Offre SecurePGP Sécurisation de fichiers selon le standard OpenPGP Présentation Janvier 2016 SecurePGP 1.x
Sommaire Présentation de LINAGORA Vue d ensemble de SecurePGP Description détaillée de SecurePGP Le module «SecurePGP KMS» Le module «SecurePGP Server» Fiche technique de SecurePGP Projections 2
Présentation de LINAGORA Présentation de la société Nos métiers Nos produits Notre offre Sécurité 3
Présentation de LINAGORA Logiciels et services pour réussir vos grands projets de transformation open source 150 salariés Bureaux en France, Canada, Belgique, États-Unis, Vietnam Partenaires et clients en Tunisie, Colombie et au Nigeria Édition Édition logicielle logicielle Confiance numérique Gestion et fédération des identités Plate-forme d intégration SOA Messagerie collaborative Quelques références Linagora Assurance Assurance logicielle logicielle Services Services 4
Nos métiers Édition logicielle LGS (Linagora Global Software) OBM Outils de messagerie et de gestion collaborative. LinShare Application de partage de fichiers sécurisé. LinPKI Offre de services et d applications de sécurité. LinID Gestion et fédération des identités. Petals Plate-forme d intégration SOA. Support logiciel OSSA (Open Source Software Assurance) Catalogue complet de plus de 400 logiciels libres dont les applications du groupe Linagora, prêts à l industrialisation, sur une plate-forme unique : le 08000LINUX.com. Services professionnels Linagora Consulting Conseil, schémas directeurs, études. Linagora Services Assistance technique, conduite du changement. Linagora Formation Centre de formation. Linagora LinStudio Développement d applications web. 5
Modèle économique 100 100 % % Free Free Free Free == aucun aucun coût coût de de licence licence == réellement réellement Open Open Source Source == pas pas de de modèle modèle Freemium Freemium Nos modes de rémunération Conseil et intégration Développement de fonctionnalités spécifiques Support technique 6
Une gamme logicielle professionnelle LINAGORA développe du logiciel libre. 100 % du code source est disponible. Nos clients contribuent au développement des offres, à la pérennisation des produits et de leur communauté au travers des contrats de support. Truffle 100/2010 : Linagora est le seul éditeur Open Source présent (90e position) (Truffle 100 : classement des 100 premiers éditeurs de logiciels français). Investissement en R&D : > 3,5 M /an Messagerie collaborative Confiance numérique Gestion et fédération des identités Plate-forme d intégration 7
L offre Sécurité EJBCA Infrastructure à clé publique PKI Autorité de certification et confiance numérique SecurePGP Sécurisation de fichiers selon OpenPGP Gestion des clés PGP et modèle de confiance LinSign Signature électronique de documents Validation de signatures électroniques PROCHAINEMENT PROCHAINEMENT gsafe Coffre-fort électronique dans le Cloud Signature électronique à valeur probatoire LinSecure Coffre-fort électronique pour le jeu en ligne Certification CSPN et conformité ARJEL LinPKI instaure un environnement de confiance en Open Source. Des solutions clés en main pour : authentifier les personnes et les machines, assurer la confidentialité au sein de votre SI, dématérialiser vos documents grâce à la signature électronique sécurisée. SignServer Signature électronique cachet serveur Horodatage électronique et temps fiable 8
Vue d ensemble de SecurePGP Solution de sécurisation de fichiers selon le standard OpenPGP 9
