Signature numrique PKI, signature lectronique, WEB SSO, recommand

1
Signature numériquePKI, signature électronique,
WEB SSO, recommandé
Auteurs Philippe PERRET, Michel VITTEL, Yves
BOUTEMY
2
Plan

• Introduction
• PKI
• Signature électronique
• WEB SSO
• Recommandé électronique
• Conclusion

3
Introduction

• Présentation dutilisations des signatures
  numériques (au sens cryptographique)
• Le but nest pas de détailler ces utilisations
  mais den montrer les principes et éventuellement
  les limitations.
• Dautres utilisations existent mais les principes
  de mise en uvre restent constants.

4
PKI

• Pourquoi des PKI ?
• Les fonctions des PKI
• Les services de PKI
• Les logiciels de PKI

5
Les échanges avec des clés symétriques

• Les deux correspondants partagent une clé qui
  sert à protéger leurs échanges
• Pour des raisons de sécurité, chaque couple de
  correspondants doit avoir une clé différente.
• Pour N correspondants, cela donne N2/2 clés ce
  qui est très difficilement géreable
• Fonctionne pour du chiffrement, de
  lauthentification mais pas pour de la
  non-répudiation (forcément car la clé est
  partagée)
• Nécessite un échange préalable de clé
• Réservé pour un faible nombre de correspondants
  ne faisant pas de non-répudiation (dans ce
  contexte, cela marche très bien)

6
Les échanges avec des clés asymétriques

• Destiné à un grand nombre de correspondants, à
  faire de la non-répudiation
• Chaque correspondant a un bi-clé une clé privée
  et une clé publique
• Seule la même clé publique est transmise à tous
  les correspondants
• Il y a juste N bi-clés (et non plus N2/2 clés
  symétriques)

7
La raison dêtre des certificats

• Les clés asymétriques limitent le nombre de clés
  nécessaires mais il se pose le problème de leur
  diffusion
• Comment être sûr quune clé publique appartient
  bien à Bob et non à un tiers malintentionné ?
• Il est donc nécessaire de pouvoir associer Bob et
  sa clé publique
• Pour cela, la clé publique et lidentité de son
  possesseur sont regroupés puis signés
  (numériquement) par un tiers commun à tous les
  correspondants ? le Certificat
• La vérification de la signature du tiers permet
  de vérifier lassociation clé publique - identité

8
Contenu des certificats

• Identité du propriétaire
• Clé publique associée
• Identité du signataire (autorité)
• Signature
• Extensions
• Usage à quoi peut servir la clé publique
  (signature, chiffrement)
• Type de certificat (autorité ou non)
• Localisation des CRL
• Plus beaucoup dautres qui sont normalisées.
• Privatives

9
Les certificats dattributs

• Il existe lassociation clé publique-identité
• Possibilité dassocier dautres données à une
  identité fonction, adresse, numéro de carte
  bancaire
• Cela correspond à des certificats dattributs
• Actuellement, ils sont très peu utilisés

10
Fonctions dune PKI

• Les PKI sont destinées à la gestion des
  certificats
• Cela implique
• Lenregistrement des demandes de certificats
  (autorité denregistrement)
• PKCS10
• CEP (routeur CISCO)
• CRMF (extension du PKCS10)
• Pilotage des navigateurs (Microsoft et Netscape)
• La production des certificats
• Possibilité de gérer divers formats de
  certificats
• Utilisation de boites noires pour le stockage des
  clés
• La mise à disposition des certificats vers le
  demandeur (Web, mail)
• La publication dans des annuaires (LDAP ou
  autres)
• La publication de listes de révocation (CRL, OCSP)

11
Services de PKI

• Ce sont entreprises délivrant des certificats
  pour des tiers
• Les certificats sont destinés à être utilisés en
  externe
• Deux types
• Opérateurs CertPlus, Certinomis
• Autorité denregistrement
• Production des certificats
• Publication des CRL, OCSP
• Ne connaissent pas les clients
•  Revendeurs  ChamberSign, BNP
• Autorité denregistrement
• Sous traite la production des certificats à des
  tiers (généralement des opérateurs) ainsi que les
  opérations techniques (CRL, publication dans des
  annuaires)
• Connaissent leurs clients

