séminaire linagora sécurite et identité en open source, novembre 2009

Identité et sécurité Open Source : une réalité

Matinée Pour ComprendreO u t i ls d e s é c u r i t é e t d 'id e n t i t é e n O p e n S o u r c e ! Ç a m a r c h e !

Sébastien BAHLOULResponsable offre Identité & Sécurité

Groupe [email protected]

Agenda

LINAGORA

Mission : Logiciels et service Open Source pour réussir les grands projets du libreCréation : Mai 2000Capital : PrivéEffectif: 150 employés

LINAGORA : nos métiers

Notre positionnement

P r o p r ié t a i r eP r o p r ié t a i r e= 0 % L ib r e= 0 % L ib r e

F r e e m iu mF r e e m iu m= 5 0 à 8 0 % L ib r e= 5 0 à 8 0 % L ib r e= P r o p r ié t a i r e= P r o p r ié t a i r e

F r e e -F r e eF r e e -F r e e= 1 0 0% L ib r e= 1 0 0% L ib r e

S e r v ic e sS e r v ic e s= + o u - L ib r e= + o u - L ib r e

• F a v o r is e la d i f f u s io n M a s s iv e• U t i l i s a t e u r s p lu s d i f f ic i le m e n t « m o n é t is a b le s »• L e s é d i t e u r s F r e e -f r e e f o n t le p a r i d e v e n d r e a u m a r c h é « s o lv a b le » u n iq u e m e n t e t a c c e p te q u e le m a r c h é « n o n s o lv a b le » • M o in s d e L o c k e d -In p o u r le s c l ie n t s• P lu s g r a n d r e s p e c t d e la p h i l is o p h ie O p e n S o u r c e• M o d è le s d e s s o lu t io n s L ib r e s e u r o p é e n n e s : • D if f ic u l t é d e f in a n c e m e n t d e c e s m o d è le s

• M o d è le d is r u p t i f d e c o m m e r c ia l is a t io n e t d e d is t r ib u t io n d e l 'in n o v a t io n• F a v o r is e la d i f f u s io n • U t i l i s a t e u r s f a c i le m e n t « m o n é t is a b le s » : q u a n d o n v e u t u n e s o lu t io n p o u r e n t r e p r is e o n p a y e , s in o n o n u t i l i s e la v e r s io n l ib r e

• M o d è le c la s s iq u e . • O n p a y e a c h a q u e f o is q u 'o n v e u t u t i l i s e r la s o lu t io n .• E v a p o r t a io n f is c a le• I n n o v a t io n à l 'é t r a n g e r• B a la n c e d e s e x p o r t a t io n s d i f f ic i t a i r e s

• B u s in e s s a s U s u a l !• D é m a r c h e s o p p o r t u n is t e s• O f f r e e n c o n s t r u c t io n• E n je u x d e s r e s s o u r c e s h u m a in e s• P e rm e t d 'in je c t e r u n e g r a n d e p a r t ie d e s f o n d s d a n s l 'e m p lo i a u n iv e a u lo c a l

www.LinID.orgwww.linagora.com

Notre offre

Tracking Manager

Directory Manager

Access Manager

Sync Manager

OpenLDAP Manager

Federation Manager

Tracking Manager

Directory Manager

Access Manager Sync Manager

OpenLDAP Manager

Federation Manager

Partenaire authentifié

Utilisateur

Administrateur

Bases de l’entreprise

Annuaire

Applications(web)

Ils nous font confiance !

L’offre produit LinID vous apporte le meilleur des fonctions d’une suite de gestion d’identité et l’interopérabilité d’une solution Open Source.

Nos briques d’infrastructure

E n je u xA l im e n ta t io n , e x t r a c t io n e t s y n c h r o n is a t io n

d e s r é fé r e n t ie ls e x is t a n t s a v e c l’a n n u a ir e , r é fé r e n t ie l p r in c ip a l d e s id e n t i t é s

Q u e lq u e s c o n c u r r e n t s

C o m p o s a n t s te c h n o lo g iq u e s– L in S y n c

Sync Manager


E n je u xW e b S S O c o n s t r u i t s u r A p a c h e , p r o f i t a n t d e

l’e n s e m b le d e la m o d u la r i t é d e s m o d u le s d ’a u t h e n t i f ic a t io n e t d e la s c a la b i l i t é d ’A p a c h e e n R e v e r s e P r o x y, in t é g r a t io n n o n -in t r u s iv e d e s a p p l ic a t io n s v ia e n tê t e H T T P e t n o n A P I , c o m p lé t io n a u to m a t iq u e d e f o rm u la i r e s , c o m b in a is o n d e s m é th o d e s d ’a u th e n t i f ic a t io n .