SecurePGP : C est quoi? Solution de sécurisation des échanges internes et externes de fichiers entre applications, conforme au standard OpenPGP. Destinée à toute organisation requérant un haut niveau de sécurité, cette solution répond parfaitement aux problématiques d intégrité et de confidentialité des banques, assurances, établissements financiers, domaine médical, industriel, etc. Assure la sécurité des fichiers de bout en bout entre applications, en usage interne et pour les échanges externes, grâce à l établissement d une confiance croisée avec des partenaires externes. Indépendante du système, cette solution est implémentée sur plusieurs systèmes d exploitation et assure l interopérabilité entre systèmes hétérogènes via un standard reconnu et un format pivot. S intègre à tout système de transfert de fichiers existant, via son API complète permettant l automatisation des traitements. 10
SecurePGP : Vue d ensemble 11
SecurePGP : Fonctionnalités principales (1/2) Large couverture cryptographique De nombreux algorithmes cryptographiques sont supportés, dont RSA (jusqu à 4096 bits), SHA-2 (SHA-256, etc.), AES (128, 192 et 256 bits), Camellia (128, 192 et 256 bits), TripleDES, Twofish, etc. Très bonne compression La compression des données a trois impacts bénéfiques : augmentation de la sécurité (en réduisant la redondance), libération de l espace de stockage, diminution de la charge réseau, ainsi globalement cela permet d avoir une réduction du temps de traitement. Intégrité et principe de non-répudiation Dans le cadre de la signature électronique, d une part l intégrité des données est garantie et d autre part les responsables d une application utilisatrice ne peuvent pas renier le fait que l application ait émis un fichier signé (par la clé applicative). La valeur probatoire de la signature s avère très utile lorsque des audits de sécurité sont menés. 12
SecurePGP : Fonctionnalités principales (2/2) Création et gestion centralisée des clés Le système intégré de gestion centralisée des clés PGP permet d une part selon un modèle de confiance hiérarchique d établir un environnement de confiance au sein de son SI, et si besoin une confiance croisée avec des partenaires externes. D autre part, ce système permet de générer, renouveler, révoquer et de distribuer les clés applicatives, ainsi que de diffuser automatiquement les clés de confiance au sein de son infrastructure. API complète de type CLI L API (Application Program Interface) permet d intégrer l outil CLI dans des applications tierces appelantes, et d automatiser le traitement de gros volumes de données. Support multi-environnements De multiples systèmes sont supportés (GNU/Linux, Windows, AIX, etc.) et multi-environnements d exécution (e.g. Prod, Test). 13
SecurePGP : Points forts Points forts de SecurePGP : Similaire à PGP Command Line, mais en Open Source sous licence libre avec GnuPG ; Transcodage automatique des fichiers texte indépendamment du système cible ; Modèle de confiance SecurePGP et diffusion automatique des clés maîtres ; Conforme RGS v2 de l ANSSI et avec la Convention OpenPGP de la Banque de France ; Automatisation par script via son API complète en ligne de commande CLI ; Interopérable avec les solutions propriétaires OpenPGP du marché. 14
SecurePGP : Composition de l offre La solution SecurePGP fournit d une part un système de gestion des clés PGP (SecurePGP KMS), et d autre part des modules serveurs pour la mise en œuvre du service de sécurisation et dé-sécurisation (SecurePGP Server). SecurePGP KMS Système de gestion des clés PGP SecurePGP KMS (Key Management System) est le système central de gestion des clés PGP (clés maîtres et clés applicatives). Les clés générées respectent le standard OpenPGP (RFC 4880) et la convention OpenPGP de la Banque de France, et sont ainsi interopérables avec celles de la Banque de France et de tout partenaire. SecurePGP KMS permet de gérer ses propres clés maîtres sur support matériel via une interface standard PKCS #11 (e.g. carte SIM OpenPGP SmartCard V2 et son lecteur Gemalto USB Shell Token V2). SecurePGP Server Modules du service de sécurisation SecurePGP Server fournit le service de sécurisation et de dé-sécurisation des fichiers. Il est décliné sous plusieurs modules pour supporter les plate-formes suivantes : AIX, Red Hat Enterprise Linux (RHEL), Windows Server. Pour d autres plates-formes, veuillez nous contacter. 15