12
Logiciels de PKI

• Destinés à être directement exploités en interne
• Les certificats sont à usage interne à une
  entreprise ou avec des tiers connus.
• Les plus connus
• Microsoft
• Sun (ex-iPlanet, ex-Netscape)
• Baltimore
• Entrust
• Idealx (freeware)
• Très disparates au niveau des fonctions, des
  plates-formes, des prix, de la pérennité, du
  respect des standards et des coûts de mise en
  place/maintenance.

13
Usage dune PKI

• Une PKI ne sert à rien en tant que telle
• Une PKI est un outil permettant de réaliser une
  fonction de sécurité
• signature
• chiffrement
• non-répudiation
• Il ny a donc jamais de projet PKI en entreprise
  mais des projets de signature, de chiffrement
  qui nécessitent une PKI.

14
Choix dune PKI

• Identifier les services nécessaires
• Connaître les formats des certificats
• Connaître les protocoles daccès (Web, PKCS10,
  CEP, OCSP)
• Connaître la volumétrie envisagée
• Connaître le niveau de sécurité requis (boites
  noires)

15
Signature électronique

• Exemples actuels
• Signature électronique dans les messageries
• Signature électronique à valeur légale

16
Carte Bancaire

• Contractuellement défini comme ayant valeur de
  signature
• Utilisation dune clé DES présente dans la carte
• Chaque paiement nécessitant la présentation du
  code confidentiel produit une signature portant
  sur
• La carte elle-même (la clé est propre à la carte)
• Le montant du paiement
• La date du paiement
• Dautres données moins fonctionnelles

17
Autres exemples actuels

• ETEBAC 5 Protocole bancaire déchange de
  fichiers
• EDIFACT Format de fichier EDI
• La signature électronique nest donc pas nouvelle

18
Signature électronique avec un algorithme de
chiffrement symétrique
Données à signer
Bloc
Bloc
Bloc
Bloc
Valeur dinitialisation
Clé de signature
DES, RC2, AES
DES, RC2, AES
DES, RC2, AES
DES, RC2, AES
DES, RC2, AES
Signature

• Pas très rapide
• En pratique, cette méthode est utilisée pour
  vérifier lintégrité de données chiffrées (cest
  alors une clé de chiffrement et non une clé de
  signature)

19
Signature électronique avec un algorithme de hash
Clé de signature
Élément à signer
Signature
SHA-1, MD5
Élément à signer
Élément à signer

• Très rapide
• Ne permet pas la non-répudiation
• Très utilisé sous diverses formes (signature,
  authentification)

20
Signature électronique à clé asymétrique
Élément à signer
Élément à signer
HASH
SHA-1, MD5
Élément à signer
Signature
RSA, DSA
Clé privée du signataire

• Se fait systématiquement en deux étapes
• Permet la non-répudiation

21
Vérification des signatures à clé asymétrique
Élément à signer
Élément à signer
HASH théorique
SHA-1, MD5
Élément à signer
Comparaison
Résultat
Clé publique du signataire
HASH dorigine
RSA, DSA
Signature à vérifier

• Nimporte qui peut vérifier la signature
• Cest très rapide (surtout en RSA)

22
Message électronique

• S/MIME Format de message permettant la
  signature et le chiffrement sur les messageries
• Garantie de lidentité de lémetteur
• Garantie de lintégrité du message
• Les traitements portent sur le corps du message
  et les pièces jointes
• Les traitements ne portent pas sur
• Les destinataires principaux et copie
• Le sujet du message
• Attention, cela empêche les antivirus serveur de
  fonctionner lorsquil y a chiffrement.

