez-vous des contraintes matérielles

OSSIR Groupe Sécurité Windows

La Technologie Carte à Puce EAP TLS v2.0

LA CARTE D IDENTITE ELECTRONIQUE. Un guide pour les utilisateurs et les développeurs d applications. SPF Intérieur

L Authentification de Librex dans Active Directory (Kerberos)

SUJET EPREUVE ECRITE. JURY ASI Bap E Gestionnaire de parc informatique et Télécom.

Livre blanc sur l authentification forte

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

«La Sécurité des Transactions et des Echanges Electroniques»

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Fiche Produit TSSO Extension Mobility Single Sign-On

II- Préparation du serveur et installation d OpenVpn :

SÉCURISATION D'UN SERVEUR WINDOWS 2000

Secrets d authentification sous Windows

Clear2Pay Belgium SA Solution B-web V4 Procédure d installation. Solution B-web V4. Procédure d installation. Clear2Pay Belgium SA Page 1 de 18

Certificats et infrastructures de gestion de clés

SECURITE DES SYSTEMES D INFORMATION INTRANET SECURISE BASE SUR LES PRODUITS MICROSOFT

HP ProtectTools Manuel de l utilisateur

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

1 Présentation de la solution client/serveur Mobilegov Digital DNA ID BOX

Livre blanc. Sécuriser les échanges


Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

1. Présentation de WPA et 802.1X

Evaluation, Certification Axes de R&D en protection

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

2X ThinClientServer Guide d utilisation

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves»

Certificats de signature de code (CodeSigning)

Réseaux Privés Virtuels

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Certificats Electronique d AE sur Clé USB


VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

SSH, le shell sécurisé

Transcription:

Mario Pasquali 13 décembre 2001 En collaboration avec:

Vue d ensemble Thèmes traités Windows Smart Card Logon Développement d une DLL GINA Développement d un CSP CryptoAPI 2

Vue d ensemble (2) Winlogon Windows Logon Process GINA Graphical Identification and Authentication Certificates Windows Certificate Store User mode User mode CAPI Cryptographic Applicaton Program Interface CSP Cryptographic Service Provider Software Crypto Library Driver WDM Driver Hardware Crypto Device Kernel mode Hardware 3

Windows Smart Card Logon

Smart Card Logon Introduction Infrastructure à clé publique (PKI) Cartes à puces Mise en œuvre avec etoken d Aladdin 5

Smart Card Logon Configuration Windows 2000 domain controller Certificate Authority Smart Card Enrollment Agent Smart Card Client Server Domain Controller Client Smart Card Client Certification Authority Enrollment Agent 10BaseT 6

Smart Card Logon Kerberos Protocole d authentification Supporté par Windows 2000 Phase d initialisation avec clés symétriques 7

Smart Card Logon Extension PKINIT de Kerberos Client Winlogon (1) S/c Insertion (SAS) PIN (2) (3) GINA LsaLogonUser, PIN Active Directory Smart Card Private User certificate Subject Alternative Name Public PIN Certificate (5) Authenticator Signature (6) Smart Card CSP LSA (4) PIN Kerberos SSP (7) AS request Certif + Authenticator (10) rdnkey(tgt), (8) user@domain pubkey(rndkey), sign KDC (9) User info 8

Introduction à Winlogon et GINA

Intro Winlogon et GINA Contexte Client Winlogon (1) S/c Insertion (SAS) PIN (2) (3) GINA LsaLogonUser, PIN Active Directory Smart Card Private User certificate Subject Alternative Name Public PIN Certificate (5) Authenticator Signature (6) Smart Card CSP LSA (4) PIN Kerberos SSP (7) AS request (8) user@domain Certif + Authenticator (10) rdnkey(tgt), pubkey(rndkey), sign KDC (9) User info 10

Intro Winlogon et GINA Composants de Winlogon Winlogon.exe Premier processus exécuté par le système d exploitation GINA Identification et authentification graphique Gère l intéraction avec l utilisateur Network Providers Donnent accès à divers types de réseaux 11

