PKI Management & Annuaire LDAP La sécurité de votre e-business Contents HISTORIQUE DU DOCUMENT 3 DE L OS390 A LINUX : LA DOMINATION DES ANNUAIRES PROPRIETAIRES 4 L E-BUSINESS EST LE MOTEUR POUR LE DEPLOIEMENT D UN ANNUAIRE DE REFERENCE POUR LES UTILISATEURS ET LA SECURITE 5 PKI ET LDAP, L INFRASTRUCTURE DE REFERENCE POUR LES UTILISATEURS ET LA SECURITE 8 DEPLOYER UNE INFRASTRUCTURE PKI IMPACTE L ORGANISATION ET CREE DE NOUVEAUX PROBLEMES DE SECURITE 13 UNE POLITIQUE DE SECURITE GLOBALE EST LA CLE POUR UNE MIGRATION EN DOUCEUR VERS LDAP ET PKI 17 1
Révision 2.0 Date : 4 Decembre 2001 Auteur : Eric Baize, Dominique Castan Les informations contenues dans ce document représentent la vue actuelle d Evidian concernant le sujet traité à la date de publication. Parce qu Evidian doit répondre à des conditions du marché changeantes, elles ne doivent pas être considérées comme une engagement de la part d Evidian et Evidian ne peut pas garantir l exactitude des présentes information, après date de publication. Il s agit d un but informel seulement. EVIDIAN NE FAIT AUCUNE GARANTIE, EXPLICITE OU IMPLICITE, DANS CE DOCUMENT. D autres produits ou marques cités ici peuvent être des marques déposées appartenant à leurs propriétaires respectifs. 2
Historique du document Révision 2.0F (20 Février 2001) Ce document a été traduit en français à partir de sa version en anglais. AccessMaster NetWall 6.0 3
De l OS390 à Linux : La domination des annuaires propriétaires A travers les âges, chaque fournisseur de matériel ou de logiciel a implémenté son propre schéma de sécurité. Ce fut d abord le cas des systèmes mainframes, de l informatique distribuée, des grandes applications d entreprise et aujourd hui des applications e-business. Ces différentes évolutions du système d information de l entreprise ont mis en place des schémas de sécurité hétérogènes et complexes, constitués de produits spécifiques intégrés au fil du temps. Ces évolutions successives ont le plus souvent abouti à un manque de cohérence et une sécurité fragmentée ou incomplète. Les administrateurs ont des difficultés à maintenir une administration de sécurité cohérente car de plus en plus d utilisateurs accèdent à de plus en plus de ressources à travers de multiples points d accès. Les utilisateurs sont frustrés de s authentifier à chaque fois qu ils doivent accéder à une application, de se rappeler chaque mot de passe ou chaque procédure d accès. Il en résulte une diminution de leur productivité. Les développeurs n ont ni structure, ni schéma de sécurité commun pour construire les nouvelles applications. Le résultat principal est un affaiblissement de la sécurité informatique, un manque de productivité ainsi qu un alourdissement du coût d administration. De nouvelles failles de sécurité sont créées par les administrateurs, les utilisateurs ou les développeurs qui souffrent d un manque de cohérence de la politique de sécurité. Basé sur la connaissance du marché de la sécurité et des nouvelles technologies qui y sont associées, ce document présente la vision d Evidian afin de proposer le déploiement cohérent d un schéma de sécurité de l entreprise, de simplifier les accès des utilisateurs, de sécuriser les échanges et de faciliter l administration et le développement de nouvelles applications. Ce document met également en évidence les défis face auxquels les entreprises seront confrontées quand elles décideront d implémenter et de déployer les approches liées aux nouvelles technologies de l internet et des annuaires d entreprise. AccessMaster NetWall 6.0 4
L e-business est le moteur pour le déploiement d un annuaire de référence pour les utilisateurs et la sécurité Durant les années précédentes, l informatique distribuée, qui a conduit à la révolution internet, a considérablement accru la demande pour une forte sécurisation des applications. L approche traditionnelle avec un simple identifiant et mot de passe et une base de données des utilisateurs a montré ses limites et n a pas permis de répondre aux besoins des nouvelles infrastructures. Les besoins de sécurité liés à l e-business incluent maintenant des fonctions de chiffrement adaptées à l Internet ainsi que le besoin d une infrastructure de sécurité robuste. Malheureusement les applications doivent être modifiées pour pouvoir s intégrer au sein de cette nouvelle infrastructure. L approche Kerberos «Tout en un» répond partiellement au besoin de l e-business Dans les années 90, sous l impulsion du M.I.T. 1 et de l E.C.M.A. 2, plusieurs initiatives comme Kerberos, ont été lancées pour définir un référentiel unique des utilisateurs et des mécanismes communs d authentification pour tous les systèmes et applications. Une architecture de type Kerberos s appuie sur un serveur de sécurité qui fournit les services de sécurité et qui est la référence de confiance pour la définition des utilisateurs. Les applications implémentent la sécurité à travers une API standard de sécurité : GSS-API Serveur Sécurité Utilis. DB Administrateur: sune seule DB utilisateurs Interface GSS-API Utilisateur authentification & chiffrement Applications Applications Applications Developeur: sune seule liste d API de sécurité Utilisateur sune seule authentification Figure 1: L approche Kerberos est limitée aux applications d entreprise L approche Kerberos est simple et permet d adresser à la fois les besoins de service de sécurité communs et d annuaire centralisé. Un environnement Kerberos fournit : - l infrastructure d administration de la sécurité, - l annuaire des utilisateurs, - les protocoles de sécurité pour les applications, 1 Massachusetts Institute of Technology 2 European Computer Manufacturers Association AccessMaster NetWall 6.0 5