23
Produits existants

• En standard sur les messageries Outlook, Netscape
  et Notes 5.
• Existe des produits permettant dajouter des
  niveaux de sécurité complémentaires (cartes à
  puces, algorithmes plus forts, administration) à
  ces mêmes messageries (Security BOX Mail, SAGEM,
  Baltimore, PGP)
• Ces produits ne sont pas tous interopérables avec
  les produits standards

24
Mise en oeuvre

• Nécessite de disposer de certificats
• Installation dune PKI interne
• Utilisation dun service de PKI
• Génération des clés utilisateurs
• Attention pour des problèmes légaux, il faut
  pouvoir tout déchiffrer
• Émission des demandes de certificats
• Diffusion des certificats auprès des utilisateurs
• Mise en place dun annuaire (non obligatoire mais
  presque)

25
Signature de fichiers

• Offre les mêmes fonctions
• Garantie de lidentité du signataire
• Garantie de lintégrité du fichier
• Quelques produits
• Le chat de Silcor signature de PDF (nécessite
  Accrobat Writer)
• Confidence de SAGEM

26
Signature à valeur légale

• Directive européenne 1999/93/CE du 13/12/1999
• Loi 2000-230 du 13 mars 2000
• Décret du 30 mars 2001
• Le but donner à la signature électronique la
  même valeur que la signature manuscrite.

27
Normes / travaux

• Normes ETSI reprenant les résultats du groupe de
  travail EESSI
• Conforme à la directive européenne
• Base de la majorité des développements
• Sappuie largement sur les formats CMS utilisés
  en messagerie électronique
• Ces normes évoluent continuellement
• RFC de lIETF
• Prise en compte des normes ETSI au niveau des RFC
• Pratiquement aucune différence
• AFNOR
• Normes en cours délaboration

28
Exigences pour les outils de signatures

• Certification EAL 4 pour la partie générant la
  signature et hébergeant les clés de signature
• Impose lutilisation dun module matériel (carte
  à puce, token)
• Il faut la garantie que la clé de signature ne
  puisse être connue ou utilisée par un tiers.
• Les produits devront probablement être évalués
  également.

29
Exigences pour les certificats

• Les certificats doivent être qualifiés
• Impose des contraintes très fortes au niveau de
  leur délivrance
• Le but est de sassurer de lidentité du
  détenteur
• Les autorités doivent être auditées
• Le but est de sassurer de la qualité de leurs
  procédures afin de garantir la  qualité  des
  certificats produits

30
Contenu dune pièce signée et validée

• Données de la pièce
• Signature de la pièce
• Horodate émise par une autorité (permet de
  garantir lexistance de la pièce à une date
  précise)
• Données de vérification de la signature (CRL,
  réponses OCSP)
• Horodate émise par une autorité (permet de
  garantir lintégrité et la validité des données
  de vérification)
• Horodate périodique permettant de se garantir
  contre le renouvellement des clés et
  lobsolescence des techniques de signature.

31
Produits existants en France

• A priori, actuellement, il ny en a pas.

32
En Italie

• La signature électronique à valeur légale est
  très développée
• Les contraintes légales sont moins fortes que
  celles exigées par la loi française
• Plus dune dizaine de produits interopérables
  mais un qui domine
• La signature porte sur des fichiers (pas sur la
  messagerie)

33
WEB SSO

• Les besoins en Web Single Sign On
• Les différentes architectures
• Produits existants
• Microsoft Passport
• Liberty Alliance
• Questions / réponses

34
Single Sign On

• Pourquoi une authentification unique
• multiplication des serveurs et applications web
• multiplication des identifiants / mots de passe
• environnements multiples Intranet, Extranet,
  Internet
• comptes génériques (typiquement fournis par
  partenaire ou fournisseur de service)
• perte de temps (saisie, erreurs, changements)
• affaiblissement de la sécurité
• mots de passes triviaux ou identiques
• coûts induits
• de type Help Desk (oublis de mots de passe)
• pour ladministration des serveurs
• confort pour les utilisateurs
• renforcer lauthentification (primaire) sans
  modifier les applications

