pki par la pratique

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

info@e-xpertsolutions.com | www.e-xpertsolutions.com

La citadelle électroniquePKI par la pratique

Sylvain MaretFévrier 2002Version 1.4

Solutions à la clef

Agenda

le cheminement vers PKI & la citadelle électronique Calcul du risque Architecture classique et modèle de

citadelle électronique Les nouveaux enjeux Les outils à disposition PKI, éléments constituants Les applications PKI

Agenda (suite)

Démonstrations Comment obtenir un certificat Application messagerie Signature de document

Agenda (suite)

Conséquences structurelles et organisationnelles de PKI Politique de sécurité, CP, CPS Infrastructure technique Exploitation et Ressources humaines

La sécurité informatique ?

Mise en place d’une politique de sécurité Stratégie à mettre en place pour protéger

votre système d’information Des technologie pour faire tendre le risque

vers zéro

La sécurité n’est pas un produit mais un processus permanent !

Comment diminuer le risque ?

Risque = Coûts * Menaces * Vulnérabilités

Quel montant faut il investir ?

Risque

Coûts

Risquesacceptés

Evolution des risques dans le temps ?

Risque

TempsRisquesacceptésaujourd’hui

Risquesde demain

le cheminement vers PKI & la citadelle électronique

Modèle de sécurité classique

Approche « produit » Des solutions spécifiques, des cellules

isolées Antivirus Firewall Systèmes de détection d’intrusion Authentification périphérique

Les inconvénients du modèle classique

Des solutions très spécifiques Un manque de cohérence et de

cohésion L’approche en coquille d’oeuf

Des remparts Des applications (le noyau) vulnérables

Schématiquement…

Firewall, IDS, etc.

Ressources internes

Les enjeux pour le futur

Fortifier le cœur des infrastructures Améliorer la cohérence Amener la confiance dans les

transactions électroniques Simplicité d’utilisation Définir une norme suivie par les

constructeurs & éditeurs

La citadelle électronique

Modèle de sécurité émergent Approche en couches ou en strates Chaque couche hérite du niveau

inférieur Les applications et les biens gravitent

autour d’un noyau de sécurité

Approche en couche

1) Architecture 2) Protocoles réseaux 3) Systèmes d’exploitations 4) Applications

Architecture

Sécurisation des accès bâtiments Segmentation & Cloisonnement IP Segmentation & Cloisonnement physique Choix d’environnement (Switch, hub, etc) Mise en place de Firewall Configuration de routeur (ACL) Etc.

Protocoles réseaux

TCP/IP, IPSec, L2TP, PPTP, etc. Anti SYNFlooding Anti spoofing « Kernel » réseau à sécuriser Etc.

Systèmes d’exploitation

Sécurisation des OS Restriction des services Mise en place de FIA Détection d’intrusion sur les OS Sauvegarde régulière Authentification forte Sécurisation de l’administration Logging & Monitoring

Applications

Chaque application est sécurisée Cryptage des données sensibles

Cartes de crédits Base d’utilisateurs

Cloisonnement des bases de données Authentification forte des accès Cryptage des communications (SSL) Signature électronique

Schématiquement…

Architecture

Protocoles réseaux

Applications

Pour répondre à ce challenge ?

Une démarche La politique de sécurité

Des services de sécurité Authentification Confidentialité Intégrité Non répudiation Disponibilité Autorisation

Et des technologies…

Firewall IDS Analyse de contenu FIA AntiVirus VPN PKI…

PKI…

Au cœur de la citadelle Offre les mécanismes de sécurité aux

applications Mécanismes & Outils exploités dans

plusieurs strates Permet de construire des relations de

confiance

Principes de bases

Une mécanique cryptographique éprouvée et standardisée

Une approche orientée utilisateur Mot-clef: certificat numérique ou

« passeport » numérique Notion de confiance au niveau

électronique

Les applications PKI

Sécurisation de la messagerie VPN, Accès distants Portail Web, e-commerce Transactions électroniques Publications électroniques Single Sign On Etc.

Sécurisation de la messagerie

Cryptage des messages Intégrité des messages Signature et non répudation Application PKI « ready » Standards

S/MIME PGP

Accès distants (VPN)

Accès aux ressources d’entreprise Sécurisation des communications Technologies utilisées

IPSEC SSL ou SSH

Utilisation des certificats Cartes à puce Token USB

Portail Web, e-commerce

Technologie SSL Authentification mutuelle Signature des transactions

eTrading

Gestion des privilèges CyberAdministration, guichet virtuel, etc.

