Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille 1
2 ème Réunion du Club Utilisateurs GINTAO AGENDA 9:00 Accueil 9:30 Présentation du projet GINTAO 10:00 Présentation des aspects sécurité 11:00 Questions / Réponses 12:30 Cocktail 2
GINTAO = Gestion & Interopérabilité de la Traçabilité d Actions sur des objets Bâtir une plateforme dématérialisée interopérable permettant de tracer les actions opérées sur des objets (objet identifié par un tag RFID non cryptographique) et de sécuriser les données encodées dans le tag (origine, homologation, actions sur objet, etc.) Décliner la plateforme à un premier secteur : l aéronautique. Secteurs visés : Aéronautique Automobile Médical Luxe Constructeurs Equipementiers Centres MRO Compagnies aériennes Constructeurs Equipementiers Garages Hôpitaux Laboratoires Cabinets médicaux Fabricants Distributeurs 3
Des partenaires complémentaires 4 Chef de file. Spécification des solutions cryptographiques, d authentification et d enrôlement. Responsable de la partie «Cloud». Solutions Mobiles d Entreprise. Conception et réalisation du terminal GINTAO. Numéro 1 mondial des solutions RFID embarquées sur avion. Responsable du démonstrateur aéronautique Association ayant pour mission de favoriser les solutions innovantes sans contact (RFID, NFC). Création et animation d un Club Utilisateurs. Normalisation, conformité règlementaire et dissémination. Nébil Ben Amor 01.73.00.27.01 nbenamor@dictao.com Gregory Kuhlmey gkuhlmey@dictao.com Olivier Chauprade marketing@pageup.fr Bruno Lo-Ré Bruno.lore@maintag.com Marie-Noëlle Lemaire mnlemaire@centrenational-rfid.com Définition et standardisation des protocoles cryptographiques et d authentification. Réalisation de l antenne bi-bande. Gestion des collisions HF-UHF. Ahmed Serhrouchni Ahmed.serhrouchni@gmail.com Fouad Guenane fouad.guenane@lip6.fr
Planning 1/1/14 30/6/14 31/12/14 30/6/15 31/12/15 30/6/16 Lancement Rapport avancement Rapport final SP0 Planning Gestion et Suivi de projet Dissémination, standardisation SP1 Protocole sécurisé pour la réalisation d une opération de maintenance SP2 SP3 SP4 Enrôlement & synchronisation des terminaux Module de sécurité GINTAO (logiciel & matériel) Lecteur RFID bi-bande UHF/HF Module de signature Certification SP5 Intégration des étiquettes RFID SP6 Archivage sécurisé SP7 Cinématique Plateforme générique SP8 Plateforme aéronautique SP9 Club Utilisateurs SP10 Evaluation d impacts sur la vie privée et exposition humaine aux rayonnements 5
Structuration en sous-projets : hard, soft & marché Gestion, dissémination, standardisation, exploitation CLOUD Protocole sécurisé pour la réalisation d une action TERMINAL Conception et réalisation d un lecteur RFID bi-bandes (UHF, HF) MARCHE Plateforme de démonstration générique Archivage sécurisé et à valeur probante des données Conception et réalisation du Module Sécurité GINTAO Plateforme de démonstration aéronautique Enrôlement du matériel et du personnel et synchronisation des terminaux Intégration des étiquettes RFID dans des équipements matériels Création et animation d un club utilisateurs Evaluation d impacts sur la vie privée et exposition humaine aux rayons électromagnétiques 6
Architecture des composants Apport de GINTAO Lecteur UHF PDA Application métier Back End Métier Stockage données métier OBJET TAG UHF LECTEUR MODULES DE SECURITE CLOUD Modules de sécurité GINTAO CLOUD OPERATEUR Bluetooth Ethernet (RJ45, Wifi) Certificat de signature 7
Trois cas principaux envisagés Tracer l origine de l objet RFID Enrôlement de l objet équipé d un tag RFID dans le système GINTAO et initialisation de son cycle de vie. Emission d un certificat de naissance dématérialisé sur la plateforme de traçabilité. Vérifier la traçabilité d objets RFID (origine et actions) Vérifier l intégrité et l authenticité des actions. Vérifier la mémoire du tag par rapport à l image maintenue par le Cloud. Présenter un rapport de fiabilité des actions à l opérateur. Tracer une action réalisée sur un objet RFID Scellement des données de l action, écrites sur le tag RFID, pour garantir l intégrité et l authenticité de l action. Signature de l opérateur. Maintien d une image sécurisée de la mémoire du tag sur le Cloud. Intégration des données de l action dans des coffres forts numériques (avec gestion des droits d accès). Production de preuves opposables. 8
Architecture des composants GINTAO OBJET TAG UHF LECTEUR MODULES DE SECURITE CLOUD User TID EPC Reserved Module GINTAO Gestion des actions Synchronisation Stockage sécurisé (mode Off Line) SAM Calcul de MAC Signature technique Bluetooth Ethernet (RJ45, Wifi) Orchestrateur Enrôlement Nouvelle action Vérification des actions PKI Gestion des certificats Serveur de validation de signature Validation Horodatage OPERATEUR Certificat de signature Pin Code Gestion des secrets Stockage des secrets Module de Signature Middleware API Lecteur Gintao, PCSC, PKCS12 Synchronisation Coffre fort Image ISO tags Preuves HSM USB / Bluetooth, NFC 9