C o m p o s a n t s te c h n o lo g iq u e s– L in ID A c c e s s M a n a g e r

Access Manager

Nos services

E n je u xP la te fo rm e p o u r le s u t i l i s a t e u r s d e g e s t io n d u

c o n te n u d ’a n n u a ir e , a v e c m o d u le s d e p u b l ic a t io n , r e c h e r c h e s e t o r g a n ig r a m m e s


C o m p o s a n t s te c h n o lo g iq u e s– I n t e r L D A P

Directory Manager

Nos services

E n je u xP la te fo rm e d e g e s t io n d e c o n t e n u e t

d ’a d m in is t r a t io n d ’a n n u a ir e , in té g r a n t d e s m o d u le s d e d é lé g a t io n e t d e r e c h e r c h e


C o m p o s a n t s te c h n o lo g iq u e s– L in ID O p e n L D A P M a n a g e r

OpenLDAP Manager

Nos services

E n je u xO u v e r t u r e d e s a p p l ic a t io n s in te r n e s a u x

p a r t e n a i r e s e x té r ie u r s p a r le s p r o t o c o le s s ta n d a r d s d e fé d é r a t io n d ’id e n t i t é s (ID -F F, ID -W S F, S A M L 2 ), fo u r n is s e u r d ’id e n t i t é s e t d ’a t t r ib u t s e n W e b -S e r v ic e .


C o m p o s a n t s te c h n o lo g iq u e s- F e d e r ID & L e m o n S A M L

Federation Manager

www.LinPKI.orgwww.linagora.com

Authentificatio

n forteMessagerie sécurisée

Autorité de certification

Transferts sécurisés

SignServeret horodatage

Usine à certificats(support physiques / logiciel)

Coffre-fort électronique

Signatureélectronique

La PKI (Public Key Infrastructure)

Utilisateur

Stockage du certificat

Clef privée

Clef publique

Autorité d’enregistrement

Autorité de certification Certificat

Ils nous font confiance !De par le positionnement unique de son offre, la progression de sa part de marché et la solidité du Groupe LINAGORA, LinPKI a aujourd’hui les moyens de ses ambitions : s’imposer au niveau mondial !


E n je u xL e c œ u r d 'u n e in f r a s t r u c tu r e d e c o n f ia n c e

q u i m a n a g e l 'in t é g r a l i t é d e s id e n t i t é s n u m é r iq u e s .


C o m p o s a n t s te c h n o lo g iq u e s– A u to r i t é d e c e r t i f ic a t io n : l in R A

Autorité de certification


Usine à certificats

E n je u xG è r e le c y c le d e v ie c o m p le t d e s c e r t i f i c a t s

d a n s le S I , c a p a b le d e g é n é r e r d e s c e r t i f i c a t s s u r to u t t y p e d e s u p p o r t


C o m

C o m p o s a n t s te c h n o lo g iq u e s– U s in e à c e r t i f ic a t s : E J B C A

SignServeret horodatage


E n je u xP e rm e t la s ig n a tu r e a u n o m d 'u n s e r v e u r o u

d e to u t e l 'o r g a n is a t io n e t p r e n d e n c h a r g e le s fo n c t io n s d 'h o r o d a ta g e e n a p p o s a n t u n e h e u r e f ia b le s u r le s d o n n é e s


C o m p o s a n t s te c h n o lo g iq u e s– L in S ig n S e r v e r

Nos services

Authentification

forte

E n je u xC o m b in é e à n o t r e o f f r e d e g e s t io n d e s

id e n t i t é s (L in ID ), c e t t e s o lu t io n p e rm e t la g e s t io n d 'u n a c c è s p a r f a i t e m e n t s é c u r is é p o u r v o s s e r v ic e s c r i t iq u e s o u v e r s l 'e x t é r ie u r.