35
La problématique du Web SSO
36
Les différents types de Web SSO

• Single User Login
• SSO induit par lutilisation du même couple
  id/pwd pour toutes les applications
• forme dégradée de SSO
• Web SSO
• SSO dédié aux serveurs et applications web http,
  https
• B2E, B2B, B2C
• Identité réseau fédérée (federated network
  identity)
• une identité unique sur Internet
• Microsoft Passport, Liberty Alliance
• B2C aujourdhui, B2B, B2E demain

37
Single User Login

• Le même mot de passe pour toutes les applications

38
Single Sign On

• Authentification primaire / Authentifications
  secondaires

39
Les principes de base

• Authentification primaire
• face à un serveur dauthentification dédié
• Contrôle daccès aux ressources
• URLs
• SSO
• fourniture automatique du id/pwd secondaire
• fourniture dune donnée dauthentification
  (ticket)
• Audit
• centralisation des données

40
Les fonctionnalités induites

• Authentification unique renforcée
• de différents types id/pwd, OTP, carte à puce,
  biométrie
• Contrôle daccès
• connaissance des applications pour le SSO
• Audit
• facilite le suivi des utilisateurs
• Éventuellement
• Masquage des URLs
• cacher, empêcher les accès directs, protéger les
  serveurs
• Page daccueil
• mini-portail pour authentification, accès aux
  services

41
Les spécificités du Web SSO

• Environnement de type Internet
• annuaire LDAP
• SSL, certificat X509 pour utilisateur
• cookies
• Environnement de lentreprise
• interface Web des applications ERP, messagerie,
  serveurs J2EE, XML, SAML, Kerberos
• authentification par formulaire
• SSO vers des ressources externes (partenaires,
  services)
• Authentification
• OTP, carte à puce...
• Injection de données vers le serveur
• Client standard non modifiable navigateur

42
Deux architectures principales

• Reverse proxy
• serveur dédié en frontal
• des serveurs protégés pour
• authentification et autorisation
• ré-écriture des URLs
• A base dagents
• agent sur chacun des serveurs
• protégés
• serveur central dauthentification
• et autorisation

Reverse Proxy
43
Reverse proxy mode opératoire
web serveur 1
Utilisateur
Configuration interne
44
Agents mode opératoire
Utilisateur
45
Avantages / Inconvénients
Agents
Reverse Proxy

• Avantages
• non intrusif
• simple à déployer
• sécurisation des serveurs
• Masquage des URLs
• page daccueil
• Inconvénients
• capacité du serveur
• stockage et administration des id/pwd
  secondaires

• Avantages
• distribution de la charge
• authentification de bout en bout (certificat)
• Inconvénients
• déploiement (plate-forme, pas possible chez un
  partenaire)
• mise à jour, suivi des évolutions
• modification des applications (id/pwd)

46
Exemples de produits
Reverse Proxy
Agents

• IBM
• Policy Director
• Novell
• IChain
• Evidian
• PortalXpert

• Netegrity
• SiteMinder
• Oblix
• Netpoint
• Ilex
• SignGo
• SUN
• Identity Server

47
Microsoft .Net Passport

• Défini et mis en uvre par Microsoft dès 1999
• Délivré comme un service, pas une spécification
  ouverte
• Utilisé pour Microsoft Hotmail et Microsoft
  Network
• Intégré et obligatoire pour Windows XP
• Identification (email) et authentification
  (password) centralisées chez Microsoft
• Autres fournisseurs adhèrent à .Net Passport
• .Net Service Agreement
• http//www.passport.net

48
Utilisation de Passport
49
Le futur de Passport

• Amélioration de la protection des données privées
• choix des sites par lutilisateur (opt-in)
• contrôle des informations du profil
• Authentification renforcée
• support dautres mécanismes
• carte à puce, certificat, OTP.
• Intégration possible par ISV pour besoin propre
• offre TrustBridge de Microsoft
• Support de WS-Security (Web Service)
• développé avec IBM
• basé sur SOAP
• en cours de prise en compte par OASIS
• Annonce sur SAML