- les API de sécurité pour les développeurs. Cette approche a de nombreuses limites : - Les applications doivent être modifiées pour bénéficier des services avancés de sécurité. - Cette approche est adaptée aux applications client / serveur et non pas aux applications asynchrones tel que l e-mail. - Sachant que Kerberos s appuie sur un chiffrement symétrique, celui-ci oblige l administrateur de sécurité à contrôler tous les modules applicatifs distribués impliqués dans le process. Ces limitations empêchent Kerberos de répondre au large environnement ouvert qu est l Internet. Il est cependant bien adapté à un environnement d entreprise s appuyant sur une administration centralisée forte. Kerberos est le «backbone» de produits tels que Microsoft Windows 2000 (r), OpenGroup DCE et SAP R/3. Les dimensions de l e-business pilotent le déploiement de la PKI des répertoires et LDAP Les dimensions de l e-business nécessitent l utilisation d un chiffrement asymétrique, encore appelé «à clefs publiques». Plus que l authentification des utilisateurs, qui peut être réalisée par un identifiant et un mot de passe, le besoin critique auquel doit répondre une infrastructure à base de clefs publiques est la sécurisation des transactions. Ce qui inclut le besoin de confidentialité des transactions, le besoin d authentification de l émetteur et le besoin de pouvoir fournir la preuve d une transaction. Les standards qui émergent pour répondre aux besoins spécifiques de sécurité des applications, sont : S/MIME pour l authentification de la source et la confidentialité des e-mails, SSL (Secure Socket Layer, maintenant TLS, Transport Socket Layer) pour l authentification et la confidentialité des transactions Web, WTLS (Wireless Transport Layer Security) pour la sécurité des transactions sur les infrastructures radio. Tous ces standards s appuient sur la technologie des clefs publiques. Cette technologie ne nécessite pas que les 2 parties partagent un secret pour établir une connexion sécurisée. Cela facilite la gestion des clefs et permet de travailler sur une large échelle. Les algorithmes les plus connus sont RSA et DSA. Le chiffrement à base de clefs publiques n est pas suffisant à lui seul pour mettre en place une infrastructure de sécurité renforcée. Il doit être accompagné : - D une infrastructure d administration de la sécurité pour déclarer les utilisateurs, les applications ou les éléments du réseau et pour leur allouer des clefs publiques ou privées de manière sécurisée, - D un mécanisme de distribution des clefs publiques, - D un protocole et des interfaces de sécurité pour permettre des communications sécurisées entre applications. AccessMaster NetWall 6.0 6
C est pourquoi l utilisation d un chiffrement à base de clefs publiques avec une infrastructure à clefs publiques (PKI), un annuaire LDAP et des protocoles de sécurité tels que SSL ou S/MIME sont les clefs de l infrastructure de sécurité Internet. Administrateurs: - Gère les clefs publiques Développeurs Public Key Infrastructure Chiffrement Clefs publiques Interface PKCS Récupére les clefs publiques Serveur LDAP Conserve les certificats et les clefs publiques Interface LDAP Administrateurs: - Enregistre les utilisateurs - Crée les Infos de sécurité - Gère les clefs et certificats Développeurs Applications Transaction sécurisée Applications Utilisateurs Figure 2 AccessMaster NetWall 6.0 7
PKI et LDAP, l infrastructure de référence pour les utilisateurs et la sécurité PKI De par sa nature, la technologie de la clé publique ne peut être utilisée sans une infrastructure de gestion de clés publiques. La PKI est une infrastructure consacrée à la gestion des clés cryptographiques asymétriques et des certificats de clés publique. Elle agit en tant que composant de confiance, garantissant l authenticité du lien entre une clé et une information publique de sécurité. Ceci inclut l identité de l utilisateur comme preuve d une transaction effectuée avec une cryptographie de clé publique. Un certificat de clé publique est une structure digitale signée par cryptographie qui garantit l association (contrôlée selon une procédure très précise appelée rapport de certification pratique) entre au moins un identificateur et une clé publique ; ceci pour une période de temps limitée appelée période de validité, pour un usage spécifique et sous certaines conditions et limitations décrites dans les termes du certificat. L autorité qui délivre ce certificat est appelée le CA (Certification Authority). Un certificat de clé publique a une valeur aux yeux de celui qui l utilise (pour vérifier la signature digitale du message par exemple) seulement si celui qui identifie a confiance en l autorité qui a émis le certificat et si l utilisation qui en est faite correspond à la politique de certificat à laquelle il est lié. Ainsi, la sécurité entière d un environnement de PKI se fonde sur le rapport de confiance qui existe entre les opérateurs des composants de gestion (la PKI) et les utilisateurs de certificats. Une architecture générique de PKI a été normalisée par le groupe PKIX de l IETF.Ce cahier des charges a été écrit non seulement pour répondre aux besoins de sécurité des architectures et des applications modernes des ordinateurs mais aussi pour refléter le scénario le plus commun des pratiques actuelles dans les grandes entreprises qui ont besoin de sécuriser leurs web, e-mail, e-commerce et protocoles de réseau. Les caractéristiques de PKIX se fondent sur le travail commencé à l ISO et connu sous le nom de cahier des charges X.509. Le document X.509 définit le format d un certificat de clé publique (la version 3 est en cours) et la liste de révocation de certificat (la version 2 est en cours). Le cahier des charges PKIX s élargit avec des détails utiles au sujet d extensions spécifiques sur les certificats et les listes de révocations (à propos de l utilisation principale), sur la gestion du cycle de vie du certificat, les protocoles de gestion de certificat (entre un RA et un CA, et endentity et un RA ou un CA, et entre deux CA). Il s ouvre également aux protocoles