L Authentification forte Etat de l art des médias d authentification forte

Documents pareils
VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

2 FACTOR + 2. Authentication WAY

La renaissance de la PKI L état de l art en 2006

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Tutorial Authentification Forte Technologie des identités numériques

Version 2.2. Version 3.02

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Livre blanc sur l authentification forte

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

La citadelle électronique séminaire du 14 mars 2002

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

La convergence des contrôles d accès physique et logique

Meilleures pratiques de l authentification:

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Sécurité des réseaux sans fil

Didier Perrot Olivier Perroquin In-Webo Technologies

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

ACCESS à l ordinateur.

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

Authentification forte avec les USG

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

EJBCA Le futur de la PKI

PortWise Access Management Suite

EMV, S.E.T et 3D Secure

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

ScTools Outil de personnalisation de carte

Solutions Microsoft Identity and Access

Mettre en place un accès sécurisé à travers Internet

1 L Authentification de A à Z

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

SSL ET IPSEC. Licence Pro ATC Amel Guetat

NOMENCLATURE. PARTIE 1 : PRODUITS, MATERIAUX et EQUIPEMENTS

Réseaux Privés Virtuels

La sécurité dans les grilles

La haute disponibilité de la CHAINE DE

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Le rôle Serveur NPS et Protection d accès réseau

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Du 03 au 07 Février 2014 Tunis (Tunisie)

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

1. Présentation de WPA et 802.1X

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Retour d'expérience sur le déploiement de biométrie à grande échelle

Chapitre 2 Rôles et fonctionnalités

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

Sécurisation des architectures traditionnelles et des SOA

Certificats Electronique d AE sur Clé USB

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Les infrastructures de clés publiques (PKI, IGC, ICP)

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

OpenTrust WhitePaper. Trusted Ecosystems ou la sécurité de proche en proche

Groupe Eyrolles, 2006, ISBN : X

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

AUTHENTIFICATION ADAPTATIVE

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Signature électronique. Romain Kolb 31/10/2008

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves»

Service de lettre électronique sécurisée de bpost. Spécificités techniques

La Technologie Carte à Puce EAP TLS v2.0

Protocole industriels de sécurité. S. Natkin Décembre 2000

Pour tous renseignements sur les produits Microsoft, rendez-vous sur le site :

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Cours 14. Crypto. 2004, Marc-André Léger

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

Etude d Exchange, Google Apps, Office 365 et Zimbra

TUNIS LE : 20, 21, 22 JUIN 2006

Citrix Access Gateway

MÉMOIRE présenté en vue d'obtenir LE DIPLÔME D'INGÉNIEUR I.I.E. Rapport Final. Cyril LANQUETUIT

Bénéficiez de supers prix sur la gamme Avocent ACS 6000

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

WIFI sécurisé en entreprise (sur un Active Directory 2008)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Authentification Unique (Single Sign-On)

AccessMaster PortalXpert

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

1 Présentation de la solution client/serveur Mobilegov Digital DNA ID BOX

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Sécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance»

Le protocole RADIUS Remote Authentication Dial-In User Service

LA CARTE D IDENTITE ELECTRONIQUE (eid)

La seule plateforme d authentification dont COVER vous aurez jamais besoin.

CommandCenter Secure Gateway

Les certificats numériques

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité des réseaux wi fi

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

IPS-Firewalls NETASQ SPNEGO

Transcription:

L Authentification forte Etat de l art des médias d authentification forte Jérôme Francillon, Emeric Laroche, Igal Cohen-Hadria Dossier EPITA 28 janvier 2006

Sommaire Introduction 3 Quelques généralités 4 Les solutions du marché 5 XiRing (X-Sign) 5 Vasco (Digipass/Vacman) 6 RSA Security Smart Card 7 RSA security : USB Authentificator 6100 8 Verisign: Core Managed PKI 8 Safenet: CMS 9 ncryptone 10 Cryptme 12 Cyberflex 13 Aladdin HASP HL 14 Conclusion 15

I. INTRODUCTION La sécurité est un domaine complexe à aborder dans un cadre pratique. En effet, plus la sécurité est accru et moins l utilisateur s y retrouve. Il risque donc de négliger les directives de base pour éviter de répéter des gestes fastidieux à longueur de temps. De plus, la mise en place d une solution d authentification forte devient rapidement très chère pour une société puisque pour la plupart d entre elles nécessitent un déploiement massif de lecteurs, de logiciels spécifiques et de Tokens (Authentificateurs) rarement bon marché. Dans le cadre d une mise en place d une solution d authentification il faut donc trouver un compromis entre la simplicité d utilisation pour satisfaire au maximum l utilisateur, le niveau de sécurité le plus fort possible et le prix de la mise en place. Ce rapport à pour but de présenter les différentes solutions du marché, présentant les avantages et les inconvénient de chaque offre. Beaucoup d autres solutions existent sur le marché, nous nous attacherons donc à présenter les principales offres.

