Download - PKI par la Pratique
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
La citadelle électroniquePKI par la pratique
Sylvain MaretFévrier 2002Version 1.4
Solutions à la clef
Agenda
le cheminement vers PKI & la citadelle électronique Calcul du risque Architecture classique et modèle de
citadelle électronique Les nouveaux enjeux Les outils à disposition PKI, éléments constituants Les applications PKI
Solutions à la clef
Agenda (suite)
Démonstrations Comment obtenir un certificat Application messagerie Signature de document
Solutions à la clef
Agenda (suite)
Conséquences structurelles et organisationnelles de PKI Politique de sécurité, CP, CPS Infrastructure technique Exploitation et Ressources humaines
Solutions à la clef
La sécurité informatique ?
Mise en place d’une politique de sécurité Stratégie à mettre en place pour protéger
votre système d’information Des technologie pour faire tendre le risque
vers zéro
La sécurité n’est pas un produit mais un processus permanent !
Solutions à la clef
Comment diminuer le risque ?
Risque = Coûts * Menaces * Vulnérabilités
$
Solutions à la clef
Quel montant faut il investir ?
Risque
Coûts
Risquesacceptés
Solutions à la clef
Evolution des risques dans le temps ?
Risque
TempsRisquesacceptésaujourd’hui
Risquesde demain
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
le cheminement vers PKI & la citadelle électronique
Solutions à la clef
Modèle de sécurité classique
Approche « produit » Des solutions spécifiques, des cellules
isolées Antivirus Firewall Systèmes de détection d’intrusion Authentification périphérique
Solutions à la clef
Les inconvénients du modèle classique
Des solutions très spécifiques Un manque de cohérence et de
cohésion L’approche en coquille d’oeuf
Des remparts Des applications (le noyau) vulnérables
Solutions à la clef
Schématiquement…
Firewall, IDS, etc.
Ressources internes
Solutions à la clef
Les enjeux pour le futur
Fortifier le cœur des infrastructures Améliorer la cohérence Amener la confiance dans les
transactions électroniques Simplicité d’utilisation Définir une norme suivie par les
constructeurs & éditeurs
Solutions à la clef
La citadelle électronique
Modèle de sécurité émergent Approche en couches ou en strates Chaque couche hérite du niveau
inférieur Les applications et les biens gravitent
autour d’un noyau de sécurité
Solutions à la clef
Approche en couche
1) Architecture 2) Protocoles réseaux 3) Systèmes d’exploitations 4) Applications
Solutions à la clef
Architecture
Sécurisation des accès bâtiments Segmentation & Cloisonnement IP Segmentation & Cloisonnement physique Choix d’environnement (Switch, hub, etc) Mise en place de Firewall Configuration de routeur (ACL) Etc.
Solutions à la clef
Protocoles réseaux
TCP/IP, IPSec, L2TP, PPTP, etc. Anti SYNFlooding Anti spoofing « Kernel » réseau à sécuriser Etc.
Solutions à la clef
Systèmes d’exploitation
Sécurisation des OS Restriction des services Mise en place de FIA Détection d’intrusion sur les OS Sauvegarde régulière Authentification forte Sécurisation de l’administration Logging & Monitoring
Solutions à la clef
Applications
Chaque application est sécurisée Cryptage des données sensibles
Cartes de crédits Base d’utilisateurs
Cloisonnement des bases de données Authentification forte des accès Cryptage des communications (SSL) Signature électronique
Solutions à la clef
Schématiquement…
Architecture
Protocoles réseaux
O.S.
Applications
Solutions à la clef
Pour répondre à ce challenge ?
Une démarche La politique de sécurité
Des services de sécurité Authentification Confidentialité Intégrité Non répudiation Disponibilité Autorisation
Solutions à la clef
Et des technologies…
Firewall IDS Analyse de contenu FIA AntiVirus VPN PKI…
Solutions à la clef
PKI…
Au cœur de la citadelle Offre les mécanismes de sécurité aux
applications Mécanismes & Outils exploités dans
plusieurs strates Permet de construire des relations de
confiance
Solutions à la clef
Principes de bases
Une mécanique cryptographique éprouvée et standardisée
Une approche orientée utilisateur Mot-clef: certificat numérique ou
« passeport » numérique Notion de confiance au niveau
électronique
Solutions à la clef
Les applications PKI
Sécurisation de la messagerie VPN, Accès distants Portail Web, e-commerce Transactions électroniques Publications électroniques Single Sign On Etc.
Solutions à la clef
Sécurisation de la messagerie
Cryptage des messages Intégrité des messages Signature et non répudation Application PKI « ready » Standards
S/MIME PGP
Solutions à la clef
Accès distants (VPN)
Accès aux ressources d’entreprise Sécurisation des communications Technologies utilisées
IPSEC SSL ou SSH
Utilisation des certificats Cartes à puce Token USB
Solutions à la clef
Portail Web, e-commerce
Technologie SSL Authentification mutuelle Signature des transactions
eTrading
Gestion des privilèges CyberAdministration, guichet virtuel, etc.