C o m p o s a n t s te c h n o lo g iq u e s– G e s t io n d e s id e n t i t é s : L in ID

Nos services

Messagerie sécurisée

E n je u xR é p o n d r e à v o s b e s o in s p o u r g a r a n t i r

l 'id e n t i t é e t la q u a l i t é d u s ig n a ta i r e a in s i q u e l 'in a l t é r a b i l i t é e t la c o n f id e n t ia l i t é d u m e s s a g e


C o m p o s a n t s te c h n o lo g iq u e s– P K I : L in P K I

– M e s s a g e r ie : O B M

Nos services

Signatureélectronique

E n je u xP e rm e t à u n u t i l is a t e u r d e s ig n e r t o u s t y p e s d e

d o n n é e s .

N o t r e s o lu t io n e s t en cours de certification d e p r e m ie r n iv e a u p a r la Agence Nationale de la S écurité des S ystèmes d'Information, e t s e r a a in s i la première vraie alternative c e r t i f ié e a u x s o lu t io n s p r o p r ié t a i r e s .


C o m p o s a n t s te c h n o lo g iq u e s– S ig n a tu r e : L in S ig n

En cours de

certific a tion

!

Nos services

Coffre-fort électronique

E n je u xP e rm e t a u x u t i l i s a t e u r s d 'o r g a n is e r, g é r e r e t

a r c h iv e r le s d o c u m e n ts s e n s ib le s d e l 'o r g a n is a t io n


C o m p o s a n t s te c h n o lo g iq u e s– P K I : L in P K i

– S to c k a g e s é c u r is é : L in S h a r e

Nos services

Transferts sécurisés

E n je u xU n e s o lu t io n s im p le e t c o m p lè te p o u r

s é c u r is é le s é c h a n g e s a u s e in d e l 'e n t r e p r is e a in s i q u 'a v e c l 'e x t é r ie u r.


C o m p o s a n t s te c h n o lo g iq u e s– P K I : L in P K I

– P a r ta g e s d e f ic h ie r s : L in S h a r e

SSO et authentification forte

Matinée Pour Comprendre« O u t i ls d e S é c u r i t é e t d 'I d e n t i t é e n O p e n S o u r c e ! Ç a m a r c h e »

Clément OUDOTArchitecte


2 8Sommaire

● Concepts et définition du WebSSO

● LinID Access Manager / LemonLDAP::NG

● Authentification forte appliquée au WebSSO

2 9

Définition du WebSSO

3 0Définition du WebSSO

● SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique ».

● Le SSO regroupe plusieurs fonctionnalités :– Couple identifiant/mot de passe unique– Transmission transparente des informations

de session aux applications– Gestion des profils applicatifs, c'est-à-dire

qui accède à quoi

3 1SSO par agent

3 2SSO par délégation

3 3SSO par mandataire inverse

3 4Le protocole HTTP

G E T h t t p ://w w w .l in a g o r a .c o m H T T P /1 .1A c c e p t : te x t/h tm lU s e r-A g e n t : M o z i l la /5 .0 (X 1 1 ; U ; L in u x i6 8 6 ; f r ; r v :1 .7 .6 )

H T T P /1 .1 2 0 0 O KD a te : T h u , 1 3 M a r 2 0 0 8 1 5 :0 5 :2 9 G M TS e r v e r : A p a c h eC o n te n t-L e n g th : 2 6 4C o n te n t-T y p e : te x t/h tm l; c h a r s e t= is o -8 8 5 9 -1

<?x m l v e r s io n = "1 .0 " e n c o d in g = "is o -8 8 5 9 -1 " ?><!D O C T Y P E h tm l P U B L IC "-//W 3 C //D T D X H T M L 1 .0 T r a n s i t io n a l//E N " "h t t p ://w w w .w 3 .o r g /T R /x h tm l1 /D T D /x h tm l1 -t r a n s i t io n a l.d t d "><h tm l x m ln s = "h t t p ://w w w .w 3 .o r g /1 9 9 9 /x h tm l" la n g = "f r " x m l:la n g = "f r " d ir = "l t r "><h e a d ><t i t le >L in a g o r a , in t e g r a te u r d e r e f e r e n c e s u r le m a r c h e d e s lo g ic ie ls l ib r e s </t i t le >

....</h tm l>

3 5

LinID Access Manager / LemonLDAP::NG

3 6Positionnement LinID Access Manager

3 7LinID Access Manager

Principe – Reverse proxy en rupture de flux

– ou Agent local

Support– Des fonctions de SSO sur n'importe quelle application

HTTP

– Sécurisation des flux Web Services inter-applicatifs

– Méthode ou combinaison de méthodes d'authentification

Intégration des applications– Intégration non-intrusive (entête HTTP)

– Support de la complétion automatique de formulaires

3 8Caractéristiques détaillées● SSO sur les applications Web (support du protocole HTTP)● Disponibilité :

– Linux (Debian, Ubuntu, Redhat, Fedora, ...)