opérationnels (moyens de retrouver le bon annuaire de certificats et les listes de révocation de certificat, depuis les annuaires LDAP par exemple). PKIX est basé sur les PKCS désormais reconnues comme standard de fait, pour définir les algorithmes RSA (PKCS #1), le format d échange des clés privées et publiques (PKCS#5), le protocole de demande de certification (PKCS#7#des 10), les API cryptographiques génériques (PKCS#11). Il s applique également à la définition du format de structure de données pour les clés secrètes, les clés privées et les échanges de certificats entre les applications (PKCS#12). La plupart de ces caractéristiques sont prises en compte aujourd hui par des applications comme Netscape Communicator, Lotus Notes, Microsoft Outlook pour importer les données de sécurité (PKCS#12), les services de sécurité d accès (PKCS#11) et pour demander les certificats publics supplémentaires (PKCS #10). Une PKI devrait inclure aux moins cinq composants : Une autorité d enregistrement (RA) : un RA fournit une interface unique à toutes les activités de gestion de la sécurité (gestion d authentification, gestion de privilège, gestion AccessMaster NetWall 6.0 8
d utilisateur ). Le RA a besoin de coordination globale pour fournir une vue complète et cohérente de la configuration de la sécurité, ceci dans sa fonction principale de gestion où il enregistre les utilisateurs qui ont besoin de clés et de certificats et où il rassemble l information exigée pour soumettre une certification ou une demande de révocation. - Une autorité de certification (CA) : un CA délivre et retire les certificats de clés publiques selon une politique de certification. En général un CA est un composant très spécialisé, fonctionnant en mode off-line (c est à dire qu il est déconnecté du réseau pour des raisons de sécurité) et grâce à un opérateur CA selon la politique de certification. - Un agent d autorisation de certification (CAA) : un CAA est une entrée en ligne vers un CA (la clé publique peut être un processus off-line). - Quelques Entités d Extrémité (EE) : une EE peut être un propriétaire de certificat qui peut émettre un certificat et signer des documents digitaux ; elle peut aussi être une application cliente qui valide les signatures digitales et leur certification depuis une clé publique d un CA de confiance connu. - Un dépôt : là où des certificats et des listes de révocation (CRL) sont enregistrés et rendus disponibles. La figure suivante montre le modèle architectural de la PKI et les interactions qui existent entre chaque entité. Authorité de Certification CA Agent d autorité de certification CAA Demande de certificats et de révocation Demande D enregistrement Authorité d enregistrement Publication Utilsateurs Finals Retrait Annuaire (X500, SGBD, C-ISAM, ) Figure 3 Modèle d architecture PKI Le processus d initialisation consiste à installer la configuration nécessaire afin qu une entité PKI communique avec une autre. Par exemple, l initialisation d une EE implique qu on lui fournisse le certificat de clé publique d un CA de confiance. L initialisation d un CA implique aussi la génération de sa paire de clés. Pendant l enregistrement, une EE se fait connaître à un CA par un RA, ceci avant que le CA délivre le certificat. L EE fournit son nom et d autres attributs à inclure dans les certificats de clé publique et le CA vérifie l exactitude des informations fournies. La génération de paire de clés pour une EE peut avoir lieu dans son propre environnement ou être faite par le CA (ou RA). Si la paire de clés n'est pas produite par l'ee elle-même, alors la clé privée produite doit être distribuée à l EE par une voie sécurisée (par exemple, un protocole sécurisé de distribution de clé ou en utilisant un dispoditif physique telle qu une carte à puce). Le processus de certification a lieu au niveau du CA. Après vérification de l'exactitude du nom et des attributs d'ee (et que les EE possèdent la clé privée correspondante), le CA délivre un certificat pour la clé publique d'ee. Ce certificat est alors retourné à l EE et/ ou signalé dans un dépôt où il est publiquement disponible. La certification peut ne pas être un processus automatique puisque la vérification des attributs d'ee peut exiger l intervention d un opérateur (et la coopération entre le CA et le RA). AccessMaster NetWall 6.0 9
Une certification croisée est un certificat délivré par un CA pour la clé publique d'un autre CA dont la clé privée associée est employée pour délivrer le certificat. Ceci permet à deux EE situées dans des domaines administratifs séparés (chacun ayant confiance en son propre CA) d échanger des informations. Des certification croisées peuvent être délivrées dans une direction, dans deux directions ou entre deux CA. Ainsi, le fait qu un CA#1 délivre une certification croisée pour un CA#2 n'exige pas que le CA#2 délivre une certification croisée pour le CA#1. Si une clé de CA n est pas certifiée par un autre CA, ce CA initial est connu comme RootCA. Quand un certificat est délivré, on s attend à ce qu il le soit pour la période entière de validité. Cependant, diverses circonstances peuvent faire qu un certificat devienne invalide avant l'expiration de cette période de validité (par exemple, quand un utilisateur quitte la société, quand une EE perd sa carte à puce, quand un utilisateur se marie et change de nom, et ainsi de suite). Dans de telles circonstances, le CA émetteur doit retirer le certificat, indiquant à tous les utilisateurs que la paire de clés correspondante ne doit pas être utilisée après que la révocation a eu lieu (par exemple, une signature d'un document émis après la révocation de certificat ne devrait pas être vérifiée en utilisant la clé publique associée). La fonction de révocation de PKIX fournit deux moyens de révoquer un certificat. Le premier est la méthode X.509 de révocation : Les CA doivent émettre