séminaire sécurité linagora mai 2009
TRANSCRIPT
T0034 Arrows
Sminaire Scurit 2009
Michel Maudet Directeur Gnrale Adjoint Yannick Quenec'hdu Responsable ple scurit
Qui sommes nous ?
LINAGORA, socit spcialise en Logiciel Libre, est le leader franais de ce march
Leader dans l'dition de logiciels Open Source
Plus de 160 experts votre service
Leader dans l'dition de logiciels Open Source
Plus de 500 clients dont plus de 60% de trs grands comptes
Un rseau important de partenaires
Un fort soutien au Libre
Implantation
San Francisco
Bruxelles
Paris
Toulouse
Lyon
Marseille
Une couverture nationale (Paris, Lyon, Toulouse, Marseille) et des implantations internationales (Belgique et USA San Francisco)
Nos produits
LINAGORA dite ses propres logiciels Open Source et propose une gamme de services professionnels pour russir les grands projets du Libre
L'activit d'dition Open Source s'articule autour de 4 offres innovantes : LinPKI : Suite applicative de scurit
OBM : Outils de messagerie et de gestion collaborative
LinID : Gestion et de Fdration des identits
LinSM : Solution de service de Management
L'OSSA, l'offre logicielle propre au libre
Une gamme de services complte partir d'un guichet unique pour scuriser votre SI composantes Open Source. La mission de l'OSSA est de vous fournir une expertise personnalise sur vos logiciels libres.Avec un engagement de rsultats, une quipe d'experts vous assiste pour :La rsolution des anomalies rencontres
L'intgration des correctifs aux communauts concernes des paramtrages complexes
L'administration des logiciels supports
Leur intgration dans votre SI
Services professionnels
Cette offre produit est complte par une gamme de services professionnels et de formations visant accompagner les grands utilisateurs de logiciels libres dans le projet de transformation de leur SI.
Service management / Supervision / Gestion de parc BI/ PGIWeb/ portail/ Ged/ Gestion de contenusScurit / IdentitEmbarqu Poste de travailInfrastructure / Base de donnesTravail collaboratif
Chiffres cls
LINAGORA SA au capital social de 2.257.140 Euros
Chiffres cls
Quelques rfrences
Sommaire de notre sminaire
La suite applicative de scurit du groupe LINAGORA
Certificat Prsentation de l'offre de gestion des certificats numriques
Signature Prsentation des composants de signature
Partage LinShare, l'application de partage de fichiers
Retours d'expriences La PKI en self service la Socit Gnrale
Le projet de signature de la rgion de Wallonie : EsignBox
L'offre LinPKI
Les certificats
L'cosystme LinPKI
LinRA Prsentation
LinRA est une autorit d'enregistrement (Registration Authority)
Elle permet de grer le cycle de vie des certificats
Elle est accessible aux utilisateurs, en version Self-service de certificat
Elle est accessible aux administrateurs pour des oprations simples d'administrations (Reporting, rvocation, recouvrement de clefs)
Elle est conue de manire gnrique pour voluer selon les besoins en terme de scurit, de cinmatique, de gestion de formulaire, d'intgration graphique
Elle intgre un composant de squestre et de recouvrement
Les diffrences
LinRA se diffrencie des autres solutions de PKI sur les points suivants: Solution distribue en Open Source
Processus automatique didentification des utilisateurs dans lenvironnement de la PKI
Simplicit des interfaces et des fonctions pour les utilisateurs non initis au PKI
Refonte des composants Windows pour faciliter lintgration des certificats dans les environnements Microsoft
Moteur de cinmatique graphique pour adapter les cinmatiques aux besoins des entreprises
Outils dintgration des gestionnaires didentits pour la gestion des droits sur lentit denrlement (SSO, IAM, etc.)
Provisonning didentits depuis des rfrentiels de donnes
Interface personnalisable (texte, feuille de style, images, etc.)
LinRA en action
EJBCA
EJBCA c'est quoi ?
EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de cls) sous licence OpenSource (LGPL) dveloppe en Java/J2EE. Dveloppe par la socit PrimeKey et rejoint en 2005 par Linagora.