– Indépendant de l'architecture (x86 32/64, PPC, ...)

● Support du module d'authentification de tout système supportant Apache et notamment :

– SSO avec l'authentification des postes intégrés dans un domaine NT/AD

– LDAP, X509v3, Radius, Kerberos, CPS

– Compatibilité avec d'autres solutions de SSO (CAS, SiteMinder via Apache)

● Compatibilité du module d'autorisation :– Annuaires LDAP

– Bases SQL

– Web Services

● Stockage des informations : backend fichier, LDAP

3 9LinID Access Manager

4 0LinID AM et LemonLDAP::NG

● LemonLDAP::NG est un logiciel libre, disponible chez OW2 http://lemonldap.ow2.org

● La version ::NG a été écrite par Xavier Guimard, de la Gendarmerie Nationale

● LINAGORA est contributeur officiel de la solution et possède des développeurs actifs

● LINAGORA distribue LemonLDAP::NG sous le nom LinID Access Manager, sans ajout de modules propriétaires : tout est libre !

http://lemonldap.ow2.org/

4 1Principes● Le principe général est d'utiliser un

annuaire LDAP pour :– authentifier l'utilisateur (vérification du mot

de passe)– effectuer un contrôle d'accès (selon les

attributs LDAP de l'utilisateur)– approvisionner les applications (par

transmissions des attributs LDAP dans les en-têtes HTTP)

● Les dernières versions permettent de s'affranchir totalement de l'annuaire si besoin (par exemple pour une gestion SSL uniquement)

4 2Fonctionnement général

4 3Portail d'authentification

4 4Réinitialisation du mot de passe

4 5Menu des applications

4 6Gestion des sessions

● Utilisation de n'importe quel module Apache::Session pour le stockage (File, DBI, LDAP, Memcached, ...)

● Inscription du numéro de session dans un cookie temporaire (non écrit sur disque) avec le choix :

– Cookie non-sécurisé– Cookie sécurisé (HTTPS uniquement)– Double cookie

● Durée de vie des sessions configurable

4 7Règles d'accès

● Les règles d'accès sont des expressions Perl

● Elles peuvent être appliquées sur tout ou partie d'une application protégée (utilisation d'expressions régulières sur les URL)

● Tous les attributs exportés lors de l'authentification sont disponibles dans les règles

● Un système de macros permet de stocker des valeurs calculées en session

4 8Règles d'accès

● Accès pour tous les utilisateurs authentifiés :

– Default => accept● Accès pour le groupe « admin » :

– Default => $groups =~ /admin/● Interception du logout de l'application

– ^/logout.php => logout_sso

4 9Hôtes virtuels

● La distinction des applications est basée sur la notion d'hôtes virtuels

● Les hôtes virtuels peuvent être répartis sur plusieurs serveurs Apache

● Chaque hôte virtuel possède :– Des règles d'accès– Des en-têtes HTTP

● Les en-têtes HTTP contiennent également des expressions Perl

5 0Applications nativement

compatibles

5 1Autres applications compatibles

● Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ...

● Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ...

● Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ...

● Applications compatibles SiteMinder

5 2Nouveautés de la version 0.9.4

● Utilisation de LDAP possible pour le stockage de la configuration et des sessions

● Réécriture complète des fonctions SOAP : le portail est directement un point d'accès SOAP

● Système de notifications● Nouvelles fonctions disponibles dans les

règles d'accès pour vérifier les dates, les jours et les heures de connexion autorisés

● L'adresse du portail peut être dynamique● Séparation des modules d'authentification,

de données utilisateur et de mots de passe● Gestion complète de la politique des mots

de passe LDAP● Configuration simplifiée du cross-domain

5 3Feuille de route

● Refonte de l'interface d'administration● Validation du formulaire d'authentification

pour les applications fermées● Portefeuille de comptes pour les

applications fermées● Support SAML2 complet (fournisseur

d'identités et fournisseur de service)

5 4

Authentification forte

5 5Authentification forte

● LemonLDAP::NG sait exploiter le module SSL d'Apache

● Ce module assure la vérification du certificat client (révocation, clés, etc.)