Tendance: Editeurs de serveurs d’applications convergent vers PKI
Solutions à la clef
Transactions & publications électroniques
Récépissés digitaux Concept de preuve Non répudiation des documents délivrés
Autorité de transaction Tiers pour validation des transactions
« Document authority » Partage de documents sécurisés
Solutions à la clef
Single Sign On
Amélioration de la sécurité Gestion centralisée des utilisateurs Utilisation des certificats pour
l’authentification Applications PKI « Ready » ou module
d’intégration Utilisation des PAC
Solutions à la clef
L’acteur Microsoft
Ouverture sur PKI Nouvelle méthode d’authentification
Kerberos V5
Support des cartes à puce Encrypted File System (EFS) Intégration avec Active Directory Support de la biométrie
Solutions à la clef
Kerberos
Système d’authentification et de gestion des privilèges
Utilise des tickets (credentials) Permet l’authentification mutuelle Système de Single Sign On
Solutions à la clef
Kerberos et PKI
Extension pour l’authentification par PKI PKINIT Support des cartes à puce (smart card
logon)
Solutions à la clef
L’infrastructure et ses éléments
Certificats Annuaires Autorité de certification (CA) Autorité d’enregistrement (RA) Autorité de validation (VA) Archivage
Solutions à la clef
Autorité de certification (CA)
L’entité qui délivre les certificats Le tiers de confiance L’entité qui publie les certificats dans un
annuaire L’entité qui génère les listes de
révocation
Solutions à la clef
Autorité de souscription (RA)
Bureau d’enregistrement Reçoit les requêtes de certification Obéit à la structure granulaire
de l’entreprise Identification du requérant
Solutions à la clef
Autorité de validation (VA)
Service on-line Contrôle de validité des certificats Réponse: valide/invalide/inconnue Plus efficace que les CRLs
Minimise le trafique Etat en temps réel
Solutions à la clef
Annuaires
Structure hiérarchisée de type x.500 Liste des liens entre utilisateurs et
certificats Peut contenir des listes de révocation
(CRL)
Solutions à la clef
Archivage
Stockage à long terme des clés de chiffrement
Key recovery Perte des clés Vol Etc.
Procédure de récupération des clés Pas de stockage des clés de signature
Non répudiation
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Démonstrations
Solutions à la clef
Démonstrations
Obtention d’un certificat Utilisation dans le cadre de la
messagerie Signature de documents
Solutions à la clef
Démo #1: obtention d’un certificat
Solutions à la clef
User enrolls for certificate
http://www
http://www
User mailed retrieval PIN
User retrieves certificate
http://www
http://www
Admin Approves request
http://www
http://www
User mailed ack.
Admin mailed notification
User
SecurityOfficer
LDAPCertificate
installed
RA
CA
Démo #1: obtention d’un certificat
Solutions à la clef
Démo #2: application messagerie
Solutions à la clef
Démo #2: application messagerie
PC A
VisualisationEt/ou
Modification
PC B
Mail serveur
Solutions à la clef
Démo #3: Signature de document
Solutions à la clef
Démo #3: Signature de document
PC APC B
Serveur de données
Réseaux
Internes
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Conséquences structurelles et organisationnelles de PKI
Solutions à la clef
PKI internes et organisation
Mots clefs: Politique de sécurité, CP, CPS Exploitation et Ressources humaines Formation Audit Infrastructure technique
Solutions à la clef
« Certificate Policy » (CP)
Stratégie organisationnelle sur papier Reprend la politique de sécurité Objectifs: respecter les buts
commerciaux, les contraintes légales et la culture d’entreprise
Haut niveau hiérarchique Auditer la mise en œuvre du PKI Auditer l’exploitation du PKI
Solutions à la clef
Certificate Policy II
Document statique dans le temps Nécessaire mais pas suffisant…
Mécanismes? Procédures?
Nécessité d’un document lié à la mise en œuvre d’une PKI
Solutions à la clef
Certificate Practices Statement (CPS)
Décrit les mécanismes et procédures à mettre en œuvre pour exécuter la CP Spécifie l’implémentation d’un CA Mode d’identification auprès du RA Taille des clefs Structure et temps de vie des certificats Détails liés à la révocation Etc.
Solutions à la clef
CPS II
Définition de l’architecture de sécurité Accès physique au CA, RA, etc. Processus de backup Normes cryptographiques (FIPS, etc.) Implication des divers couches de la
citadelle
Document qui évolue avec les technologies
Solutions à la clef
En Résumé
CP Document stratégique Objectifs liés au secteur d’activité Stable dans le temps
CPS Construction d’une PKI suivant la CP Implémentation des standards Lié aux technologies Définition des procédures d’exploitation
RFC 2527: Format standard
Solutions à la clef
Ressources humaines
Types de profiles impliqués Haut management (CP) Juristes (aspects légaux) Security officers (CP, CPS) Ingénieur sécurité Ingénieur système (exploitation) Equipe bureautique (application, formation
& Help Desk) Auditeur (CP, CPS)
Solutions à la clef
Quelques liens
http://www.cert.org http://csrc.nist.gov/ http://www.sans.org http://online.securityfocus.com/ http://www.linuxsecurity.com/ http://www.securitysearch.net/ http://www.esecurityonline.com/
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Questions?
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Pour plus d’informations
e-Xpert Solutions SASylvain Maret
Route de Pré-Marais 29CH-1233 Bernex / Genève
+41 22 727 05 [email protected]