périodiquement une liste de révocation de certificats (CRL). La CRL est une liste signée et horodatée de numéros de série de certificat, identifiant les certificats délivrés par ce CA qui doivent maintenant être considérés comme révocés. Les CRL sont signalées à un dépôt et sont publiquement disponibles. Chaque CA émet des CRL sur une base périodique et régulière (chaque CRL inclut les dernières date et heure de la prochaine CRL). Chaque fois qu une EE utilise un certificat (par exemple, pour vérifier une signature de document), il doit donc : 1 - rechercher le certificat de clé publique de l'expéditeur, 2 - rechercher (et vérifier) le certificat de clé publique émis par le(s) CA, 3 - rechercher et vérifier la CRL la plus récente, produite par le CA émetteur, 4 - vérifier le certificat de clé publique de l'expéditeur. Si chacune des quatre opérations ci-dessus réussit, alors la clé publique de l'expéditeur peut être employée pour vérifier la signature du document. Le PKIX n'exige pas que des CRL soient émises par des CA. Comme alternative, la PKI peut fournir des méthodes en ligne d'avis de révocation. De telles méthodes diminuent le temps d'attente entre la révocation d'un certificat de clé public et la distribution de cette information aux EE. La deuxième méthode de révocation est le protocole d'ocsp, permettant d obtenir par une simple demande faite à un serveur en ligne, l'état (révoqué ou non révoqué) d'un certificat spécifique. Cette solution fait l'économie de la génération et de la distribution de CRL mais est plus récente et moins utilisée que l'approche des CRL. Une PKI est responsable de la distribution des certificats de clé publique et de l'avis de révocation de certificat (dans une CRL ou quelque autre moyen). La distribution d'un certificat inclut sa transmission à son propriétaire et la publication du certificat dans un dépôt où elle peut être obtenue par n'importe quelle EE. La distribution de l'avis de révocation peut impliquer la publication de CRL dans un dépôt et leur transmission aux EE ou bien la transmission des avis aux systèmes de révocation en ligne. Une paire de clés publiques doit être mise à jour régulièrement, soit quand la période de validité expire, soit quand la clé privée a été compromise ou découverte et doit donc être substituée. Une nouvelle paire de clés doit alors être produite et un nouveau certificat de clé publique être délivré. AccessMaster NetWall 6.0 10
Si une clé de RootCA est compromise ou découverte, le domaine administratif entier doit être réinitialisé avec la nouvelle clé publique de RootCA (il n'y a aucune autre méthode sécurisée pour transmettre la clé publique de RootCA). Dans le cas de la mise à jour d une clé (non compromise), l EE doit pouvoir substituer automatiquement la nouvelle clé. La plupart des implémentations de PKI exigent que des clés d'échange ou de chiffrement de clé soient archivées ou puissent être retrouvées en cas de perte de clé afin d'accéder à l'information précédemment chiffrée (par exemple, afin que la compagnie puisse lire des fichiers chiffrés par une personne qui a quitté la société). De telles PKI doivent s'assurer que l archivage ou la restitution de clé ne compromette pas les clés privées. Il y a deux manières de choisir une PKI pour satisfaire les objectifs d une application e business : - En déployant un logiciel de PKI en interne - En utilisant un logiciel de PKI externe Le choix relève plus d une décision de management et de stratégie que d une décision technologique. Une PKI déployée en externe est le meilleur choix pour les organisations (entreprises) qui peuvent payer annuellement des droits d utilisation (licence d utilisation) et acceptent que la sécurité de leurs transactions soit gérée par un fournisseur de service. Les petites et moyennes entreprises n ont pas le choix ; elles ne peuvent pas se permettre de déployer leur propre PKI. Cependant, les logiciel de PKI deviennent de plus en plus des outils standards (par exemple, Microsoft Windows 2000 inclut de base un logiciel de PKI). Par contre, la peur grandissante d une guerre économique et le souci de maîtriser leur sécurité incitent les grandes entreprises à posséder et à déployer leur propre autorité de certification. La plupart du temps, les entreprises qui veulent à la fois garder le contrôle de leurs clés (publiques et privées) et établir des liens sécurisés vis à vis de leurs partenaires externes, décident de déployer une solution en interne interfacée avec une PKI externe. Une PKI développée en interne est donc utilisée pour gérer les utilisateurs internes. Elle est directement intégrée au système de sécurité des utilisateurs. Elle leur procure à la fois des privilèges, des droits d accès et des données d authentification. Alors qu une PKI déployée en externe est utilisée pour établir des relations transversales dans l entreprise. Avant que ne débute la phase d installation d une PKI, il convient de définir les procédures nécessaires aux besoins de sécurité. Celles-ci sont liées à l enregistrement des utilisateurs, à la livraison des clés privées et à la génération des certificats de clé publique. Un autre point important est de clarifier et de garantir la bonne intégration des composants de la PKI avec les outils du système de sécurité déjà en place ainsi qu avec les sources d information des données de sécurité. Ils doivent également être rendus cohérents avec les moyens de publication de données existant déjà dans l entreprise. Une fois la PKI mise en place, l enjeu est de distribuer des certificats de clés publiques aux applications. Si plusieurs solutions s offrent à nous telle qu une distribution via HTTP, la solution la plus pratique est la distribution par LDAP. Finalement, les services de sécurité utilisant des clés publiques et privées doivent être distribués grâce à des interfaces standards comme PKCS #11 ou des structures de données standards comme PKCS #12, ceci afin de masquer la complexité des opérations de cryptographie, de certifier la recherche des certificats, de valider les chemins de certification, de vérifier la révocation et enfin de permettre l interopérabilité des outils de sécurité. AccessMaster NetWall 6.0 11
