View
1.749
Download
6
Category
Preview:
Citation preview
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
info@e-xpertsolutions.com | www.e-xpertsolutions.com
La citadelle électroniqueAuthentification PKI
Sylvain Maret(sylvain.maret@e-xpertsolutions.com)
Novembre 2002Version 1.21
Solutions à la clef
Agenda
Authentification à clé publique Challenge Response RSA et DSS Exemple avec SSH
Authentification basée sur les certificats X509 Certificats (X509) CA (ancre de confiance) Révocation Exemple avec SSL
Solutions à la clef
Agenda
Sécurité de la clé privée Génération des clés Stockage de la clé privée Les smartcards Stockage des clés sur un serveur
HSM Web serveur SSL
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
info@e-xpertsolutions.com | www.e-xpertsolutions.com
Authentification à clé publique
Solutions à la clef
Authentification à clé publique
Basé sur les algorithmes à clés publiques Une clé privée Une clé publique Lié mathématiquement
Fournit la non-répudiation Pas de partage de « secret » entre les deux parties
Entre un client et un serveur par exemple
Solutions à la clef
Authentification à clé publique
Deux méthodes pour l’authentification Challenge response avec signature digital d’un nonce Challenge response avec l’encryption d’un nonce
Pas utilisé
Mécanisme d’authentification « off-line » Pas de contact avec un serveur d’authentification Uniquement la copie des clés publiques
« Base de confiance »
Solutions à la clef
Authentification à clé publique: signature digital d’un nonce
Clé privée Clé
publiquenonce
Clé publiquede BOB
BOB
Signature
=
Vérification ? noncesigné
Solutions à la clef
Authentification à clé publique: encryption d’un nonce
Clé privée
Clé publique
nonce
Clé PubliqueDe BOB
BOB
décryption
Encryption nonceencrypté
noncedécrypté
=Vérification ?
Solutions à la clef
Authentification à clé publique: trust direct
Contrôle manuel ou « off-line » de chaque clé publique
Trust direct (même esprit que PGP)Clé
publique
Clé publique
Fingerprint
Contrôle manuel
Solutions à la clef
Authentification à clé publique: algorithme RSA
Rivest, Shamir, Adleman en 1977 Algorithme très connue Fournit les services suivants:
Confidentialité (encryption) Non-répudation (signature)
Algorithme dit « réversible » Longueur de clé jusqu’à 4096 Dans le domaine publique depuis septembre
2000
Solutions à la clef
Authentification à clé publique: algorithme DSS / DSA
Compatible avec le standard du NIST Digital Signature Standard (DSS)
Publié en 1994 Fournit uniquement la non-repudation
Signature Algorithme non « réversible » Bonne performance sur les smartcards
Solutions à la clef
Authentification à clé publique: SSH
Secure Shell Solution de remplacement de telnet, FTP et les
commandes R (Unix) Defacto Standard maintenant
5 millions d’utilisateurs Fournit
Authentification Chiffrement (3DES, AES, Blowfish, etc.) Intégrité (sha1, md5)
Solutions à la clef
Pourquoi utiliser SSH ?
Sniffer
Network
Original TCP Packet
Login: dupont
Password: abc123
Unix HostUnix Host
Telnet to Unix HostTelnet to Unix Host
Solutions à la clef
Authentification avec SSH
Standard ouvert pour l’authentification Username et Password Public Key PKI (smartcard) RSA SecurID PAM Kerberos Etc.
Solutions à la clef
Authentification à clé publique: exemple avec SSH
Génération de la paire de clés sur le client SSH Protection de la clé privée par un PIN
« Upload » de la clé publique sur le serveur Mise à jour de la « base de confiance » Très sensible aux attaques
Configuration SSH serveur pour supporter l’authentification « public Key »
Solutions à la clef
Génération des clés avec le client SSH
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
info@e-xpertsolutions.com | www.e-xpertsolutions.com
Authentification basée sur les certificats X509
Solutions à la clef
Authentification X509: « Man in the middle » attack
Pourquoi utiliser les certificats X509 ? Echange de la clé publique avec un web server…
Direct Trust n’est pas possible !
Solutions à la clef
Authentification X509
Implicit Trust
No more Charly
Autorité decertification
Direct Trust Direct Trust
Solutions à la clef
Authentification X509: définition du certificat
Lien entre une entité et une clé publique Lien entre le monde physique et le monde digital
Ce lien est certifié par une autorité tier Autorité de certification
Trust direct avec l’autorité de certification Trust implicite avec les entités qui possèdent les
certificats Web serveur, Personnes, etc.
Solutions à la clef
Authentification X509: définition du certificat
+
entité
Clé publique
Autorité decertification
Signaturedu certificat
Solutions à la clef
Authentification X509: processus de contrôle simplifié
Clé privée
nonce
Signature
=
Vérification ? noncesigné Alice
Certificat
CertificatAlice
Solutions à la clef
Authentification X509: contrôle complet du certificat
Vérification de la date Vérification de la
signature Contrôle avec la base de
confiance ou ancre de confiance
Vérification de la validité
CertificatsCA
Base de confiance ou ancre de confiance
Vérification ducertificat
VA
Solutions à la clef
Authentification X509: Validation des certificats
Révocation d’un certificat… Vol ou perte du « container » des clés Quitter l’entreprise Etc.