Intro Winlogon et GINA Winlogon et GINA Tâches de Winlogon Enregistrement de Ctrl-Alt-Del Création des bureaux (desktops) Appel des points d entrée de GINA Tâches de GINA Reconnaissance des SAS spécifiques Authentification de l utilisateur Création du shell utilisateur 12

Développement d une DLL GINA

Développement GINA Objectifs Authentification d un utilisateur dans le domaine local d une station de travail Interfaçage avec du matériel spécifique 14

Développement GINA DLL de traçage Expérience avec GINA Compréhension des points d entrée Principe Winlogon ginalog.dll gina.log msgina.dll 15

Développement GINA Environnement de test Utilisation d un log Win2k Free Visual C++ 6.0 Dev Test Win2k Free GINA Logger 10BaseT 16

Développement GINA Interfaçage avec matériel spécifique Carte de développement USB Informations de logon stockées en mémoire non-volatile de la carte USB SAS spécifiques Insertion de la carte USB Extraction de la carte USB 17

Développement GINA Interfaçage avec matériel spécifique (2) Boot Logged Out Device connection Manual logoff Administrator force Logoff Logged On Device deconnection Device connection Workstation Locked 18

Développement GINA Interfaçage avec matériel spécifique (3) Démonstration (3 min) 19

Développement GINA Conclusion Redémarrages fréquents Machine de test performante conseillée 20

Introduction à CryptoAPI

Intro CryptoAPI Contexte Client Winlogon (1) S/c Insertion (SAS) PIN (2) (3) GINA LsaLogonUser, PIN Active Directory Smart Card Private User certificate Subject Alternative Name Public PIN Certificate (5) Authenticator Signature (6) Smart Card CSP LSA (4) PIN Kerberos SSP (7) AS request (8) user@domain Certif + Authenticator (10) rdnkey(tgt), pubkey(rndkey), sign KDC (9) User info 22

Intro CryptoAPI CryptoAPI Jeu de fonctions cryptographiques Applications indépendantes du matériel CryptoAPI Application A Application B wincrypt.h CryptoSPI CryptoAPI cspdk.h CSP 1 CSP 2 CSP 3 23

Intro CryptoAPI CSP (Cryptographic Service Provider) Fournisseur de services cryptographiques Diverses implémentations Hardware Software Mixed 24

Développement d un CSP CryptoAPI

Développement CSP Objectifs Génération d un certificat Opérations cryptographiques en logiciel avec une librairie cryptographique 26

Développement CSP Déroulement du développement Développement d un squelette Trace de la génération d un certificat Développement des fonctions utilisées Validation des fonctions écrites 27

Développement CSP CSP de traçage Application CAPI Cryptographic Applicaton Program Interface CSP Cryptographic Service Provider 28

Développement CSP Requête de certificat Client Certificate Client CSP PKCS#10 request Server Certificate Authority 29

Développement CSP Requête d un certificat (2) Certificate Client 1. Create the keyset CSP CPAcquireContext 2. Create the key pair CPGenKey 3. Export Exchange Key CPExportKey Exchange Public Key Certificate 4. Hash certificate data CPHashData Hash Data SHA1 5. Sign Hash AddBytes CPSignHash Signature Sign 6. Close the CSP CPReleaseContext 7. PKCS#10 Certificate request Certificate Server Exchange Private Key 30

Développement CSP Implémentation avec OpenSSL Application Wincrypt.h CAPI Cryptographic Applicaton Program Interface Cspdk.h CSP Cryptographic Service Provider Import OpenSSL Export OpenSSL files 31

Développement CSP Implémentation avec OpenSSL Démonstration (7 min) 32

Développement CSP Conclusion Beaucoup de code nécessaire avant de commencer réellement Manque de ressources (documentation, code source, exemples) Futur travail grandement simplifié 33

Général Temps passé sur chaques parties Smart Card Logon = 1 semaine GINA = 3 semaines GinaLog = ½ semaine GinaLib = 1 ½ semaines UsbGina = 1 semaine (1 500 lignes de code) CSP = 7 semaines CspLog = 1 ½ semaines (1 300 lignes de code) Framework = 3 semaines (2 500 lignes de code) Crypto++ = ½ semaine OpenSSL = 1 semaine (framework + 500 lignes de code) Problème format = 1 semaine 34

Questions (10 min)

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back