Les interfaces LDAP permettent aux applications de partager les informations liées aux utilisateurs et à la sécurité Les annuaires LDAP facilitent la distribution et le partage des informations entre les applications. C est l annuaire idéal pour les utilisateurs de clés publiques et privées. Par défaut l annuaire LDAP devient l annuaire distribué des bases de données utilisateurs et des bases de données d informations publiques. Dans les nouvelles applications, l annuaire LDAP remplace les bases de données traditionnelles basées sur des technologies propriétaires. Ainsi la plupart des applications basées sur le Web offrent maintenant la possibilité d utiliser une base LDAP en tant que référence utilisateur pour les données d authentification. AccessMaster NetWall 6.0 12
Déployer une infrastructure PKI impacte l organisation et crée de nouveaux problèmes de La PKI augmente la complexité de la gestion de la sécurité D un côté, la PKI peut être vue comme un mécanisme de sécurité commun à plusieurs applications. D un autre côté, cela fait un mécanisme de sécurité de plus à gérer. Quand de nouveaux employés rejoignent l organisation, ils doivent non seulement être enregistrés dans les applications de l entreprise mais ils ont également besoin d un certificat délivré par la PKI. De plus, gérer une PKI n est pas aussi simple que d ajouter un compte utilisateur sur un grand système propriétaire. Cela demande la formation de ces administrateurs et de ces utilisateurs et il faut comprendre des concepts tels que la certification et la révocation. La PKI est généralement administrée par des techniciens informatiques qualifiés. Le modèle de gestion de la sécurité d une PKI ne correspond pas toujours à la politique de sécurité d une organisation. De nombreuses PKI proposent une méthode d administration où les utilisateurs ont une grande influence et où un utilisateur final génère lui-même ses paires de clés et l obtention de ses certificats. Ce modèle entre en conflit avec la politique d administration centrale de la sécurité qui est mise en œuvre par de nombreuses organisations. En effet dans les grandes enterprises, c est le plus souvent un groupe d administrateurs qui décide en fonction du métier de l utilisateur, si celui-ci doit avoir accès à tel type d information et comment il peut y avoir accès. Pour déployer une PKI avec succès, il est donc indispensable d aligner la gestion de la PKI avec les pratiques générales de gestion de la sécurité. Les annuaires LDAP ne peuvent pas traiter la complexité d une politique de sécurité d entreprise Les annuaires LDAP ont été conçus pour stocker et publier des données simples, comme les utilisateurs, groupes d utilisateurs, certificats à clé publique et listes de révocation de certificats. Ils ne sont et ne peuvent pas être la technologie de stockage majeure sur laquelle doit s appuyer le modèle de sécurité complexe d une grande organisation. Aujourd hui, les entreprises doivent manipuler un ensemble toujours croissant d objets physiques et logiques, et maintenir entre eux des liens de plus en plus complexes. Par exemple, les données utilisateurs doivent être liées à des informations sur l identification, l authentification, l utilisation des applications et des systèmes, les profils des personnes et leurs droits d accès. Ces données utilisateurs doivent être liées à des informations définies spécifiquement par les ressources humaines telles que la comptabilité, la logistique, etc. Bien entendu, pour des objets traitant de la sécurité et de la protection des biens de l entreprise, il est important de maintenir une cohérence globale des relations et des contraintes entre tous ces objets, afin qu aucun trou de sécurité ne soit introduit si une règle de sécurité n est pas respectée. Il est également très important d avoir les moyens de s assurer de l intégrité de la base d information et de la non-divulgation des données sensibles. Les annuaires LDAP permettent de stocker une grande quantité d informations simples, disponibles principalement pour des opérations de lecture et de recherche. Les répertoires LDAP fournissent un moyen efficace de distribuer une information publique à un grand nombre d applications clientes, à travers des requêtes simples. AccessMaster NetWall 6.0 13
Les annuaires LDAP ne sont pas conçus pour être utilisés comme une base de données vivante dans laquelle une grande quantité d informations doit être mise à jour, créée ou supprimée dans un court laps de temps. De plus, les annuaires LDAP ne sont pas faits pour être utilisés comme des bases de données relationnelles pour le stockage et la manipulation de modèles de données complexes. Les annuaires LDAP n offrent aucune fonction transactionnelle qui permettrait à des opérations complexes d être entièrement validées en une seule fois, ou d être entièrement annulées sans créer d incohérences que ce soit à cause d accès concurrents, de panne de processeur ou d une coupure de courant. Enfin, si les annuaires LDAP permettent de contrôler l accès à l information qu ils contiennent, ils offrent très peu de moyens pour : - protéger les données confidentielles à l intérieur (la liste des spécifications LDAP ne traite pas de ce sujet), - sécuriser l accès à l annuaire lui-même à travers LDAP (des solutions ont été spécifiées ; peu de fournisseurs les implémentent correctement), - protéger la réplication de données entre serveurs. Du fait de leurs faibles possibilités de modélisation, de leurs fonctionnalités réduites concernant la manipulation des relations entre les objets, de leur manque d opérateurs transactionnels