EXISTANT Interopérabilité ETAPES DE MIGRATION APRES INTEGRATION DE GINTAO Lecteur UHF (intégré au PDA) Application métier Connectivité data S équiper d un lecteur à cartes à puces et y connecter le PDA : Les certificats de signature des opérateurs seront matériels. Connecter le PDA au module SAM matériel (boîtier embarquant une puce EAL-4+) Mise à jour logicielle pour charger le Module GINTAO et le Module de signature Mise à jour de l application métier (interfaçage avec le module GINTAO) Mise à jour logicielle pour charger les modules de sécurité GINTAO (Module GINTAO, SAM logiciel, Module de signature) Note : les certificats de signature des opérateurs seront logiciels (fichiers PKCS12) Mise à jour de l application métier (interfaçage avec le module GINTAO) Renforce la sécurité des opérations (par l utilisation d une puce EAL-4+ et de certificats de signature matériels) Assure l authentification et l intégrité des actions. Evite l injection de fausses actions Constitution d une image ISO de la mémoire des tags sécurisée dans le Cloud Identifier l opérateur et le terminal Assure l authentification et l intégrité des actions. Evite l injection de fausses actions Constitution d une image ISO de la mémoire des tags sécurisée dans le Cloud Identifier l opérateur et le terminal 10
9:00 9:30 2 ème Réunion du Club Utilisateurs GINTAO AGENDA Accueil Présentation du projet GINTAO 10:00 Présentation des aspects sécurité 11:00 Questions / Réponses 12:30 Cocktail 11
Méthodologie Sécuritaire Définition des objectifs sécurité du projet Analyse de risque sur l ensemble des menaces identifiées Définition des fonctions de sécurité Mapping des objectifs sécurité / menaces/ fonctions de sécurité Menace Document Sécurité Composant Type de menace Gravité Vraissemblance Risque Ordre Description Spoofing de l'opérateur MOP1 Opérateur Spoofing Importante Maximale Intolérable 1 Un attaquant tente d'utiliser un terminal Gintao/ Un opérateur tente de se faire passer pour un autre (pour couvrir une erreur par exemple) Vol du badge de l'opérateur MOP2 Opérateur Spoofing Importante Significatif Significatif 2 Un attaquant dérobe un badge pour se faire passer pour un opérateur/ Un opérateur tente de se faire passer pour un autre (pour couvrir une erreur par exemple) Attaque brute-force du pin avec le badge MOP1 Opérateur Spoofing Importante Minime Faible 3 Un attaquant muni d'un badge dérobé tente de trouver le pin par une recherche exhaustive Coercition de l'opérateur MOP3 Opérateur Spoofing Importante Significative Significatif 4 Un opérateur est contraint d'effectuer des opérations dictées par un attaquant Opérateur malveillant MOP3 Opérateur Tampering/ID Importante Significative Significatif 4 Un opérateur malveillant tente de modifier ou de nuire au système Répudiation par un opérateur MOP3 Opérateur Repudiation Importante Maximale Intolérable 1 Un opérateur réalise une opération puis nie l'avoir effectuée Mauvaises données entrées par l'opérateur MOP3 Opérateur Tampering Importante Maximale Intolérable 1 Volontairement ou non, l'opérateur entre de mauvaises données d'opération Opérateur Vol d un badge FS_IDENT Usurpation d identité FS_CL_VALID_SIGN FS_IDENT FS_OPE_SIGN FS_CL_VALID_SIGN O_IDENT_USER Nombre d essai limité Procédure organisationnelle : déclaration de vol, ou de perte à établir O_IDENT_USER Nombre d essai limité Faux terminal Gintao MTE5 PDA Spoofing Importante Significative Significatif 1 Un faux terminal est mis en service pour dérober des informations ou écrire de fausses données Terminal Vol FS_TE_AUTH O_AUTH_TERM Puce EAL4+ MITM entre le terminal et l'opérateur MTE5 PDA Spoofing/Tampering Limitée Minime Négligeable 2 Un équipement enregistre et retransmet les échanges pour les dérober ou modifier FS_CL_ISO O_CONF_INFO O_INT_INFO Récupérer des données en mémoire MTE2 PDA Information disclosure Importante Critique Minime Significative Faible Intolérable 1 Récupérer des données en mémoire, par exemple des clefs cryptographiques Accès aux secrets FS_TE_AUTH FS_TE_CHECK O_AUTH_TERM O_CONF_INFO Puce EAL4+ Accès aux données FS_TE_AUTH FS_TE_CHECK O_AUTH_TERM O_CONF_INFO Zone sécurisée FS_OPE_SIGN FS_TE_TECH_SIGN FS_CL_ISO 12
