Stage d application à l INSA de Rouen. Découvrir la PKI.



Documents pareils
La sécurité des Réseaux Partie 7 PKI

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Du 03 au 07 Février 2014 Tunis (Tunisie)

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Les certificats numériques

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Sécurité des réseaux sans fil

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

SSL ET IPSEC. Licence Pro ATC Amel Guetat

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Public Key Infrastructure (PKI)

LA SIGNATURE ELECTRONIQUE

Cours 14. Crypto. 2004, Marc-André Léger

Livre blanc sur l authentification forte

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité WebSphere MQ V 5.3

Le protocole SSH (Secure Shell)

Réseaux Privés Virtuels

Gestion des utilisateurs et Entreprise Etendue

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

La renaissance de la PKI L état de l art en 2006

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Certificats et infrastructures de gestion de clés

Description des UE s du M2

Les modules SI5 et PPE2

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Certification électronique et E-Services. 24 Avril 2011

LEGALBOX SA. - Politique de Certification -

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Groupe Eyrolles, 2006, ISBN : X

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Les infrastructures de clés publiques (PKI, IGC, ICP)

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

EJBCA Le futur de la PKI

Retour d'expérience sur le déploiement de biométrie à grande échelle

Politique de Certification

Cadre de Référence de la Sécurité des Systèmes d Information

Autorité de Certification OTU

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Devoir Surveillé de Sécurité des Réseaux

La sécurité dans les grilles

Le concept FAH (ou ASP en anglais)

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Fiche descriptive de module

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Fiche de l'awt La sécurité informatique

Table des matières. Chapitre 1 Les architectures TSE en entreprise

Service de certificat

DATE D'APPLICATION Octobre 2008

VPN. Réseau privé virtuel Usages :

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Gestion des identités

ADSL. Étude d une LiveBox. 1. Environnement de la LiveBox TMRIM 2 EME TRIMESTRE LP CHATEAU BLANC CHALETTE/LOING NIVEAU :

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

International Master of Science System and Networks Architect

Cisco Certified Network Associate

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

L identité numérique. Risques, protection

[ Sécurisation des canaux de communication

Politique de Certification - AC SG TS 2 ETOILES Signature

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Parcours en deuxième année

CERTEUROPE ADVANCED V4 Politique de Certification V1.0 Diffusion publique

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Dématérialiser les échanges avec les entreprises et les collectivités

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Gestion des Clés Publiques (PKI)

Signature électronique 3.0 Le futur est déjà présent Petit-déjeuner débat du 29 janvier 2014

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

W I-FI SECURISE ARUBA. Performances/support de bornes radio

II- Préparation du serveur et installation d OpenVpn :

Fiche de l'awt Signature électronique

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Chapitre 2 Rôles et fonctionnalités

DMZ... as Architecture des Systèmes d Information

28/06/2013, : MPKIG034,

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Installation du client Cisco VPN 5 (Windows)

Signature électronique. Romain Kolb 31/10/2008

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Groupe Eyrolles, 2004 ISBN :

Transcription:

Stage d application à l INSA de Rouen Découvrir la PKI. Du 22 avril 2002 au 9 août 2002 José GONÇALVES Cesi Normandie MSII Promotion 2001 / 2002

REMERCIEMENTS Ce stage n aurait pu se faire sans la volonté et la collaboration de nombreuses personnes. J exprime ma reconnaissance au personnel de l Institut National des Sciences Appliquées de Rouen et plus particulièrement à Monsieur Philippe WENDER, responsable du Service Informatique et Réseaux, qui a fait preuve de pédagogie et à Philippe SAVARY son assistant. Je tiens aussi à citer Michael BEDIOU (stagiaire TSS Télécommunications et Réseaux) avec qui je m entendais bien. Enfin mes derniers remerciements iront à la secrétaire Marie-Claude GAUQUELIN dont la gentillesse n est plus à démontrer. Je remercie chaleureusement ces personnes pour l aide qu elles m ont apportée dans cette démarche rendue possible grâce à leur accueil et leur ouverture.