I. QUELQUES GÉNÉRALITÉS Voici une liste générique d avantages et d'inconvénients de Token (Authentificateur) disponible sur le marché. Cartes à puce (Xiring, Vasco, RSA, Verisign, Safenet, ncryptone, Cyberflex) : + Forte notoriété + Coût - Nécessite un lecteur - Non nomade - Mono-canal - Non universel Biométrie : + Forte notoriété + Très haut niveau de sécurité - Coût - Nécessite un lecteur spécifique - Non nomade - Problème éthique - Mono-canal - Mobilise de nombreuses ressources Dongle/Badge (Vasco, RSA): + Génère un mot de passe unique associé à un horodateur + Multi-canal - Peu connu - Nombreuses désynchronisions entre la carte et le serveur - Coût - Utilisation compliquée Clef USB (RSA, Verisign, SAfenet, Aladdin): + Prix compétitif + Portable - Mono-canal - Accès parfois difficile à la clé USB

II. LES SOLUTIONS DU MARCHÉ 1. XiRing (X-Sign) Classement : Lecteur carte à puce / Calculette Description de la solution : Xiring a développé un outil portable et personnel d'authentification et de signature basé sur la carte à puce conforme au standard EMV avec l application CAP de MasterCard et DPA de Visa. Le lecteur utilise la carte EMV pour toutes les fonctions de sécurité ainsi que pour les calculs cryptographiques. Il ne stocke ni clé ni secret. Il respecte également les spécifications Dynamic Passcode Authentication de Visa. MasterCard International a développé l algorithme CAP afin d offrir aux possesseurs de cartes de crédit des solutions simples et robustes pour le commerce électronique. Cet algorithme est une des méthodes d authentification pré installée dans les cartes de crédit standard aux normes EMV. Informations cryptographiques: - Alogorithme Mastercard CAP - Taille de l otp : 8 chiffres - Choix des clefs : Dérivation de clefs a partir d une clef mère (31 octet) et d un numéro de carte (4 à 10 octects) et d éléments secrets. Ex : MasterKey, KeyCard, AIP => Clef diversifié. Informations : 1616161616161617070707070707070,9831,5C00. Clef diversifié : B27423719F1960D72571EA5913B65A32. OTP : Avantage : - Ne nécessite pas l achat d une carte (une CB classic suffit). - Lecteur réutilisable - Fiable (Garantis par Mastercard CAP et Visa DPA). - 5 lecteurs allant du plus simple au plus complexe disponiblent. Inconvénient: - Coût. - Recopie de l OTP parfois nécessaire. - Intégration difficile, développement spécifique nécessaire à chaque fois.

2. Vasco (Digipass/Vacman) Classement : Calculette / Badge temporel Description de la solution : La solution d authentification forte de Vasco se base sur des lecteurs de carte et/ou des badges d authentification temporel permettant a des utilisateurs de s authentifier sur un parc informatique. Vasco vend en plus des Tokens, un outils (dit middleware) VACMAN permettant d utiliser les technologies Radius pour l'authentification des OTP. Il devient donc naturellement compatible avec la plupart des outils d'accès à distance (VPN...). Informations cryptographiques: - Algorithme non connu a base de 3DES/DESMAC - Taille des clefs : N/C - 1 OTP / 36 secondes Avantage : - VACMAN outils puissant et facile d utilisation. - Certification OPSEC. - Compatible IIS, Active directory, Citrix... Inconvénient: - Coût (Achat des Tokens et de la licence Vacman / Token). - Recopie de l OTP toujours nécessaire. - Le proxy Radius Vacman ne supporte que les protocoles : PAP/CHAP