capables de maintenir la cohérence du modèle durant les opérations complexes et la pauvreté de leurs fonctions de protection de la confidentialité, les annuaires LDAP ne peuvent assurer les besoins d une solution de gestion de la sécurité à l échelle d une entreprise. A ce jour, les bases de données relationnelles sont le moyen le plus adapté pour stocker et gérer de vastes quantités d informations de sécurité, avec la meilleure garantie. Par exemple, depuis les attaques terroristes du 11 septembre, le dirigeant d Oracle Larry Ellison s est fait le champion d une base de données nationale américaine des cartes d identité. Ellison dit qu il a fait un don de logiciels Oracle au gouvernement des Etats-Unis afin de créer cette base de sécurité nationale. Malgré cela, les annuaires LDAP sont aujourd hui le moyen le plus simple, le plus standard, et donc le meilleur choix technologique pour distribuer une information publique. Et ils doivent être employés pour cela, tout particulièrement dans des environnements PKI où le processus de validation cryptographique s appuie sur la publication d informations utilisateurs, de certificats et de listes de révocation. Plus généralement, ils doivent être utilisés chaque fois qu une information publique ou des références à une information publique doit être échangée entre des applications gérant les mêmes entités de l entreprise, à condition que ces applications utilisent les mêmes définitions d objets et qu elles se mettent d accord sur la structure et la sémantique des informations qu elles partagent. Tous les informations ne sont pas faites pour être publiées ou même stockées dans un annuaire LDAP. Les outils de l entreprise doivent donc converger autour de définitions d information communes, simples et publiques, qu elles pourront partager avec profit. Pour le reste de l information, du fait de la complexité de la représentation, des opérations ou de la protection des données, les applications doivent améliorer les fonctions des annuaires LDAP. Elles doivent le faire par des technologies adaptées capables de répondre à des besoins de stockage et de manipulation des données, d efficacité des opérations et de sécurité des données. Dans un contexte d administration de la sécurité, pour lequel il faut gérer la complexité qui découle d un modèle de management d une grande organisation devant une information publique au niveau de l entreprise, il est très naturel de combiner les technologies des annuaires LDAP et des bases de données relationnelles. Les bases de données relationnelles apportent leurs opérateurs transactionnels, leurs performances, leur fiabilité et leurs fonctions de sécurité. Les annuaires LDAP apportent un AccessMaster NetWall 6.0 14
moyen d accès simple, leurs possibilités de distribution et de réplication et l efficacité de leurs opérations de lecture et de recherche. Les outils d administration de la sécurité sont un exemple de ces applications. Elles doivent être conçues pour traiter la complexité de l entreprise en tirant profit des annuaires LDAP, ainsi que de tout autre moyen adapté au stockage et à la manipulation des données qu elles doivent gérer, et qui ne sont pas contenues dans une base publique. PKI limite la mobilité de l utilisateur Par sa conception, PKI impose à chaque utilisateur de posséder une clé privée, à laquelle correspond un certificat de clé publique. Cette clé privée est la pierre angulaire de tout mécanisme de sécurité basé sur PKI. Si la clé privée est compromise, la sécurité est compromise. Une clé privée n est pas un mot de passe et ne peut être mémorisée. Dans la plupart des déploiements de PKI, la clé privée est stockée dans un PC, sur un fichier chiffré avec un mot de passe. Bien que cette approche soit parfaitement acceptable pour un utilisateur de PC à la maison, elle cause plusieurs problèmes lors des déploiements de PKI en entreprise, notamment : - Un PC peut être partagé entre plusieurs utilisateurs. - Des utilisateurs nomades doivent transporter avec eux leur clé privée afin de pouvoir l utiliser sur tout PC à partir duquel ils doivent se connecter. - Cela fait un mot de passe de plus dont l utilisateur doit se souvenir. La méthode de stockage protégé par un mot de passe n est pas idéale, car la clé privée (cryptographie forte) est protégée par un mot de passe (cryptographie faible) Par essence, toute la confiance accordée à une PKI est basée sur la confiance dans le stockage des certificats et des clés privées. Il y a deux approches pour résoudre ce problème. La première, basée sur la carte à puce, requiert un équipement matériel supplémentaire. La seconde, le portefeuille sécurisé (e-security wallet), est entièrement basée sur du logiciel. La carte à puce est un conteneur sécurisé pour la clé privée. Elle permet à l utilisateur final d être authentifié à partir de n importe quel PC équipé d un lecteur de carte. C est un mécanisme très sécurisé d authentification de l utilisateur car il combine la solidité de la sécurité PKI avec une authentification à deux niveaux et une protection matérielle de l information sensible. L'approche "portefeuille sécurisé" utilise un ensemble de logiciels et protocoles de sécurité pour stocker et distribuer la clé privée. Cette clé privée est transmise à son propriétaire à chaque fois que les mécanismes de sécurité ont réussi à l'authentifier. Ces informations ne sont plus stockées sur le poste de travail, mais dans un portefeuille virtuel sécurisé. Cela fonctionne correctement seulement si le serveur de sécurité lui-même n'a pas été piraté. Sinon, toutes les clés privées sont compromises. Cette approche est bien adaptée à l'implémentation d'une politique de sécurité centralisée an niveau de l'entreprise, car elle permet au serveur de sécurité de contrôler avant de distribuer la clé privée. De plus le "portefeuille sécurisé" peut être étendu à d'autres éléments confidentiels comme les mots de passe des utilisateurs, ce qui permet d'appliquer une véritable authentification unique au niveau de l'entreprise. Cela permet d'éviter une solution plus contraignante comme les cartes à puce, de supporter les stations sans disque et autres clients fins, de fournir des informations de sécurité aux utilisateurs mobiles où qu'ils soient, et de faciliter la mise à jour des clés et leur blocage éventuel. L'approche "portefeuille sécurisé" peut également être utilisée en complément de l utilisation d une carte à puce. En effet, il est bien souvent illusoire de vouloir stocker ou renouveler sur une carte l ensemble des certificats et clés privées pour l ensemble des applications de l entreprise. Dans ce cas, la carte à puce pourra contenir les clés nécessaires à AccessMaster NetWall 6.0 15