50
Liberty Alliance

• Consortium (près de 120 membres)
• Sun, American Express, HP, Nokia, RSA
• Ensemble de spécifications (V1.0 du 15/07/2002)
• utilisant SAML (Security Assertion Markup
  Language) produit par OASIS (http//www.oasis-open
  .org)
• choix de lier les comptes (Opt-in)
• SSO pour les comptes liés
• contexte dauthentification
• déconnexion globale
• client
• Identification (id) et authentification
  (password) décentralisées
• http//www.projectliberty.org

51
Utilisation de Liberty Alliance
Serveur A
Accès, consultation
Authentification
Voulez-vous lier votre compte à dautres membres?
Authentification Lien du compte avec serveur A
Lors du prochain accès lien sur serveur B proposé
Click sur lien
Redirection vers serveur B avec SSO
52
Le futur de Liberty Alliance

• Premiers produits V1.0 disponibles
• SUN
• Identity Server 6.0
• Phaos
• Liberty toolkit
• Spécifications V2.0
• partage contrôlé par lutilisateur dinformations
  le concernant
• possibilités pour des compagnies de plus lier
  leurs services (cercle de confiance)

53
SAML

• 3 axes de développement pour fédérer et
  standardiser
• Single Sign On
• distribution des transactions
• service dautorisation
• Les bases
• format standard pour les messages
• assertions codées en XML
• protocole standard déchange des messages
• requête/réponse
• règles dutilisation dans les protocoles
  existants (bindings)
• SOAP-over-http
• dautres suivront (raw http)

54
SAML exemples

• Demande dauthentification
• Donnez moi des informations dauthentification
  sur ce sujet
• Demande dattributs
• Donnez moi des informations sur les attributs
  listés (ou tous) pour ce sujet
• Demande dautorisation
• Est-ce que le sujet est autorisé à accéder cette
  ressource, de cette façon, ainsi authentifié?

55
Recommandé électronique

• Sera intégré par la suite

56
Cahier des charges

• Rendre le courrier opposable à son destinataire
• Preuve de dépôt
• Transport
• Présentation
• Preuve de remise
• Preuve du contenu

57
Architecture technique

• Il faut y penser
• Choix dune autorité (service) de certification.
• Lecture des messages consignés, plusieurs années
  après leur dépôt.

58
Offres de service La Poste (Maileva groupe La
Poste)

• Une montée en charge progressive du service
• Dépôt électronique, remise sur support papier
• Tout électronique
• Consignation du courrier déposé (preuve du
  contenu)
• Tarif ? 4 ou 5
• http//www.maileva.com

59
Offres de service LettreRecommandee.com

• Chaîne toute électronique
• Contrat électronique
• Tarif
• Lettre recommandée 2
• Contrat 5
• http//lettrerecommandee.com

60
Offres de service Certif-Email

• Formule dabonnement
• 2,30 par envoi, forfait 200 envois
• 0,70 par envoi, forfait 10000 envois
• http//www.certifemail.fr

61
Méthode et Solution Informatique

• Société de service et éditeur de logiciels
  spécialisé dans la sécurité logique et les
  réseaux
• Produits Gamme Security BOX
• Adresse 3 place Renaudel 69003 LYON Tél
  04 78 14 04 10 Fax 04 78 14 04 11 Web
  http//www.msi-sa.fr
• Philippe PERRETDirecteur Engineering System
  Integrationphilippe.perret_at_msi-sa.fr

62
Evidian

• Éditeur de logiciel de sécurisation et
  d'administration d'infrastructure en réseaux
• Produits AccessMaster, Netwall, PortalXpert,
  OpenMaster, SafeKit.
• Adresse 53 rue de l'étang BP 39 69578
  Limonest Cedex
• Gérard CREMIERIngénieur CommercialTél 04 72
  52 52 85gerard.cremier_at_evidian.com
• Michel VITTELConsultantTél 04 76 29 71
  67michel.vittel_at_evidian.com

63
Boutemy

• Architecture de réseaux et de systèmes
  d'information
• Adresse 2 avenue des Tilleuls Les
  Floralies 69380 DOMMARTIN Tél 04 78 43 59
  08 Web http//www.boutemy.com
• Yves BOUTEMYYves_at_boutemy.com