3. RSA Security Smart Card Classement : Carte à puce Description de la solution : Centralisation de l authentification dans une seule carte de la taille d une carte bleue pour tous les accès dans l entreprise : Entrée dans l immeuble, authentification sur les ordinateurs et accès aux applications grâce à RSA Signon Manager. Aspect Cryptographique - 3 authentifications fortes de logon Windows - 7 certificats et clés privée RSA 1024-3 empruntes biométriques - 5 RSA SecureId token seed - Les encryptions possibles sont DES, 3DES, RSA 1024-bit, SHA-1 Aspect Déploiement La Smart Card de RSA s intègre à la fois dans le hardware et le software : - Partenariats avec des fabricants de portes automatiques. - RSA Sign-On Manager : Interface d administration gérant les droits d accès. La smartcard RSA, comme toutes les autres smartcard nécessite des lecteurs de cartes à puce. La smartcard RSA gère le PKCS #11, le PKCS #15 et la librairie Microsoft CryptoApi. Éléments de coût - à partir de 70 dollars par utilisateur en mode mot de passe - à partir de 85 dollars par utilisateur en mode authentification à deux facteurs - environ 20$ la carte vierge. Site officiel : Pour Todd Blank, Directeur Technologique de IP Outlet (une société de services IP utilisatrice de la solution) : «Notre datacenter est un élément critique de notre infrastructure réseau. Il nous permet de surveiller la qualité de service de nos réseaux pour nos clients dans le secteur de la banque, de la santé, du gouvernement ou du commerce électronique. En cas de crise, je ne souhaite pas que mes employés aient à se souvenir de 30 mots de passe différents pour accéder à la fois aux matériels et applications critiques que nous gérons pour nos clients. Les autres solutions ne sont pas aussi adaptées que RSA Sign On Manager et je ne voudrais pas à avoir à gérer notre infrastructure sans cela».

4. RSA security : USB Authentificator 6100 Classement : Dongle USB Présentation L USB Authentificator propose les mêmes services que la RSA Smart card tout en diminuant les coups de déploiement : Il possède son propre lecteur et est compatible avec tous les pc bénéficiant d un port USB. 5. Verisign: Core Managed PKI Classement : Carte à puce et jeton USB Présentation Le service Managed PKI permet aux entreprises d établir un système d autorité de certification et de PKI pour l émission de pièces d identité numériques : Emails, Réseaux, VPN, ERP. Des cartes à puces ou des jetons USB peuvent être utilisé comme support de transport des clefs privées et des certificats numériques pour proposer une authentification à deux facteurs. Les avantages des PKI sont : - La confidentialité : Seul le destinataire pourra décrypter le document. - L authentification : Lors de l envoi d un message, on connaît le destinataire. - L intégrité : On garantie la non altération d un message envoyé. Aspect Déploiement S intègre dans le applications et systèmes d exploitations Microsoft Windows, et du matériel comme Cisco, Nortel Networks ou Check Point. Propose un SDK pour intégrer l authentification dans les applications développées par l entreprise. Compatible avec les systèmes actuels : S/MINE, SSL, Ipsec, LDAP, PKCS 7, 10, 12.

6. Safenet: CMS Classement : Carte à puce, USB Présentation CMS est un système de management de smart cards et tokens USB via une interface web. La simplicité d utilisation et d administration semble être mise plus en avant que la sécurité apportée par la solution. Capacité d'administration L interface d administration est une interface web, proposant l accréditation des utilisateur ou la révocation des droits. L entreprise gère elle même ses cartes et tokens et ne dépend donc pas d un fournisseur externe. Aspect Déploiement Deja integré dans certains logiciels et matériels : - Messagerie : (MS exchange, Lotus Notes, AOL IM) - VPN (Cisco, Nortel Networks, Check point) - Authentification bifactorielle : (Aladdin, Authenex, Activ Card, Schlumberger)

7. ncryptone Classement : Carte à puce autonome Description de la solution ncryptone propose deux types de carte à puce à énergie embarqué. Une carte audio produisant un son OTP et une carte à écran flexible affichant un OTP de 8 chiffres. Ces cartes sont au format iso carte bancaire (0,8 mm d épaisseur) et peuvent en plus embarquer d autres technologie comme le iclass, le mifare (sans contact), une piste magnétique et enfin une puce EMV. De plus ncryptone vend en plus de ces cartes un serveur d authentification multi-token (compatible Vasco, CAP, DPA, AudiCard, DisplayCard, RFID...) 1. La carte acoustique La carte acoustique est un Token d authentification fort. Il est composé d une pile, d un haut-parleur et d un crypto processeur qui permet la génération d OTP (One Time Password), audio utilisable aussi bien sur un ordinateur, que sur un téléphone. Cette carte peut également embarquer sans changer ses caractéristiques iso des modules «contact less» (HID 125, HID 31 Mhz, MiFaire) ainsi qu une puce EMV, une bande magnétique et donne la possibilité d être embossée (relief sur la carte). Informations cryptographiques: - 2 Signatures différentes (une standard, une téléphonique) - Clef de 56 bits Avantage : - le lecteur est un simple microphone - Marche via un téléphone (classic/ip/mobile) - Fédère plusieurs technologie en un seul badge - Son (hors téléphonique) non capturable par la plus part des magnétophone de poche - Déploiement très peu cher Inconvénient: - Son souvent filtré dans les ordinateurs récents - Utilisation de applet java ou d activex pour les transactions en ligne