l authentification primaire de l utilisateur et à la signature de ses messages. Le "portefeuille sécurisé" servira de secours en cas de perte ou d oubli de la carte à puce et de complément pour la confidentialité des échanges avec l ensemble des applications de l entreprise. PKI ne permet pas les autorisations basées sur des rôles Dans la spécification du standard X.509, la seule information utilisateur présente dans un certificat de clé publique est l'identité de l'utilisateur. Le certificat X509 ne peut pas transmettre des informations telles que des groupes ou des rôles, qui sont à la base de l'implémentation de mécanismes d'autorisation adaptables et gérables dans les organisations. Une initiative actuellement supportée par l'ietf et l'iso vise à spécifier un certificat de contrôle d'accès permettant de compléter des certificats X.509 avec des attributs utilisateurs telles que des rôles ou des groupes. Néanmoins, en attendant que ce nouveau type de certificat soit largement adopté dans les applications, il ne peut pas être utilisé efficacement. Le futur appartient aux fournisseurs de PKI qui la vendent comme des outils Après l'adoption du e-business, 40% des entreprises importantes ont implémenté une forme ou l'autre de PKI. De plus, 39% envisagent de tester une solution PKI dans les 12 prochains mois. Mais malheureusement, plus de 70% des projets PKI n ont pu être déployés. En fait, une PKI n'apporte pas grand chose s'il s'agit uniquement d'apporter une infrastructure de sécurité à clés publiques sans s'intéresser aux processus applicatifs de l'entreprise. La technologie n'est plus le seul critère de sélection d'un vendeur de PKI. Par dessus tout, les clients ont besoin d'applications business qui rentabilisent leurs investissements. Le futur appartient aux fournisseurs de PKI qui la vendent pour les avantages de base de l'outil, en mettant clairement en lumière le retour sur investissement pour les applications e-business. Les entreprises souhaitent que les processus liés aux nouveaux business soient de moins en moins onéreux et qu'ils soient de plus en plus adaptables pour réaliser leur business en temps réel avec leurs partenaires et clients. Ils veulent gagner du temps et de la productivité. C'est pourquoi les entreprises ont besoin de solutions PKI prêtes à déployer. Les grandes entreprises qui manipulent des données sensibles veulent gérer de manière complète le déploiement de leurs certificats, en accord avec leurs règles de sécurité existantes et la gestion de leurs utilisateurs. Elles veulent déployer des applications PKI transparentes et prêtes à l'usage donnant accès uniquement aux informations e-business nécessaires à leurs employés et partenaires, sans que ceux-ci aient à se soucier de la manière d'utiliser des certificats ou de les révoquer en cas de compromission. Déployer une PKI simplement, garantit aux entreprises le développement de transactions e- Business fiables, en maximisant leur revenu on-line et en minimisant le coût d'acquisition de nouveaux clients. Ainsi, en toute confiance, la PKI est un moyen d'améliorer la fiabilité des partenaires en augmentant la réactivité aux changements des conditions de marché, en réduisant la charge du centre d'appel et du support. AccessMaster NetWall 6.0 16
Une politique de sécurité globale est la clé pour une migration en douceur vers LDAP et PKI Les applications e-business exposent sur Internet les processus business traditionnels, qui tournent sur des systèmes propriétaires et des applications internes. Comme de plus en plus d'applications e-business utilisent PKI et LDAP, le défi consiste à sécuriser et gérer les systèmes propriétaires ainsi que les applications e-business. Administrateurs de securité Gestion commune de la sécurité Utilisat. Finals Accès simple et sécurisé Applications Annuaire "Legacy" PKI LDAP Politique d'entreprise De la sécurité Applications E-Business e-business sécurisé Clients et partenaires Figure 4 : Un e-business sécurisé nécessite une politique de sécurité commune pour toutes les applications Un e-business sécurisé nécessite une politique de sécurité cohérente pour toute l'infrastructure informatique Comme les applications e-business et les applications propriétaires sont fortement intégrées, les politiques de sécurité ne peuvent pas dissocier les règles applicables pour PKI et LDAP et celles applicables pour les systèmes traditionnels. L'accès des utilisateurs et la définition des rôles doivent être cohérents entre tous les systèmes, les applications et les répertoires. Les administrateurs de sécurité ont besoin d'outils pour faire appliquer la politique de sécurité concernant les utilisateurs et les partenaires commerciaux Le défi de la politique globale de sécurité est de la faire appliquer de manière cohérente entre tous les systèmes et toutes les applications e-business. Afin de réaliser cet objectif, les administrateurs de sécurité ont besoin d'un outil efficace qui en quelques clics leur permet la création des utilisateurs, la création de leurs comptes sur les systèmes et les applications auxquelles ils ont droit, la définition du contrôle d'accès aux URLs Web, la génération d une carte à puce, mais aussi la création de leurs certificats PKI. AccessMaster NetWall 6.0 17