EJBCA bien plus qu'une PKI
EJBCA fournit la fois les fonctions classiques que lon retrouve dans la plupart des PKI du march. En supplment, elle fournit galement un serveur OCSP, un serveur dhorodatage et un serveur de signature. Chaque composant peut tre dploy de manire autonome ou intgre dans EJBCA.
EJBCA un gnrateur de vos besoins
EJBCA a t construit comme un gnrateur, pour permettre de rpondre rapidement et sans dveloppement complmentaire aux contraintes lies aux certificats ou au SI de lentreprise. Le gnrateur permet de crer des profils de certificat, des formats de requte, de personnaliser des cartes puce ou de dongle USB.
Architecture fonctionnelle
La diffrence
Premire solution de PKI au monde en terme de diffusion Plus de 45 000 tlchargements annuels
Plus de 6000 rfrences connues
Permet de s'adapter sans dveloppement complmentaire tous les contextes fonctionnelsVia ses profils de certificats, d'entits et de Token
Le moteur de Workflow de LinRA
Respect des standards et des normes X509v3 et CRL
IETF : CMP (Certificate Management Protocol) Interoprabilit entre PKI
W3C : Web Service et XKMS (XML Key Management Service)
Indpendance en terme de systmes d'exploitation,
Support des plus grandes bases de donnes et des serveurs d'applications
HTMF
Le gestionnaire de support cryptographique permet de grer le cycle de vie complet de cartes puces ou Token dans une socit ou organisation.
ToLiMA est la premire application compose de modules qui utilise le standard HTMF Hard Token Management FrameWork pour la gestion des imprimantes de cartes puces.
Les fonctionnalits non exhaustives de la suite applicative ToLiMa sont : mission de carte : temporaire, ordinaire, projet
Dblocage de code PIN sans exposer le code PUK pour les utilisateurs et les administrateurs
Rvocation de carte
Renouvellement de carte
Activation et dsactivation de carte
Il est aussi possible dmettre et de bloquer des cartes sur la base dun systme dapprobation.
Personnalisation graphique et lectronique
Architecture
Les diffrences
Analyseur automatique de carte, permet denclencher automatiquement des scnarios lors de linsertion de carte puce. Les diffrences essentiellement entre ToLIMa et les autres CMS du march, porte sur 5 grands aspects:
Solution totalement Open Source ;
Respect des standards HTMF ;
Gestion automatise du cycle de vie des certificats ;
Gestionnaire de Workflow ;
Indpendant des systmes dexploitation ;
Ne ncessite aucun dploiement sur les postes des usagers.
?
Vous avez des Questions??
?
Notre offre
Signature
Notre offre de signature
Archivage
LinSign
Le client de signature a pour objectif de permettre la signature depuis le poste du clientCe composant est conu dans un esprit de gnricit et de modularit vis--vis des applications. il peut-tre mis en uvre de 3 faons diffrentesService : Il sagit de mettre en place ce composant en tant que service commun exploit et autonome. Ce composant est alors vu comme un service global dfini par ses interfaces publiques (WebService)
Produit : ce composant est utilis comme un produit prt l'emploi.
Bote outils : Il sagit pour un projet applicatif de pouvoir sapproprier ce composant en intgrant, voire en les adaptant ses propres besoins dans le cadre du dveloppement dune lapplication.
Ce dispositif de signature fonctionne selon plusieurs modes:En mode connect sur les navigateurs standards du march.
En mode autonome sur un systme dexploitation ou des clients lourds, tels que OpenOffice.
En mode service embarqu dans des applications mtiers.
Architecture
Les modules de LinSign
Le coeur de LinSign
Les diffrences
Solution Open Source
Support de la signature Xades (Signature lgale) et XML-Dsign, prochainement CADES
Dveloppement par composant (Pas de modification du coeur)Permet d'ajouter de nouveaux formats de signature
Permet le support de nouveaux navigateurs
Permet d'ajouter de nouvelles fonctionnalits
Indpendant des systmes d'exploitation
Intgration dans les clients lourds, en mode autonome ou dans des applications Web
LinCheck
Application de vrification de signature
Permet de vrifier :la conformit d'une signature
La validit d'un certificatSmantique
Statut
Usage
Dialogue en mode REST et Web Service
Vrification des formats :Xades T, C, X, X-L et XMLDsign)
Horodatage
SignServer
SignServer est un serveur de signature modulaire distribu sous licence OpenSource. Il est dvelopp en Java/J2EE. SignServer est le premier serveur de signature industriel distribu sous licence OpenSource
Il permet de grer la signature par lot, pour apposer par exemple, un cachet serveur sur la signature d'un utilisateur
SignerServer est un serveur de signature multi-protocoles, cest--dire quil peut-tre utilis comme :Serveur dhorodatage (RFC3161),
Serveur de signature XML (Xades T, C, X, X-L et XMLDsign),
Serveur pour la signature des passeports de nouvelle gnration (MRTD Machine Readable Travel Documents),
Pour la signature de document OpenOffice et PDF.