Résumé à l attention du lecteur pressé PKI (Public Key Infrastructure), en français IGC (Infrastructure de Gestion de Clés) ou ICP (Infrastructure à Clés Publiques) est un système de gestion de clés de chiffrement et de certificats qui constitue un cadre à l usage des techniques de cryptographie. Une PKI est donc une structure qui permet de gérer les certificats (l identité numérique) et les clefs de chiffrement d un ensemble d utilisateurs (servant à la signature numérique et au cryptage). C est une «couche de gestion» qui s occupe de délivrer les certificats, assure leur valeur et leur validité, et permet à tout le monde d utiliser la cryptographie. La cryptographie est traditionnellement utilisée pour dissimuler des messages aux yeux de certains utilisateurs. Désormais, la cryptographie sert non seulement à préserver la confidentialité des données mais aussi à garantir leur intégrité, leur authenticité et le caractère non-répudiable des documents signés. Une PKI intègre les moyens techniques et organisationnels pour produire et diffuser les certificats numériques. D'un point de vue organisationnel, elle s'appuie sur une Autorité de Certification, qui émet les certificats, et sur une ou plusieurs Autorités d'enregistrement, qui valident les demandes de certificats. Il faut souvent y ajouter un serveur de révocation, qui permet de déclarer les certificats révoqués avant leur date d'expiration. Pour obtenir un certificat l'utilisateur adresse sa demande à l'autorité d'enregistrement. Si la demande est complète, conforme à la politique de certification et authentique, alors elle est transmise à l'autorité de certification qui produit le certificat puis transmet ce certificat à l'utilisateur et le publie dans l'annuaire. Si un deuxième utilisateur veut communiquer avec cet utilisateur, alors, il envoie une requête à l'annuaire et reçoit en retour le certificat de la personne qu'il veut contacter. Il contrôle ce certificat grâce à la clé publique de l'autorité de certification déjà en sa possession. La sécurité de la PKI repose sur la sûreté de deux mécanismes : la vérification de l'authenticité de la demande de certificat (l utilisateur devra certainement se déplacer physiquement pour se faire reconnaître) la distribution du certificat contenant la clé privée de l utilisateur et la distribution initiale du certificat de l'autorité de certification car il permet de vérifier l authenticité des certificats utilisateurs délivrés (établissement d'une confiance commune à un groupe de certificats). Dans l étude suivante «Découvrir la PKI» nous verrons que la fiabilité de l IGC repose sur un cadre juridique qui règle, désormais de façon plus libérale, l utilisation de la cryptographie. Nous verrons aussi que loin de s attacher à un éditeur de logiciels chacun peut, grâce au Logiciel Libre, mettre en place son infrastructure privée. Nous comprendrons également que la PKI ne se substitue pas à la sécurité informatique mais en est un élément supplémentaire.

SOMMAIRE INTRODUCTION... 1 A) Présentation de l INSA... 1 A.1 En France... 1 A.2 Les missions des INSA... 1 A.3 Un projet d ampleur nationale : Campus numériques et TICEs... 1 B) L INSA de Rouen... 2 C) Le Service Informatique et Réseaux... 3 D) La mission proposée... 4 E) Plan de l étude... 5 PREMIERE PARTIE : L environnement légal... 6 PREAMBULE, Infrastructure à clés publiques... 6 A) SIGNATURE ELECTRONIQUE : définitions, Principes et législation... 7 A.1 Qu est-ce que la signature électronique?... 7 A.2 Législation française et signature électronique... 7 A.3 Les points importants du décret du 30 mars 2001... 8 A.4 Définition juridique de la signature... 8 A.5 Signature électronique sécurisée... 8 A.6 Principes de la signature électronique par cryptographie asymétrique... 8 A.7 Différents types de bi-clé... 9 A.8 Prestataire de services de certification électronique... 9 A.9 Différents modèles de confiance... 9 A.10 Différentes architectures... 11 A.11 Obtention et contenu d un certificat de clé publique... 12 A.12 Notion de certificat «qualifié»... 13 A.13 Schéma national de qualification... 14 A.14 Les cadres réglementaires divergent... 15 B) SIGNATURE ELECTRONIQUE : La preuve... 15 B.1 Le support de l écrit est-il toujours le papier?... 15 B.2 L écrit sous forme électronique peut-il avoir valeur probante?... 16 B.3 La signature électronique peut-elle avoir valeur probante?... 16 B.4 Présomption de fiabilité d un procédé de signature électronique... 16 C) SIGNATURE ELECTRONIQUE : Responsabilités... 17 C.1 Comment choisir un certificat de signature électronique?... 17 C.2 Responsabilité d une personne se fiant à la signature d un certificat erroné... 17 C.3 Responsabilité des Prestataires de Service de Certification Electronique (PSCE)... 17 D) SIGNATURE ELECTRONIQUE : Services associés... 18 D.1 L horodatage sécurisé est-il indissociable de la signature électronique?... 18 D.2 L archivage sécurisé est-il indissociable de la signature électronique?... 18 D.3 Comment est créée et vérifiée une signature numérique?... 19 E) Le certificat X.509... 19 E.1 Les champs «standards»... 20