● Un composant du certificat est utilisé comme clé de recherche sur l'annuaire LDAP

● Il est aussi possible de désactiver la recherche LDAP pour obtenir un SSO basé uniquement sur les certificats SSL

La signature électronique en Open Source. C'est possible !

LinSign

Matinée Pour ComprendreLinS ign

Sébastien LEVESQUEArchitecte logiciel Java


5 7Sommaire

● L'offre de sécurité LinPki.● LinSign.

– Caractéristiques fonctionnelles.– Caractéristiques techniques.– CSPN.

● Démonstration (édition standalone).

5 8L’offre sécurité LinPKI

L’offre de signature électronique LinSign s’inscrit dans une offre globale de sécurité, appelée Offre sécurité LinPKI.

LinPKI est une plate-forme applicative qui permet l’établissement d’éléments de preuve ayant une valeur probante reconnue et pérenne, en conformité avec la règlementation européenne et française relative à la signature électronique.

Projet de recherche et développement financé par :

L’OSEO

LINAGORA

L’ANSSI (DCSSI)

5 9

LinPK I e s t u n e s u i t e a p p l ic a t iv e d e s é c u r i t é p o u r m e t t r e e n œ u v r e la s ig n a t u r e e t le c h i f f r e m e n t à b a s e

d e c e r t i f i c a t n u m é r iq u e

A p p l ic a t io n c l ie n t d e s ig n a t u r e é le c t r o n iq u e

S e r v ic e d e v a l id a t io n d e c e r t i f ic a t s e n t e m p s r é e l

S e r v e u r d e s ig n a t u r e m u l t i-u s a g e d ’h o r o d a t a g e in d u s t r ie l

C o f f r e -fo r t e t p a r t a g e d e

f ic h ie r s s é c u r is é

A p p l ic a t io n c l ie n t d e s ig n a t u r e é le c t r o n iq u e

(c e r t i f ic a t io n C S P N e n c o u r s )

LinSign

LinPKILinPKI

LinCheck

LinShare

S ig n S e r v e r

L’offre sécurité LinPKI

6 0LinPKI : Exemple de fonctionnalité

U n U t i l is a t e u r d é p o s e u n d o c u m e n t é le c t r o n iq u e

LinPKISignature

L ’u t i l i s a t e u r s ig n e le d o c u m e n t a v e c s o n c e r t i f ic a t v ia le c o m p o s a n t d e s ig n a tu r e d e L in S ig n

LinPKIValidation

L e s e r v ic e d e v a l id a t io n v é r i f ie le c e r t i f ic a t n u m é r iq u e d u c l ie n t q u i a s ig n é le d o c u m e n t

LinPKISignature

L e s e r v e u r d e s ig n a tu r e a jo u t e d e s é lé m e n t s d e s ig n a tu r e : é lé m e n t s d e v a l id a t io n , h o r o d a ta g e , c o n t r e o u c o -s ig n a tu r e .

LinPKIHorodatage

H o r o d a ta g e d e s s ig n a tu r e s

A r c h iv a g e d e s d o c u m e n ts

6 1LinPKI : Architecture fonctionnelle

6 2LinSign : Présentation

L’application LinSign fournit un service de signature électronique de documents depuis le poste client

LinSign est conçu dans un esprit de généricité et de modularité vis-à-vis des applications. Elle peut être mise en œuvre de plusieurs façons.

Produit : LinSign est utilisée comme un produit prêt à être installé (sorte de « boîte noire »).Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier LinSign en intégrant le composant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application (e.g. LinShare).

6 3LinSign : Présentation

LinSign, l’application de signature existe selon plusieurs éditions:

– édition client-serveur (Portal) : en mode distant et connecté sur les navigateurs standards du marché. Intégration avec les frameworks web Tapestry, JSF, Seam, JSP.

– édition client seul (Client) : en mode autonome sur un système d’exploitation, mais mise à disposition via un réseau,

– édition client autonome (Standalone) : en mode autonome sur un système d’exploitation ou des clients lourds,

– édition librairie/boîte à outils (API) : en mode service embarqué dans des applications métiers.