Tendance: Editeurs de serveurs d’applications convergent vers PKI

Transactions & publications électroniques

Récépissés digitaux Concept de preuve Non répudiation des documents délivrés

Autorité de transaction Tiers pour validation des transactions

« Document authority » Partage de documents sécurisés

Single Sign On

Amélioration de la sécurité Gestion centralisée des utilisateurs Utilisation des certificats pour

l’authentification Applications PKI « Ready » ou module

d’intégration Utilisation des PAC

L’acteur Microsoft

Ouverture sur PKI Nouvelle méthode d’authentification

Kerberos V5

Support des cartes à puce Encrypted File System (EFS) Intégration avec Active Directory Support de la biométrie

Kerberos

Système d’authentification et de gestion des privilèges

Utilise des tickets (credentials) Permet l’authentification mutuelle Système de Single Sign On

Kerberos et PKI

Extension pour l’authentification par PKI PKINIT Support des cartes à puce (smart card

logon)

L’infrastructure et ses éléments

Certificats Annuaires Autorité de certification (CA) Autorité d’enregistrement (RA) Autorité de validation (VA) Archivage

Autorité de certification (CA)

L’entité qui délivre les certificats Le tiers de confiance L’entité qui publie les certificats dans un

annuaire L’entité qui génère les listes de

révocation

Autorité de souscription (RA)

Bureau d’enregistrement Reçoit les requêtes de certification Obéit à la structure granulaire

de l’entreprise Identification du requérant

Autorité de validation (VA)

Service on-line Contrôle de validité des certificats Réponse: valide/invalide/inconnue Plus efficace que les CRLs

Minimise le trafique Etat en temps réel

Annuaires

Structure hiérarchisée de type x.500 Liste des liens entre utilisateurs et

certificats Peut contenir des listes de révocation

Archivage

Stockage à long terme des clés de chiffrement

Key recovery Perte des clés Vol Etc.

Procédure de récupération des clés Pas de stockage des clés de signature

Non répudiation

Démonstrations

Obtention d’un certificat Utilisation dans le cadre de la

messagerie Signature de documents

Démo #1: obtention d’un certificat

User enrolls for certificate

http://www

User mailed retrieval PIN

User retrieves certificate

http://www

Admin Approves request

http://www

User mailed ack.

Admin mailed notification

SecurityOfficer

LDAPCertificate

installed

Démo #1: obtention d’un certificat

Démo #2: application messagerie

VisualisationEt/ou

Modification

Mail serveur

Démo #3: Signature de document

PC APC B

Serveur de données

Réseaux

Internes

Conséquences structurelles et organisationnelles de PKI

PKI internes et organisation

Mots clefs: Politique de sécurité, CP, CPS Exploitation et Ressources humaines Formation Audit Infrastructure technique

« Certificate Policy » (CP)

Stratégie organisationnelle sur papier Reprend la politique de sécurité Objectifs: respecter les buts

commerciaux, les contraintes légales et la culture d’entreprise

Haut niveau hiérarchique Auditer la mise en œuvre du PKI Auditer l’exploitation du PKI

Certificate Policy II

Document statique dans le temps Nécessaire mais pas suffisant…

Mécanismes? Procédures?

Nécessité d’un document lié à la mise en œuvre d’une PKI

Certificate Practices Statement (CPS)

Décrit les mécanismes et procédures à mettre en œuvre pour exécuter la CP Spécifie l’implémentation d’un CA Mode d’identification auprès du RA Taille des clefs Structure et temps de vie des certificats Détails liés à la révocation Etc.

CPS II

Définition de l’architecture de sécurité Accès physique au CA, RA, etc. Processus de backup Normes cryptographiques (FIPS, etc.) Implication des divers couches de la

citadelle

Document qui évolue avec les technologies

En Résumé

CP Document stratégique Objectifs liés au secteur d’activité Stable dans le temps

CPS Construction d’une PKI suivant la CP Implémentation des standards Lié aux technologies Définition des procédures d’exploitation

RFC 2527: Format standard

Ressources humaines

Types de profiles impliqués Haut management (CP) Juristes (aspects légaux) Security officers (CP, CPS) Ingénieur sécurité Ingénieur système (exploitation) Equipe bureautique (application, formation

& Help Desk) Auditeur (CP, CPS)

Quelques liens

http://www.cert.org http://csrc.nist.gov/ http://www.sans.org http://online.securityfocus.com/ http://www.linuxsecurity.com/ http://www.securitysearch.net/ http://www.esecurityonline.com/

Questions?

Pour plus d’informations

e-Xpert Solutions SASylvain Maret

Route de Pré-Marais 29CH-1233 Bernex / Genève

+41 22 727 05 55info@e-xpertsolutions.com

pki par la pratique

Technology

1 infrastructures à clefs publiques public key...

pki android : installer, gérer, sécuriser et utiliser un...

pki et certification ahmed serhrouchni enstparis cnrs

renaissance pki / séminaire clusis 2003

lightroom 4 par pratique

jsf2 par la pratique

uml 2 par la pratique

pki - editions-eni.fr · editions eni pki sous windows...

access par la pratique

tutorial pki pg

jcertif 2012 : git par la pratique

octo - droidcon - pki android : installer, gérer,...

la virtualisation par la pratique

pki (public key infrastructure) - max planck...

wifi par la pratique

améliorations de pki dans windows 7 et windows server 2008...

uml 2 par la pratique - essai

tivoli public key infrastructure -...

spring par la pratique

mairies communes du pays de fouesnant --php8ui pki