SecurePGP : Cinématique fonctionnelle globale 1 fois après la signature de la convention OpenPGP 1 fois par couple d applications 1 fois par application 1 fois par fichier 16
SecurePGP : Références Linagora Les clients de Linagora qui utilisent SecurePGP : Banque de France (banque), SécurPGP (solution libre de sécurisation de fichiers, à l origine du produit SecurePGP) 17
SecurePGP : Produits concurrents Offres basées sur PGP Command Line (de Symantec) Townsend Security, PGP File Encryption GroovySoft, PGP Command Line for IBM Mainframes SDS, E-Business Server Encryption Authora, Edge Open PGP Command Line Offres basées sur une implémentation propriétaire de OpenPGP Linoma Software, GoAnywhere Director Note : Axway, Transfer CFT (supporte aussi PGP) 18
SecurePGP : Matrice de comparaison des produits LINAGORA Licence Format des clés Modèle de confiance Gestion des clés Chiffrement Signature Compression Transcodage Transfert de fichier Composants Annuaire Townsend Security GroovySoft SDS Authora SecurePGP PGP File Encryption PGP Command Line for IBM Mainframes E-Business Server Encryption Edge Open PGP Command Line GoAnywhere Director GNU Affero GPL v3 Propriétaire Propriétaire Propriétaire Propriétaire Propriétaire OpenPGP (RFC 4880) OpenPGP (RFC 4880) X.509 v3 OpenPGP (RFC 4880) X.509 v3 OpenPGP (RFC 4880) X.509 v3 OpenPGP (RFC 4880) X.509 v3 (que Windows) OpenPGP (RFC 4880) Hiérarchique avec confiance croisée Création et gestion ~ 90 formats (UTF-8, ISO, EBCDIC, Windows, etc.) GnuPG (v1.4, v2.0), iconv Gestion (import, export) Création et gestion Création? Création et gestion EBCDIC ASCII Linoma Software Gestion (import, export) EBCDIC ASCII? PGP Command Line (v9) PGP Command Line (v9) LDAP PGP Universal Server PGP Global Directory LDAP (pour X.509) PGP Universal Server PGP Global Directory? PGP Command Line IBM z/os Windows Server Sun Solaris IBM AIX HP-UX Linux Red Hat Linux SUSE FreeBSD Linux : RedHat, SuSE HP Tru64 UNIX HP-UX UNIX Solaris (Sparc, Intel) IBM AIX MacOS X Windows (desktop) Windows : Server, desktop GNU/Linux : CentOS, Red Hat, SUSE, Ubuntu IBM i (AS/400) AIX (pseries) UNIX HP-UX, Solaris Mac OS Windows (ligne de commande) Unix/Linux/HP-UX/Solaris (shell) IBM i (CL/RPG/COBOL) Java.NET (C# API) Implémentation propriétaire Systèmes supportés IBM AIX GNU/Linux RHEL Windows Server IBM i OS/400 IBM z/os IBM iseries IBM AIX Unix GNU/Linux Sun Solaris Windows Apple Interfaces ksh Windows PowerShell z/os JCL, ISPF z/os USS (ksh) z/os JCL, ISPF z/os USS (ksh) z/os : JCL, ISPF, REXX, SYSREXX Script shell : USS, Linux, Unix, Windows C and Java code UNIX (ligne de commande) Windows (ligne de commande) Conformité ANSSI RGS v2 (par configuration) NIST FIPS 140-2 (pour PGP SDK) NIST FIPS 140-2 (pour PGP SDK)? NIST FIPS 140-2 (security level NIST FIPS 140-2 (RSA Security 4) Module) Support Support éditeur, OSSA (8h00 19h00) Support par ticket (6h30 17h00)? Support éditeur Au forfait ou par ticket. Support éditeur 19
Description détaillée de SecurePGP Solution de sécurisation de fichiers selon le standard OpenPGP 20