E.2 Les champs «extensions»... 20 F) L annuaire électronique léger... 22 F.1 Introduction... 22 F.2 Qu'est-ce que LDAP?... 22 G) Protection des informations nominatives... 23 G.1 Définition... 23 G.2 Obligation de déclaration... 23 G.3 Obligation de sécurité... 23 G.4 Obligation d'information... 24 G.5 Sanctions pénales... 24 G.6 CNIL... 24 H) Le point sur la cryptographie en France... 25 I) Synthèse de la première partie... 26 DEUXIEME PARTIE : Les outils protocolaires de la sécurisation... 27 Comprendre la PKI... 27 Quelques chiffres... 28 Principales technologies de défense... 28 A) IPSec... 29 A.1 La nécessité d'un paramétrage avancé... 29 A.2 Trois mode de protection possible... 30 A.3 Forces et faiblesses du protocole IPSec... 31 B) IPv6 ou IPng (next generation)... 31 B.1 Historique du protocole IP... 31 B.2 Les objectifs principaux d IPv6... 31 B.3 Les principales fonctions d'ipv6... 32 B.4 La notation IPv6... 32 B.5 Transition d IPv4 à IPv6... 33 C) SSL : Secure Socket Layer... 34 C.1 Le protocole SSL... 34 C.2 Pourquoi SSL?... 35 C.3 Les sous-protocoles de SSL... 35 C.4 Déroulement des échanges SSL... 36 C.5 Les problèmes liés à SSL... 37 C.6 La pratique... 37 D) SSH / SSF : Secure SHell... 39 D.1 Présentation... 39 D.2 De quoi SSH peut-il protéger?... 39 D.3 Un défaut?... 40 D.4 Une histoire peu banale... 40 D.5 Méthodes de chiffrement et d'authentification SSH... 40 D.6 Clé publique et clé privée sous SSH... 41 D.7 Conclusion... 41 E) Pourquoi ne pas choisir Netware de Novell?... 41 F) Synthèse de la deuxième partie... 41