Objectifs sécurité du projet Garantir l authenticité d un objet entrant dans le protocole GINTAO Dans le temps, garantir l authenticité des actions réalisées sur un objet Dans le temps, garantir l intégrité des actions réalisées sur un objet Garantir l intégrité et la confidentialité des données stockées sur le terminal (mode offline) ou archivées dans le Cloud Garantir que seuls les ayant-droit peuvent accéder aux données archivées dans le Cloud. Identifier la personne ayant réalisé une action sur un objet RFID Identifier et authentifier le terminal ayant permis de réaliser une action sur un objet RFID Garantir la sécurisation des communications Tag-Terminal-Cloud Constituer des preuves opposables liées aux actions. Preuves centralisées et consultables à tout moment, par une personne autorisée (intégrité et validité dans le temps) 13
Solutions Gintao Menaces Chaîne de confiance de la solution Gintao Opérateur Objet Tag RFID Terminal Cloud Usurpation d identité Vol de badge Opérateur malveillant Clonage Modification d actions Injection de fausses opérations Destruction du tag Vol du terminal Accès aux secrets Accès aux données Fuite d information Faux terminal Accès aux données Accès aux logiciels Ressource non disponible Déni de service Ecoute, Man in the Middle Identification opérateur Signature des données Vérification de l intégrité et de l authenticité des actions Puce EAL4+ (SAM) Sécurisation des communications Vérification des actions non validées par le Cloud Signature technique des données Check d intégrité Maintien d une image ISO Chiffrement des données Contrôle d accès aux données Archivage à valeur probante des données Validation signature opérateur Génération de preuves Certificat de naissance Authentification du terminal Révocation de clés 14
Cas d usage 1: Tracer l origine de l objet RFID Scénario d attaque : fausse pièce Tid différent Lecture du Tid et vérification de son unicité. Scellement des données d enrôlement. Ecriture des données d initialisation (EPC, Birthrecord sécurisé). Emission d un certificat de naissance dématérialisé sur la plateforme de traçabilité. TID Objet RFID 0 Lecture du Tid 3 2 FABRICANT Scellement des données 1 Vérification du Tid 4 CLOUD Vérification de l unicité du TID Données d initialisation (EPC, Birthrecord sécurisé) Ecriture des données d initialisation Enrôlement de l objet RFID Certificat de naissance 15
Cas d usage 2 : Vérifier la traçabilité d objets RFID (online) Scénario d attaque : injection de fausses actions Lecture de la mémoire du tag. Pour chaque action passée écrite sur le tag Vérifier le scellement inscrit sur le tag. Vérifier la mémoire du tag par rapport à l image maintenue par le Cloud. Présenter un rapport sur l historique des actions de l objet à l opérateur : attribuer à chaque action un niveau de confiance. Objet RFID Action 0 Action 1 Action 2 Action 3 Action 4 OK OK OK KO 1 Lecture de la mémoire du tag 2 TERMINAL GINTAO Par action : Vérifier le scellement inscrit sur le tag 4 Rapport opérateur Action 0 Action 1 Action 2 3 Vérifier l image de la mémoire du tag dans le Cloud CLOUD Action 0 OK DATA + SIG Action 1 Action 2 OK DATA + SIG OPERATEUR Action 3 Action 4 16
Cas d usage 2: Vérifier la traçabilité d objets RFID (offline) Lecture de la mémoire du tag. Pour chaque action passée écrite sur le tag Vérifier le scellement inscrit sur le tag. Présenter un rapport sur l historique des actions de l objet à l opérateur : attribuer à chaque action un niveau de confiance. Objet RFID Action 0 Action 1 Action 2 Action 3 Action 4 OK OK OK KO 1 Lecture de la mémoire du tag 2 TERMINAL GINTAO Par action : Vérifier le scellement inscrit sur le tag 3 Rapport opérateur Action 0 Action 1 CLOUD Action 0 OK DATA + SIG Action 1 Action 2 OK DATA + SIG Action 2 OPERATEUR Action 3 Action 4 17
Cas d usage 3: Tracer une action réalisée sur un tag RFID Lecture de la mémoire du tag. Saisies opérateur. Scellement des données de l action écrites sur le tag RFID. Signature de l opérateur. Inscription des données et de l élément de sécurisation de l action sur le tag. Synchronisation de l action avec le Cloud. Objet RFID OPERATEUR 1 Lecture de la mémoire du tag 5 Ecriture des données et de l élément de sécurisation de l action sur le tag 2 Saisie des données TERMINAL GINTAO 3 Scellement des données de l action 6 Synchronisation de l action CLOUD Validation des signatures Génération des preuves Archivage des données des actions 4 Signature de l opérateur 18
1 ère Réunion du Club Utilisateurs GINTAO AGENDA 9:00 Accueil 9:30 Présentation du projet GINTAO 10:00 Présentation des aspects sécurité 11:00 Questions / Réponses Choix de la date du prochain Club Utilisateurs 12:30 Cocktail 19
1 ère Réunion du Club Utilisateurs GINTAO AGENDA 9:00 Accueil 9:30 Présentation du projet GINTAO 10:00 Présentation des aspects sécurité 11:00 Questions / Réponses 12:30 Cocktail 20
Le Consortium vous remercie pour votre participation 21