Tout cela doit être assuré en cohérence avec les données contenues dans l annuaire LDAP d'entreprise et les procédures de gestion déjà en place dans l entreprise. De la même manière en quelques clics ils doivent pouvoir assurer la maintenance au jour le jour des comptes utilisateurs quand ils changent d organisation ou lorsqu ils ont de nouveaux droits, mais aussi révoquer leurs droits et leurs certificats quand ils quittent la société. Les utilisateurs doivent pouvoir accéder facilement aux différentes ressources Jusqu en 2005, de plus en plus de méthodes d authentification vont apparaître pour accroître la sécurité des transactions : carte à puce plus certificat ou encore identification biométrique plus certificat La multiplicité des mécanismes de sécurité accroît toujours plus la charge de travail des administrateurs de sécurité et augmente la frustration des utilisateurs (comme la multiplication des mots de passe). Qu ils soient basés sur la carte à puce ou sur un portefeuille sécurisé, les outils déployés doivent faciliter l utilisation de la PKI et doivent lui permettre de s intégrer simplement aux déploiements de sécurité déjà réalisés comme ceux du SSO déjà largement utilisé. L objectif est en fonction du métier de l utilisateur de fournir un accés contrôlé et cohérent à toutes les applications ou transactions, qu elles soient protégées par mot de passe ou par certificat. Les accès des partenaires et des clients doivent être très finement contrôlés et administrés In fine, la politique de sécurité doit également être appliquée aux partenaires et aux clients pour contrôler ce qu ils ont le droit de faire ou de ne pas faire. La relation entre PKI et contrôle est très forte. Sans identification forte des acteurs, il n est pas possible de faciliter les accès et il est inutile de chiffrer les échanges. Pour donner à un partenaire ou à un client l accès à un programme business spécifique, il faut savoir que la clef privée a été stockée de manière sécurisée, que l utilisateur s est authentifié avant d y avoir accès et que le certificat vient d une source dite de confiance contrôlée par les administrateurs de sécurité. Evidian, un contributeur majeur aux standards de PKI et des annuaires d entreprise. Depuis de nombreuses années, Evidian et Bull sont moteurs dans la définition et le développement de standards concernant les systèmes ouverts et la sécurité. Bull a eu un rôle important dans la définition du standard des certificats X509 dans ISO, dans la définition de CORBA dans le Object Management Group (OMG), dans la promotion des interfaces de programmation Generic Security Service (GSS) et dans la spécification de l architecture PKI (PKIX) dans l Internet Engeneering Task Force (IETF). Bull a aussi participé au support de la sécurité pour le Distributed Computing Environment (DCE) dans l Open Software Foundation (OSF) et au développement de Attribute Certificate pour le European Computer Manufacturers Association (ECMA). Evidian est membre du PKI-Forum et travaille avec les leaders du secteur sur une meilleure inter-opérabilité et un meilleur déploiement de la technologie à base de clés publiques et des produits PKI. AccessMaster NetWall 6.0 18
Seul Evidian peut gérer et simplifier le déploiement d applications e- Business dans le strict respect d une stratégie de confiance. Avec AccessMaster PKI Manager, Evidian offre aux entreprises le moyen idéal pour répondre au défi du déploiement d une solution de sécurité globale et cohérente basée sur PKI et LDAP. En environnement multi PKI, comme iplanet, Windows 2000, Baltimore, Verisign, etc...., AccessMaster PKI Manager est une offre unique sur le marché permettant de simplifier le management des produits PKI et l utilisation des applications dont la sécurité est basée sur des certificats, d augmenter la mobilité des utilisateurs et d intégrer l utilisation et le management des certificats avec ceux du SSO d entreprise. Grâce à l utilisation de protocoles standards, les autorités de certification des PKI peuvent être déployées soit à l intérieur de la compagnie, soit à l extérieur. Il est également possible de publier ces certificats vers des annuaires LDAP et de contrôler les CRL. AccessMaster PKI Manager aide les grandes organisations à tirer un profit maximum de la technologie PKI-LDAP tout en masquant la multiplicité et l hétérogénéité des mécanismes d administration. En liaison avec l annuaire LDAP d entreprise, AccessMaster PKI Manager simplifie le déploiement de la solution de PKI choisie par l entreprise. Il permet aux administrateurs de sécurité de garder le contrôle du processus complexe de gestion des certificats digitaux tout en gardant la cohérence avec la gestion des utilisateurs de l entreprise. En offrant une chaîne d authentification multi-méthodes, sécurisée et hautement disponible, AccessMaster PKI Manager, apporte aux utilisateurs nomades ou non, un ensemble de services de sécurité. AccessMaster PKI Manager rend transparent l usage des applications basées sur PKI et offre une protection complète aux applications Web et aux mails envoyés sur Internet. Intégré avec le management des utilisateurs et le Single Sign-On (SSO), AccessMaster PKI Manager offre une console centralisée pour le management des utilisateurs qui est automatiquement synchronisée avec l annuaire d entreprise si besoin est. AccessMaster PKI Manager fournit donc une solution complète de gestion et de déploiement dans le cadre d une stratégie e-business pouvant utiliser toutes les applications de l entreprise : propriétaires, PKI ou Web. Pour plus d informations, contacter: Evidian France: 68 route de Versailles. 78430 Louveciennes CEDEX www.evidian.com AccessMaster NetWall 6.0 19