TROISIEME PARTIE : Dispositifs matériels pour la sécurisation... 43 Préambule... 43 Protéger un réseau d'entreprise... 43 Protéger les données de l'entreprise... 43 Problème de la gestion des clés... 44 A) Protéger le réseau de l entreprise... 45 A.1 Entre 2 sites : le réseau virtuel permanent... 45 A.2 L entrée du réseau : Firewalls et autres systèmes filtrants... 45 B) Protéger les données de l entreprise par le chiffrement... 46 B.1 Les processeurs spécialisés et cartes accélératrices... 46 B.2 Les boîtiers de chiffrement... 47 B.3 Permettre l'accès à son réseau à partir de postes isolés ou nomades... 48 C) La carte à puce... 48 C.1 Bref historique... 48 C.2 Le crypto-processeur garantit l'identité de l'utilisateur (carte ou clé à puce)... 50 C.3 La carte (ou clé USB) à puce, compagnon idéal de la PKI... 50 C.4 Authentification Web... 50 D) Les autres moyens... 51 D.1 les HARD TOKEN... 51 D.2 les SOFT TOKEN... 51 D.3 La Biométrie... 51 D.4 Une alternative non encore explorée?... 52 E) Tableau de synthèse des moyens de sécurisation... 52 F) Conclusion de cette partie... 53 QUATRIEME PARTIE : La mise en œuvre d un projet d IGC... 54 Une Brève introduction... 54 Définir, avant tout, une politique de sécurité... 54 Appréhender toutes les facettes... 54 L IGC n'a de raison d'être que si les certificats sont utilisés... 55 A) Une politique d ENTREPRISE... 56 A.1 L autorité d approbation des politiques (AAP)... 56 A.2 La politique de sécurité (PS)... 56 A.3 Une esquisse de plan de mise en chantier de la PS... 57 A.4 La politique de certification (PC)... 58 A.5 Déclaration des pratiques de certification (DPC)... 59 A.6 Autre documents... 59 A.7 Une ébauche de sommaire de la PC... 60 B) Les facettes du projet d IGC... 61 B.1 Infrastructure technique... 61 B.2 Intégration des applications... 61 B.3 Organisation et processus... 61 B.4 Exploitation... 61 B.5 Marketing et communication... 62 B.6 Juridique et légal... 62 C) Internalisation ou externalisation de l IGC?... 62

C.1 Externalisation... 62 C.2 Internalisation... 62 C.3 Solution hybride... 62 C.4 Tendances et éléments du choix... 63 D) Ressources et coûts... 64 D.1 Coûts initiaux hors personnel... 64 D.2 Coûts d exploitation... 64 D.3 Les ressources humaines... 65 D.4 Les coûts du projet, estimation et répartition... 65 D.5 Comparaison entre solution «achetée» et logiciel libre... 66 D.6 La maîtrise des coûts... 66 E) L IGC en CINQ expériences... 67 E.1 Ministère de la culture... 67 E.2 AIRBUS... 67 E.3 MAGIC AXESS... 68 E.4 TÉLÉ TVA... 68 E.5 Le GIP «Carte des Professionnels de Santé»... 68 F) Démarche de mise en oeuvre... 69 F.1 Phase de cadrage... 69 F.2 Phase d étude préalable... 70 F.3 Phase de réalisation... 70 F.4 Une ébauche de projet... 71 G) Synthèse et conclusion de cette partie... 72 CINQUIEME PARTIE : Des solutions en Open Source... 74 Une définition... 74 Des craintes concernant la sécurité : exemples connus... 74 La réponse est le recours à l'open Source... 75 L'Open Source : conformité aux RFC?... 75 Les outils nécessaires... 75 Vers une baisse des coûts?... 76 A) Des projets Open Source... 76 A.1 Le projet EuPKI : http://www.gnupki.org... 76 A.2 Le projet IDX-PKI : http://www.idealx.org... 77 B) EXPERIENCE pratique : importer un certificat... 80 B.1 A-t-on la capacité de codage en 128 bits?... 80 B.2 Réception du premier certificat... 82 B.3 Premier message signé... 84 C) La maquette : INSA-TEST... 85 C.1 Préparation préliminaire... 85 C.2 Fichiers de configuration... 85 C.3 Les executables (batch)... 87 C.4 Mode opératoire... 92 C.5 Distribution des certificats utilisateurs, AC et LCR... 92 C.6 Pourquoi doit-on avoir le certificat de l AC?... 93 C.7 Format de la base de données... 94