SecurePGP : Le standard OpenPGP Le standard OpenPGP OpenPGP est un protocole pour chiffrer et signer des courriels, utilisant les mécanismes de cryptographie à clé publique. Il est basé sur PGP développé par Phil Zimmermann. OpenPGP est un standard définit par l IETF (Internet Engineering Task Force) dans le RFC 4880. Ce standard peut être utilisé par toute entreprise sans droit de licence. Les logiciels «OpenPGP» La Free Software Foundation a développé son propre logiciel conforme au standard OpenPGP appelé GNU Privacy Guard (GnuPG ou GPG). GnuPG est publié sous la licence libre GNU General Public License (GPL). Symantec a développé sa propre solution conforme au standard OpenPGP appelé PGP Command Line. 21
SecurePGP : Architecture fonctionnelle La solution SecurePGP est constitué d un système de gestion de clés PGP (SecurePGP KMS, Key Management System) et d un ou plusieurs modules serveurs de sécurisation de fichiers (SecurePGP Server). SecurePGP Server SecurePGP KMS 22
Le module «SecurePGP KMS» Système de gestion des clés PGP 23
SecurePGP KMS : Gestion des clés Organisation Chaque organisme (e.g. banque, établissement de crédit, industriel, etc.) possède sa clé maître qui a un rôle d autorité. Chaque organisme peut émettre et signer avec sa clé maître des clés applicatives, pour chacune de ses propres applications destinées à utiliser le service SecurePGP. Gestion des clés maîtres Un organisme constitue également une liste de confiance composée des clés maîtres publiques des organismes partenaires envers lesquels il fait confiance. Gestion des clés applicatives D une part, un organisme gère le cycle de vie de ses propres clés applicatives. Et d autre part, il peut importer les clés applicatives publiques d organismes partenaires envers lesquels il a préalablement fait confiance. 24
SecurePGP KMS : Modèle de confiance Les clés maîtres sont les racines de la confiance. Chaque organisme possède sa clé maître. 25
SecurePGP KMS : Interface graphique (GUI) 26
Le module «SecurePGP Server» Module de sécurisation de fichiers 27
SecurePGP : Cinématique de sécurisation (1/2) Le module SecurePGP Server d une application émettrice réalise une opération de sécurisation sur un fichier, puis l envoie à une ou plusieurs applications destinatrices. À la réception du fichier sécurisé, le module SecurePGP Server de chaque application destinatrice réalise une opération de dé-sécurisation sur ce fichier pour obtenir le fichier en clair original, éventuellement codé selon le jeu de caractères du système cible dans lequel est exécutée l application en question. Opération de sécurisation : Opération de dé-sécurisation : 1. Transcodage ; 1. Déchiffrement ; 2. Signature ; 2. Décompression ; 3. Compression ; 3. Vérification de la signature ; 4. Chiffrement. 4. Transcodage. 28
SecurePGP : Cinématique de sécurisation (2/2) 29
Fiche technique de SecurePGP Conformité de sécurité Normes, standards et convention Support cryptographique Environnement technique et licence Fiche des caractéristiques 30
SecurePGP : Conformité de sécurité Conformité au RGS Les fonctionnalités de SecurePGP permettent d assurer la conformité au Référentiel général de sécurité français (RGS), selon : les cartes à puce cryptographiques (interface PKCS #11) ; les mécanismes cryptographiques : algorithmes et tailles de clés. 31
SecurePGP : Normes, standards et convention SecurePGP est développée conformément aux standards, elle prend en charges les préconisations des organismes suivants : ITU (International Telecommunication Union) : pour les normes ITU-T X.500 et X.520 (annuaires LDAP), IETF (Internet Engineering Task Force) : pour le standard OpenPGP (RFC 4880), PKCS (Public-Key Cryptography Standards) : spécifications des laboratoires RSA, pour les tokens cryptographiques (PKCS #11), W3C (World Wide Web Consortium) : pour le standard des formats de dates (ISO 8601), Banque de France : convention OpenPGP de la Banque de France. Le respect des standards garantit l interopérabilité. 32