Plusieurs solutions CRL, Delta CRL, etc. Online Check
OCSP (rfc 2560) SCVP
Solutions à la clef
Authentification X509: OCSP
Web ServerAlice
ValidationAuthority
OCSP request
ValidePas valideInconu
Solutions à la clef
Authentification X509: trust direct
Contrôle manuel ou « off-line » de chaque ROOT Trust direct Bootstrapping
Fingerprint
Contrôle manuel
Autorité decertification
Solutions à la clef
Authentification X509: Root CA dans le browser !
Base de confiance du broswer Certificat Root
Solutions à la clef
Authentification X509: SSL
Secure Sockets Layer Protocole de protection « end 2 end »
Encryption Intégrité Authentification
Généralement authentification du serveur SSL Par un certificat de type serveur
Authentification client possible avec un certificat personnel
Solutions à la clef
Authentification X509: SSL
SSL v1 dévellopé par Netscape en 1994 Usage interne chez Netscape
SSL v2 dans les browsers Netscape V 1 et 2 SSL v3 dernière version TLS v1 repris par l’IETF
Ou SSL V3.1
Solutions à la clef
SSL protocol s’implémente entre TCP et les applications
http, telnet, ldap, etc.
Authentification X509: SSL
Solutions à la clef
Authentification X509: SSL
Contrôle du challenge ? Envoie d’un nonce
Contrôle de la date ? Recherche du certificat Root
Dans la base de confiance Contrôle du certificat avec la base de confiance
Vérification de la signature Contrôle de la validité ?
OCSP, CRL, etc.
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
info@e-xpertsolutions.com | www.e-xpertsolutions.com
Sécurité de la clé privée
Solutions à la clef
Sécurité de la clé privée
La clé privée est la base du système Elle doit être unique et vraiment privée Surtout pour la clé signante (non répudation)
Les clés chiffrantes peuvent être sauvergardé Restauration des clés en cas de perte
On utilise généralement deux paires de clés Dual Key Pair
Solutions à la clef
Sécurité de la clé privée: génération des clés
La génération est un processus délicat Basé sur les nombres premiers
Test si la clé est bien un nombre premier La paire de clé doit être unique
Utilisation de PRNG Utilisation de « seed »
Mouvement de la sourie Fréquence de frappe du clavier Etc.
Processus très lent
Solutions à la clef
Sécurité de la clé privée: stockage des clés
Deux grand type de stockage Software
Fichier Virtual Smartcard
Hardware Smartcard, USB, HSM
Solutions à la clef
Sécurité de la clé privée: stockage des clés software
Stockage dans un fichier Norme PKCS#12 avec protection d’un PIN
Dans le container Microsoft ou Netscape Sur une disquette
Lotus Notes (ID file) PGP, etc.
Stockage sur un serveur de smartcard virtuelle Utilise généralement la norme PKCS#12 Web Passport de RSA Security
Solutions à la clef
Sécurité de la clé privée: stockage des clés hardware
Utilisation de support hardware pour le stockage des clés
Options: Stockage uniquement (memory card) Génération des clés « on card » Utilisation de crypto processor
Deux grandes familles Support hardware pour clés personnel Support hardware pour clés serveur
Solutions à la clef
Sécurité de la clé privée: crypto processor
GeneratePublic Key Pair
Card’sPrivate
key
PRNG
Card’sCertificate
EncryptSign
Hardware
Input
Output
+Card’s
Public Key
RetrieveCertificate
Solutions à la clef
Sécurité de la clé privée: les smartcards
Mini ordinateur sans écran et clavier Contient générallement
De la mémoire (RAM, ROM et EEPROM) Un Processeur (CPU) Un Co-Processor Cryptographique Un connecteur standard (ISO 7810)
Carte multi-applications GSM, Carte de crédit, PayTV, etc.
Solutions à la clef
Sécurité de la clé privée: les smartcards et PKI
Stockage des clés (privées et publiques et le certificat X509)
Fournit l’authentification forte Protection par un PIN Protection par biométrie
Deux type de smartcard Mémoire uniquement Crypto-Processor
Protection contre la « brute force attack » PUK
Solutions à la clef
Sécurité de la clé privée: les smartcards
Deux grand standard de communication PKCS #11 ou Cryptoki Netscape, laboratoires RSA
PC/SC et Crypto API http://www.pcscworkgroup.com/ Bull, Gemplus, HP, Intel, Microsoft, Schlumberger
Siemens, SUN, Toshiba
Solutions à la clef
Sécurité de la clé privée: les smartcards
Lecteurs Série USB PCMCIA Clavier
Clés USB
Solutions à la clef
Sécurité de la clé privée: HSM
Stockage des clés privées dans un module hardware (HSM)
Stockage des ROOT CA Stockage des clés serveur SSL Backup des clés d’encryption
Accès au HSM par smartcard Multi smartcard (Restauration des clés)
Génération des clés
Solutions à la clef
Sécurité de la clé privée: exemple d’implémentation
Solutions à la clef
Sécurité de la clé privée: Web serveur SSL
HSM
Web Server SSL
Smartcards
SSL Acceleration
SSL or TLS
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
info@e-xpertsolutions.com | www.e-xpertsolutions.com
Questions?
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
info@e-xpertsolutions.com | www.e-xpertsolutions.com
e-Xpert Solutions SAIntégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel).
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
info@e-xpertsolutions.com | www.e-xpertsolutions.com
Pour plus d’informations
e-Xpert Solutions SASylvain Maret
Route de Pré-Marais 29CH-1233 Bernex / Genève
+41 22 727 05 55info@e-xpertsolutions.com
Recommended