1. La carte à display La carte à display est un Token d authentification fort. Il est composé d une pile, d un écran flexible et d un crypto processeur qui permet la génération d OTP (One Time Password), numérique. Cette carte peut également embarquer sans changer ses caractéristiques iso des modules «contact less» (HID 125, HID 31 Mhz, MiFaire) ainsi qu une puce EMV, une bande magnétique et donne la possibilité d être embossée (relief sur la carte). Informations cryptographiques: - Algorithme HOTP (cf OATH) - Clef de 21 octets Avantage : - pas de lecteur - portable - Fédère plusieurs technologie en un seul badge - compatible avec les autres Tokens du consortium OATH - Déploiement très peu cher Inconvénient: - recopie de l OTP

8. Cryptme Classement : INCLASSABLE Description de la solution : Des cartes uniques et numérotées individuellement sur lesquelles sont répartis aléatoirement des caractères, contiennent les mots de passe à usage unique nécessaires à l authentification forte. A chaque carte correspond un fichier empreinte permettant de vérifier si la personne est bien en possession de la carte. Les fichiers empreinte sont générés de telle façon qu il est impossible de calculer les mots de passe de la carte. Ce type d authentification est bien considéré comme authentification forte puisqu il faut détenir la carte pour récupérer le mot de passe. Cependant cette solution est très éloignée de l idée que l on s en fait d un outil technologique car c est bien du carton avec des lettres et une certaine manière de le lire qui donne le mot de passe. Cette solution est particulièrement originale et le service d édition des cartes est un service fournit par la société. La carte coûte peu chère (dans les 3,5 ). Cryptme fournit un logiciel fonctionnant sous Windows permettant l identification centralisée grâce aux empreintes. Retour sur expérience : Cette solution semble peu utilisée. De nombreux documents préconise cette carte pour la création de mots de passe. URL : http://www.cryptme.com/

9. Cyberflex Classement : Carte à Puce Description de la solution : Solutions fournies par Axalto, leader mondial de cartes à puce (source Gartner 2003). Axalto fournit une suite d applications ainsi que de nombreux lecteurs de cartes différents. Ces cartes sont utilisable avec des bibliothèques standard telles que : - ISO 7816 - Java Card 2.1.1 - Open Platform 2.0.1 - PKCS#11 - Crypto API Les cartes sont administrées par Access Client Software comprenant de très nombreuses fonctionnalité telles que : - Modification du code pin, personnalisation de la Smartcard - système de diagnostique de la Smartcard - import des clés de manière sécurisée - Smart Card Sign On - Permet la gestion de sessions au niveau de l utilisation de la carte. - Support de la bibliothèque PKCS#11 L utilisation de cette solution requière donc l'acquisition de 3 modules : - L achat de la smartcard - Le lecteur de carte - Le logiciel gérant le lecteur et l utilisation de la carte.

10. Aladdin HASP HL Classement : Clef USB Description de la solution : Ce solution permet la protection privé d un logiciel et la protection privé intellectuel grâce à la mise en place d un dongle USB. Ce dongle possède une identité unique, une clef AES privée ainsi qu un système de cryptage/décryptage AES interne qui permet à n importe quel programme de vérifier la présence de la clef et de chiffrer des documents. Informations cryptographiques: - Cryptage interne AES (La clef AES privé ne sort jamais du dongle) - Clef 128 bits Avantage : - Très securisé - Silencieux - Prévention contre le debogage de programme fournis - Support des principaux OS (Unix/Windows/MacOS) Inconvénient: - Non nomade

III. CONCLUSION Il existe de nombreuse solutions d authentifications fortes sur le marché. Toutes ces solutions tendent à évoluer vers des standards différent. Dans quelques années, il est fort probable qu un employé d un société se promène avec deux à trois Tokens d authentification différents sur lui. Il faut donc fédérer toutes ces technologies entre elles de façons a pouvoir évoluer correctement. C est l'objet du consortium OATH qui est charger de réunir toutes les sociétés d authentification forte et de définir avec elles des standards pour que la prochaine génération de Tokens soit au maximum compatibles entre elles.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back