SecurePGP : Support cryptographique SecurePGP supporte les algorithmes cryptographiques : Algorithmes asymétriques : RSA : 1024, 1536, 2048, 3072, 4096 bits, Autres : DSA (1024 3072 bits), Elgamal (1024 3072 bits). Fonctions de hachage à sens unique : SHA-1, RIPEMD-160, SHA-2 : SHA-224, SHA-256, SHA-384, SHA-512. Algorithmes symétriques : AES-128, AES-192, AES-256, Camellia-128, Camellia-192, Camellia-256, Autres : Twofish, Blowfish, CAST5, TripleDES. Algorithmes de compression : Zip, Zlib, BZip2. SecurePGP supporte nativement le standard PKCS #11 : Tokens USB cryptographiques : Carte SIM : OpenPGP SmartCard V2 avec SIM détachable, Lecteur de carte SIM : Gemalto USB Shell Token V2. 33
SecurePGP : Environnement technique et licence Environnement technique : Langages de développement : Application KMS développée en ksh et C#, Modules serveurs développés en ksh ou PowerShell ; Outils en dépendance : GnuPG (OpenPGP), iconv (transcodage) ; Systèmes d exploitation supportés : RHEL, AIX, Windows. Licence : Licence libre (open source) : GNU Affero General Public License, version 3 34
SecurePGP : Fiche des caractéristiques Fonctions Standards et cryptographie Chiffrement fort, avec des clés jusqu à 256 bits Standard OpenPGP (RFC 4880) Assure l intégrité des fichiers Convention OpenPGP de la Banque de France Non-répudiation de l émetteur Algorithmes asymétriques : RSA, DSA, Elgamal Compression des données Algorithmes symétriques : AES, Camelia, Twofish, Blowfish, CAST5, TripleDES Transcodage automatique des fichiers texte Système de création et gestion des clés PGP intégré Automatisation par script, en ligne de commande CLI Multi-applications utilisatrices du service Plusieurs environnements d exécution supportés Système de journaux, sauvegarde, et auto-contrôle Fonctions de hachage : SHA-1, RIPEMD-160, SHA-224, SHA-256, SHA-384, SHA-512 Formats de codage : plus de 90 formats supportés (UTF-8/UTF-16/UTF-32, ASCII, ISO-8859, KOI8, EUC, Windows/CP, Macintosh, EBCDIC, etc.) PKCS #11 (Cryptographic Token Interface Standard) Conforme au Référentiel général de sécurité v2 (ANSSI) Support Systèmes d exploitation : GNU/Linux (RHEL), IBM AIX, Windows 7/Server Tokens USB cryptographiques : Gemalto USB Token / OpenPGP SmartCard SIM Pérennité de l outil : sous licence libre (AGPL v3), basé sur l outil GnuPG Supports communautaire et éditeur : code en Open Source, développé par une entreprise française 35
Projections Support et service professionnel Feuille de route du produit 36
Support et service professionnel En complément de l offre applicative, Linagora fournit le personnel et les services pour répondre à votre besoin durant toutes les phases projet. Conseil Analyse des besoins et des usages ; Définition des spécifications fonctionnelles et techniques ; Définition des architectures techniques. Intégration Gestion de projet ; Développement complémentaire ; Mise en œuvre des applications (installation, configuration, déploiement) ; Rédaction de documentation ; Établissement des processus d exploitation. Support L offre de support de Linagora OSSA (voir plaquette OSSA). Formation Formation aux concepts et application (cf. catalogue Formation). 37
SecurePGP : Feuille de route du produit Feuille de route SecurePGP v1.x SecurePGP Server sous Debian SecurePGP Server sous SLES SecurePGP KMS sous GNU/Linux Feuille de route SecurePGP v2.x Support des courbes elliptiques : ECDH, ECDSA (P-256, P-384, etc.) Support des certificats numériques X.509 v3 Etc. 38
Merci pour votre attention! Groupe LINAGORA 80, rue Roque de Fillol 92800 PUTEAUX FRANCE @linagora www.linagora.com vente@linagora.com