En complment du serveur de signature, SignServer offre les fonctionnalits:Service de validation des certificats numriques
Moteur pour crer des scnarios dautorisation et de validation
Gestion de groupe de clefs symtriques et asymtriques
?
Vous avez des Questions??
?
Partage
Notre offre de partage scuris
Partage
LinShare
Use&Share
Application de partageDe fichiers orientsweb
Spcialement conue pour faciliter l'intgration au seindes entreprises par une interface intuitive, zro formation et une ergonomie simple prendre en main
Client LinShare pour l'intgration sur les postes clients
Permet une intgration avecLinShare via des applications lourdes telles quOutlook et Thunderbird.
LinShare
LinShare permet de :Dposer des fichiers dans son espace (coffre fort)
Partager de fichiers avec des collaborateurs internes ou externes
Grer les partages
Scuriser les changes
Assurer la traabilit des changes
De fournir un historique et un reporting des actions
Et plus encore....
Les diffrences
Solution en mode OnSite et Online
Ergonomie trs simple ne ncessite pas de formation
Cinmatique de partage simple et rapide
Conduite de changement rduite au minimum
Permet la signature lgale de document
Chiffrement des fichiers
Intgration avec les anti-virus
Partage avec des utilisateurs sans compte sur l'application
Solution Open Source
Et encore plein de surprises...
LinShare en action
Use&Share
Use&Share est le client LinShare pour les postes de travail
Peut-tre dploy de manire transparente via un navigateur Web
Dialogue avec LinShare en mode REST
Support des systmes d'exploitation : Linux, Apple, Windows
S'intgre de manire transparente dans les clients lourds tels quOutlook et ThunderBird
Bientt dans OpenOffice et Word.
?
Vous avez des Questions??
?
Projet client
Retour d'exprience
Socit Gnrale
Le projet :Phase 1 :Internalisation des PKI du groupe sur une seule instance
Phase 2 : Dlivrance de 120 000 certificats de chiffrement
Distribution en mode guichet (self-service)
Authentification des utilisateurs par rapport un annuaire LDAP
Rcupration des informations utilisateurs lors de l'identification en mode SSO (Socit Gnrale) sur le guichet
Simplification de l'intgration des certificats dans l'environnement Windows
Le projet
Activit :Phase 1 :Dfinition de l'architecture technique de la nouvelle infrastructure de PKI
Migration des PKI existantes vers la PKI EJBCA
Script d'intgration des certificats existants
Phase 2 :Spcifications fonctionnelles et techniques du projet de dveloppement
Dveloppement d'un self service de certificat
Intgration SSO Socit Gnrale dans le self-service
Intgration annuaire LDAP Socit Gnrale dans le self-service
Forte contrainte concernant l'ergonomie de l'application
MthodesProjet en mthode Agile : SCRUM
Spcifications UML
Charge1200 jours de projet
Architecture fonctionnelle du guichet
Architecture technique du projet
Rsultat
Projet ralis selon le planning prvisionnel
Trs bon retour sur la mthode de projet Agile, ScrumRecette client chaque itration
Travail important sur l'ergonomie de l'application
Dveloppement du projet LinRA et mise en Open Source du rsultat
Dveloppement de composant d'intgration de certificat dans l'environnement Windows, Outlook et carte puce avec une ergonomie simplifie. Mise en Open Source du dveloppement
Migration de deux produits de PKI vers EJBCA Activit de 20 jours
?
Vous avez des Questions??
?
Merci de votre attentionNous contacter :Yannick Quenec'hdu et Michel [email protected]
Nos sites :www.linagora.comwww.linpki.orgwww.linshare.org
Page