6 4LinSign : Certification de sécurité

LinSign est réalisée selon sa cible de sécurité conformément au profil de protection « Application de création de signature électronique » des Critères Communs.

Certification CSPN (Certification de Sécurité de Premier Niveau)

Dans un premier temps, LinSign sera évaluée et certifiée dans le cadre de la CSPN (reconnue au niveau national, en France).

Cette certification est en cours 04/11/2009.

Contraintes sur SHA-256 et édition client autonome (standalone).

Certification Critères Communs (futur)

Dans un second temps, LinSign sera évaluée et certifié dans le cadre des Critères Communs, au niveau EAL3+ (reconnus au niveau international).

6 5LinSign : Licence

La Licence libre de l’application LinSign

LINAGORA a opté pour une licence OSL (Open Software License) 3.0Écrite par un avocat américain, Lawrence Rosen, la licence est labellisée open source par l’OSI depuis 2002 et est l'une des licences libres les mieux rédigées ;

Une licence copyleft qui assure la pérennité de son évolution ;

Une licence modulaire qui permet les interactions étroites avec d'autres briques logicielles ;

Une licence encadrant les utilisations classiques comme pour les fournisseurs de services (ASP, etc.).

6 6LinSign : Caractéristiques fonctionnelles

Gestion des politiques de signature :– type de certificat X.509v3 (qualifié ou pas, usage de la clé, etc.)– chaîne de certification : AC acceptées– politique acceptée (identifiant OID)– formats des éléments à signer : PDF, ODT, XML, HTML, etc.– formats de la signature : PDF/A, XAdES, XML-DSign, PKCS #7 ...– types de token (PKCS #11, PKCS #12, JKS, navigateurs web)– référence au document de signature– algorithmes de signature : RSA (PKCS #1)– algorithmes du condensé : SHA-1, SHA-256

LinSign est configurable via un système de gestion de politiques de signature.

6 7LinSign : Caractéristiques fonctionnelles

6 8LinSign : Caractéristiques techniques

LinSign s’adapte à l’hétérogénéité des contextes applicatifs et des environnements clients :

Windows, Macintosh, GNU/Linux, Unix

Navigateurs web : IE 6 et supérieurs, Mozilla Firefox et Safari

Java JEE (serveurs de servlets…)

Utilisation de certificats X.509 v3Validation du certificat : AC de confiance, date de validité, usage de clé,

etc.

Utilisation de différents formats de signature :

PDF/A, ODF Text, XAdES 1.3.2, XML-DSig, CMS/PKCS #7, S/MIME ;

Utilise différents supports pour la signature :Les cartes à puce et tokens USB : Gemalto, Oberthur, Sagem, Aladin ;

Les magasins des navigateurs web : Mozilla NSS (Firefox), Microsoft CryptoAPI (Internet Explorer), Mac OS Keychain (Safari) ;

Fichiers PKCS #12 ;

Fichiers Java KeyStore (JKS).

6 9

z ip

LinSign : édition standalone CSPN

Signature XML DSIG détachée

Signature au format Xades ETSI TS 101 903 V1.3.2 (2006-03)

<s ig n a t u r e ><r e fe r e n c e ><r e fe r e n c e >

</s ig n a tu r e >

a .p d f

S ig n e din f o

S ig n a t u r e K e y in f o

S ig nature X M L DS IG

S ig n e dp r o p e r t ie s

U n s ig n e dp r o p e r t ie s

S ig nature X ades X ades propriétés s ig nées :

(S ig ning Time) (S ig ning C ertific a te) (S ig naturePolic yIdentifier) (S ig natureProduc tionP lac e)? (S ig nerR ole)?

7 0LinSign : édition standalone CSPN

JRE/JDK 6– par défaut, ne supporte pas la signature XML SHA-256

– avec Microsoft Windows Le JDK [SunMSCapi] n'implémente pas:

● la signature au format brut.● la signature pour le SHA-256.

– le swing ne gère que l'environnement de bureau Gnome.

PKCS11– entièrement configurable : oberthur ID-one IAS ECC

(compatible avec la carte européenne du Citoyen et des standards de signature électronique. La carte est en fin de certification EAL4+ pour la signature électronique).

