La sécurité des Réseaux Partie 7 PKI



Documents pareils
Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Public Key Infrastructure (PKI)

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Les certificats numériques

Politique de certification et procédures de l autorité de certification CNRS

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

EJBCA Le futur de la PKI

Du 03 au 07 Février 2014 Tunis (Tunisie)

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Les infrastructures de clés publiques (PKI, IGC, ICP)

Stage d application à l INSA de Rouen. Découvrir la PKI.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

La sécurité dans les grilles

Sécurité WebSphere MQ V 5.3

Gestion des Clés Publiques (PKI)

Signature électronique. Romain Kolb 31/10/2008

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Annuaires LDAP et méta-annuaires

Cours 14. Crypto. 2004, Marc-André Léger

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Solutions Microsoft Identity and Access

Cadre de Référence de la Sécurité des Systèmes d Information

Gestion des clés cryptographiques

Politique de Certification

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Architectures PKI. Sébastien VARRETTE

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

TUNIS LE : 20, 21, 22 JUIN 2006

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Sécurité des réseaux sans fil

Livre blanc. Sécuriser les échanges

NFS Maestro 8.0. Nouvelles fonctionnalités

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Certificats et infrastructures de gestion de clés

Certification électronique et E-Services. 24 Avril 2011

PKI PKI IGC IGC. Sécurité des RO. Partie 4. Certificats : pourquoi?

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

- CertimétiersArtisanat

ASIP Santé DST des interfaces MSSanté des Clients de messagerie v /02/ / 95

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

La renaissance de la PKI L état de l art en 2006

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

Mise en oeuvre d un intranet à partir de logiciels Open Source avec intégration des certificats numériques et login unique

Introduction aux services de domaine Active Directory

D31: Protocoles Cryptographiques

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Messagerie sécurisée, fiable et économique

Concilier mobilité et sécurité pour les postes nomades

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Retour d expérience Sénalia. Comment migrer progressivement vers Microsoft Office 365?

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Groupe Eyrolles, 2004 ISBN :

Retour d'expérience sur le déploiement de biométrie à grande échelle

ETUDE DES MODELES DE CONFIANCE

1 LE L S S ERV R EURS Si 5

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Réseaux Privés Virtuels

28/06/2013, : MPKIG034,

Devoir Surveillé de Sécurité des Réseaux

LAB : Schéma. Compagnie C / /24 NETASQ

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Autorité de Certification OTU

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Tutorial Authentification Forte Technologie des identités numériques

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

La citadelle électronique séminaire du 14 mars 2002

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Hébergement de sites Web

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Sécurisation des accès au CRM avec un certificat client générique

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

CNAM-TS. Constitution et mise en place d une équipe sécurité

Présentation SafeNet Authentication Service (SAS) Octobre 2013

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

Sécurisation des architectures traditionnelles et des SOA

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

- CertimétiersArtisanat

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

Référentiel ASUR Prévisionnel

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Atelier 1. Portails documentaires : BioLib et Cemadoc

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Transcription:

La sécurité des Réseaux Partie 7 PKI Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références C. Cachat et D. Carella «PKI Open Source», éditions O REILLY Idealx, IDX-PKI, solution open-source de PKI Serge Aumont, IGC du CRU Introduction Certificats Authentification forte par une biclé (symétrique asymétrique) Comprenant toutes les informations nécessaires service, rôle (administrateur informatique, de base de données, ressources humaines), localisation (filiale, ville), relation (employé, partenaire ) Déploiement Manuel Chaque hôte est configuré offline avec une liste des certificats reconnus Automatique Utilisation d une autorité de certification (CA) La CA signe le certificat (cf. partie 2) Problématique : Comment gérer ces signatures? Quelle procédure pour un employé entrant dans l entreprise? L employé est bien celui qu il dit être (usurpation d identité) Procédure intégrée aux ressources humaines? Dans un milieu non technique? Un employé est licencié. Ses droits ont-il été supprimés? Mise à jour de la Certificate Revocation List (CRL) Une technologie gérant le tout : Les Infrastructures de Gestion de Clés (IGC ou PKI) 1