D) Copies d écran : chez l utilisateur... 94 D.1 Installer son certificat personnel en 12 étapes... 94 D.2 Réception du premier message signé... 98 D.3 Envoi d un message signé et crypté... 100 D.4 Le carnet d adresses... 100 D.5 Réception d un message crypté... 101 E) Conclusion de cette partie... 102 CONCLUSIONS... 103 A) Soyons pragmatiques : les recommandations... 103 A.1 Bref rappel : du côté des Prestataires... 103 A.2 Du côté utilisateur... 103 A.3 En cas de pertes, de vols ou de diffusion intempestive... 104 A.4 Du choix du Mot de Passe... 104 A.5 Si l INSA prend une AC externe... 105 A.6 Quelques mises au point... 105 A.7 Les choix avant le déploiement... 106 A.8 Mises en garde... 107 B) A titre personnel... 108 En guise de conclusion générale... 108 ANNEXES...A Bibliographie...A Liens Internet...H Glossaire...H Contenu du CDRom d accompagnement...t Lettre de Motivation et Curriculum Vitae... U

ILLUSTRATIONS Accès géographique aux INSA de Rouen...2 L INSA de Mont St Aignan...2 L INSA de St Etienne du Rouvray...2 Interconnexion RENATER / SYRHANO...3 Philippe WENDER...3 Liaison Inter Campus...3 L exemple IDENTRUS...11 Certifications croisées...12 Point Focal...12 Obtention d un certificat, schéma simplifié...12 Certificat dans Windows 98...13 Évaluation et certification des dispositifs de création de signature électronique...14 Qualification et contrôle des prestataires de services de certification électronique...14 Schéma de synthèse du modèle français de Qualification...14 LDAP : un annuaire global...22 Obtention d un certificat : schéma complet...27 TCP / IP et sécurisation des échanges...28 IPSec et Politiques de sécurité...30 IPv4 à IPv6...33 Découpage des données dans SSL...34 SSL par rapport à TCP / IP et comparaison des modèles OSI/TCP...35 Etablissement d une session dans SSL...36 Indicateur de connection sécurisée dans les navigateurs...38 Nbre de clés à stocker...44 Le Virtual Private Network...45 Le PIX firewall de Cisco...45 Le FireBox...45 Accélérateur SSL d AEP...47 Carte à puce SAGEM...48 Différent lecteurs de carte à puce...49 Une brève présentation...49 Quelques systèmes à puce...50 Un lecteur synchronisé...50 Générateurs de mots de passe à usage unique...51 Empreinte digitale...51 Lecteur d empreintes digitales...52 Lecteur / encodeur...52 Clé sans contact COGES...52 Sommaire type d une PC...60 Les facettes du projet...61 Répartition des choix pour la mise en œuvre d une IGC...63 Ventilation du budget d investissement d un projet d IGC...66 Démarche de mise en œuvre d un projet d IGC...69 Phase de Réalisation...71 Ebauche de planning sous MS Project...71 Une ébauche sous forme de Time Line (EuPKI)...72 Le consortium EuPKI...77 Guide Open Source d IdealX...77 La ikey de Rainbow...78 Analogie Signature personnelle et Signature de l AC...93 Réception du 1 er E-mail signé...98 Signature Numérique Vérifiée, certificat Utilisateur présent...99 Expédition d un message signé et chiffré... 100 Réception d un message crypté... 101 Règles élémentaires concernant le Mot de Passe... 104

TABLES Modèle d IGC privé, avantages et inconvénients...10 Modèle d IGC en réseau, avantages et inconvénients...10 Modèle de confiance de 1 à 5 coins, description...11 Cadres réglementaires divergents...15 Différents supports pour l archivage : avantages et inconvénients...18 Certificat X509 : description des champs standards...19 La Cryptographie en France : obligations légales...25 Forces et faiblesses d IPSec...31 Transition IPv4 à IPv6...33 Ports des protocoles liés à SSL...38 Cartes cryptographiques accélératrices...47 Risques comparés des moyens d authentification...51 Tableau de synthèse des moyens de sécurisation...52 Quelques éléments pour le choix entre Internalisation ou Externalisation...63 Postes de coût d un projet d IGC...65 Comparaison logiciel libre / acheté...66 Open Source : les logiciels nécessaires...76 RFC applicables à IDX-PKI...79 Base de données des utilisateurs référencés (OpenSSL)...94

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back