Firefox– Accès au magasin sur toutes les plateformes (windows,

linux, mac...) via NSS.

7 1LinSign : Démonstration édition standalone

6 étapes pour signer des documents:

Politiques de signature disponibles.

Sélection des fichiers.

Liste des magasins disponibles.

Sélection d'une clef de signature.

« lu et approuvé », signer.

Fichiers signés.

7 2LinSign : Démonstration édition standalone

LinShareOffre de partage de fichiers sécurisé

Matinée Pour ComprendreLinS hare

Sébastien LEVESQUEArchitecte logiciel JavaGroupe [email protected]

7 4

● Genèse de LinShare

● Présentation de LinShare

● Démonstration de LinShare

● Présentation du plugin pour Microsoft Outlook

Agenda

7 5Genèse de LinShare

● Outil de partage simple développé en PHP en 2004

● Demande de la part de l'INSERM en 2008 d'un outil de transfert de fichiers en mode sécurisé

● 1ère version disponible en juin 2009● Octobre 2009 : publication sous licence libre

A n c ie n o u t i l d e p a r t a g e d e L in a g o r a

7 6Présentation de LinShare

LinShare permet de :

● Déposer des fichiers dans son coffre fort électronique

● Partager des fichiers avec des collaborateurs internes ou externes

● Gérer les partages● Sécuriser les échanges● La traçabilité des échanges● Historique et reporting des actions● Intégration et communication avec des applications

externes (Outlook, Thunderbird)

7 7Dépôt de fichiersDépôt/suppression et mise à jour de fichiers.Fonction de coffre-fort électroniqueAjout d’information sur un fichier : commentaires, tags

7 8Partage de fichiers/dossiers

Mise en place de partage vers des collaborateurs internes ou externesPartage par fichiers ou par dossiersAssociation de groupes ou d’utilisateurs à un partagePartage simple ou sécurisé

7 9Gestion des utilisateursCréation de compte invité pour des dépôts temporaires

Gestion des comptes (création, suppression, recherche...)

Gestion des groupes

Import d’utilisateurs et de groupes depuis un annuaire, base de données, Active Directory

8 0Cryptographie

● Disponible dans la version Open Source dès publication

de LinSign début 2010

● Signature électronique de documents (format XAdES,

standard européen)

● Chiffrement par certificat ou par mot de passe● Authentification : SSO, Certificats, Active Directory,

OpenLDAP

● Partage sécurisé par mot de passe temporaire

● Gestion de la politique des mots de passe (longueur,

renouvellement, droit de modification, etc.)

8 1Historique

Traçabilité :– Utilisateurs (historique des actions)– Administrateurs

(audit/reporting/statistique)

8 2Utilisation et partage

API Rest et Web Service pour communiquer avec des composants externes. Plugin pour Outlook et Thunderbird.

8 3Autres fonctionnalités

● Accusé de téléchargement– Simple par courriel

– Signé au format PDF

● Filtre MIME de fichiers● Gestion des quotas utilisateurs● Temps de dépôt de données en relation avec la taille des

fichiers● Compression de données lors de partages multiples

8 4Administration de LinShare

8 5Technique et licence

● Techniques :– Application développée en Java JEE

– Indépendant des bases de données (PostgreSQL, MySQL, Oracle, etc.)

– Indépendant des systèmes d’exploitation (Windows, GNU/Linux, Sun, etc.)

– Nécessite au minimum Tomcat ou un serveur d’applications (JBoss, GlashFish, etc.)

– Intègre le module linSign pour la signature (édition portail).

● Licence libre (open source) : GNU Affero General Public License, version 3

● Version communautaire disponible : http://forge.linpki.org/projects/show/linshare

8 6LinShare en action !

Essayer vous même via http://demo.linpki.org/linShare/

8 7Plugin outlook : accéder aux options

L a b a r r e d 'o u t i ls l in S h a r e d a n s M ic r o s o f t O u t lo o k 2 0 0 3 : é c r i t u r e d u m e s s a g e

8 8Plugin outlook : configuration

8 9Plugin outlook : authentification

9 0Plugin outlook : sélection des fichiers

9 1Plugin outlook : upload vers le serveur

9 2Plugin outlook : le mail sans les pièces jointes

9 3Plugin outlook : le mail du serveur LinShare

séminaire linagora sécurite et identité en open source, novembre 2009

Technology