Introduction Avantages d une IGC Sécurité forte (authentification, confidentialité) Partage de ressources entre partenaires Interconnexion des IGC Utilisation Sécurisation des applications Mise en place de VPNs Authentification web à l intranet Messagerie Accès à des ressources distribués Grilles de calcul Introduction Définition Une infrastructure formée de serveurs et de certificats, créant, gérant et mettant à disposition des certificats numériques dont l authenticité est certifiée par l autorité de certification représentant et utilisant cette PKI 2

Autorité d enregistrement Point central pour toutes les demandes Création d un certificat Renouvellement Révocation Recouvrement de clés Vérifie l identité du demandeur Vérification manuelle obligatoire (téléphone, visuel) Vérifie les informations du certificat Email, dn Après acceptation, envoie la requête à la CA Plusieurs AE possible Découpage géographique (contrôle visuel) Autorité de certification Récupère les demandes de l autorité d enregistrement Signe (et génère éventuellement) les certificats Génère et publie les CRL Souvent un double niveau CA racine stockée offline CA intermédiaire usuelle ex : CNRS Annuaire Afin de publier les certificats Souvent LDAP Séquestre des clés Pour le recouvrement des bi-clés utilisateurs Stockage online ou offline des clés Sécurisé 3

NB : EE et AR souvent colocalisées Interface utilisateur Regrouper de façon conviviale les fonctionnalités de l IGC Création d un certificat Révocation Souvent sous la forme d un portail web Beaucoup de navigateurs prennent en charge la génération d une bi-clé stockée pendant le traitement de la requête Gestion d une IGC 4

Gestion d une PKI Quand? Mettre en balance moyens et organisation (coût) / avantages et utilisation Inutile Pour mettre en place des certificats serveurs Openssl suffit Une poignée d utilisateurs Gestion Partie technique Partie gestion au quotidien (la plus grande partie) Valider les demandes (trivial) Vérifier les demandes (procédure lourde) : important pour la nonrépudiation Gérer les demandes externes (extranet ) Délégation (géographique, services ) Gestion d une PKI Support Rejet inconditionnel Certificat expiré Cartes d accès Support 24h/24 Veille 3 bureaux internationaux suffisent Failles touchant à la PKI Point central de la sécurité Intégration et Interopérabilité 5

Intégration Briques de base du SI LDAP Annuaire stockant toutes les informations y compris les certificats IGC Délivre, révoque les certificats Échanges en XML Interopérabilité Dans quels cas? Fusion de filiales Partenariats Relations commerciales (fournisseur / client) Relation Hiérarchique Une CA signe toutes les autres CA Services, filiales Rappelez vous des signatures en cascade des certificats X509 dans le chapitre 2 Signatures croisées Donne confiance à la CA et donc par transitivité à tous les certificats Technologique 2 IGC fonctionnent souvent complètement différemment Une IGC = 70% de procédures interopérabilité requise des procédures Législation 6

Législation Décret du 30 mars 2001 Pour la validité de la signature électronique Usage de produits certifiés Usage de certificats qualifiés Décret du 18 avril 2002 Description du processus de certification Conditions pour l agrément des services évaluateurs Arrêté du 31 mai 2002 Description du processus de qualification pour les prestataires Conditions pour l agrément et l évaluation des prestataires Droit civil Nul ne peut se constituer de preuve par soi-même Externalisation obligatoire des IGC si pour la non-répudiation? Conclusion Conclusion Problèmes restants Protection de la clé privée des utilisateurs Mot de passe simple : la sécurité d un système est celle de son maillon le plus faible Flexibilité et inter-opérabilité des IGC Fusion d IGC Process lourd Enrôlement, révocation Révocation non temps-réelle La vérification de non vérification incombe à l utilisateur (DCSSI) Publication périodique des CRLs De nombreuses applications ne tiennent pas compte des CRL Online Certificate Status Protocol (OCSP) pour avoir des révocations dynamiques à jour Protection de la CA Certificat de la CA Déni de service sur la CA ou sur l annuaire 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back