Upload
leandre-bonin
View
135
Download
7
Embed Size (px)
Citation preview
Messagerie Messagerie sécurisée avec sécurisée avec
S/MIMES/MIME
Jean-Yves PoublanJean-Yves PoublanMicrosoft FranceMicrosoft France
AgendaAgenda
Principes S/MIMEPrincipes S/MIME Utilisation d’Office Outlook, Outlook Express, Utilisation d’Office Outlook, Outlook Express,
OWA…OWA… InteropérabilitéInteropérabilité Récupération des clésRécupération des clés
Questions/réponsesQuestions/réponses
3
Standard S/MIMEStandard S/MIME SecureSecure MIME MIME
Version 2 (1998) - RFC 2311, RFC 2312Version 2 (1998) - RFC 2311, RFC 2312 Signed messageSigned message Opaque signed messageOpaque signed message Encrypted messageEncrypted message
Version 3 (1999) - RFC 2632, RFC 2633Version 3 (1999) - RFC 2632, RFC 2633 Support DSS/DHSupport DSS/DH Dual key (extension Dual key (extension Key UsageKey Usage)) Security LabelsSecurity Labels et et Signed ReceiptsSigned Receipts (RFC 2634) (RFC 2634) Triple WrappingTriple Wrapping
AlgorithmesAlgorithmes RSA, DSS, DHRSA, DSS, DH SHA1, MD5, RC2, DES, 3DESSHA1, MD5, RC2, DES, 3DES
S/MIME s’inscrit dans une logique PKIS/MIME s’inscrit dans une logique PKI Certificats X509v3, RFC 2459/3280Certificats X509v3, RFC 2459/3280 PKCS#1,7,8,10,12, CMS, CMC (PKCS#1,7,8,10,12, CMS, CMC (Certificate Management Protocol Certificate Management Protocol
over CMSover CMS))
4
Standard S/MIMEStandard S/MIMECorps MIME
Content-Typeapplication/pkcs7-
mime
Content-Typemultipart/signed
smime-typeenveloped-
data
pkcs#7/CMS Base 64
smime.p7m
smime-typesigned-data
pkcs#7/CMS Base 64
smime.p7m
Texte en clair…
Signature détachée
pkcs#7/CMS Base 64
smime.p7s
Content-Typetext/plain
Content-Typeapplication/pkcs7-
signature
Corps MIME
Corps MIME
Message opaque
Messageclair
Message chiffré ou
signé/chiffré
Nécessite client S/MIME
Message signé
Les entêtes RFC 822 (e.g. objet du message) ne sont pas protégées (ni signature, ni confidentialité). Les
pièces jointes elles sont protégées.
5
S/MIME message chiffréS/MIME message chiffré
To: "Bill" <[email protected]> Subject: message chiffre Date: Sun, 26 Feb 2006 18:30:10 +0100 MIME-Version: 1.0
Content-Type: application/pkcs7-mime;smime-type=enveloped-data;name=smime.p7m
Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7m
rfvbnj756tbBghyHhHUujhJhjH77n8HHGT9HG4VQpfyF467GhIGfHfYT6 7n8HHGghyHhHUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H f8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfyF4 0GhIGfHfQbnj756YT64V
6
S/MIME signature opaqueS/MIME signature opaque
Content-Type: application/pkcs7-mime;smime-type=signed-data;name=smime.p7m
Content-Transfer-Encoding: base64Content-Disposition: attachment; filename=smime.p7m
567GhIGfHfYT6ghyHhHUujpfyF4f8HHGTrfvhJhjH776tbB9HG4VQbnj777n8HHGT9HG4VQpfyF467GhIGfHfYT6rfvbnj756tbBghyHhHUujhJhjHHUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H7n8HHGghyHh6YT64V0GhIGfHfQbnj75
7
S/MIME signature en clairS/MIME signature en clair
Content-Type: multipart/signed;protocol="application/pkcs7-signature";micalg=sha1; boundary=boundary42
--boundary42Content-Type: text/plain
This is a clear-signed message.
--boundary42Content-Type: application/pkcs7-signature; name=smime.p7sContent-Transfer-Encoding: base64Content-Disposition: attachment; filename=smime.p7sghyHhHUujhJhjH77n8HHGTrfvbnj756tbB9HG4VQpfyF467GhIGfHfYT64VQpfyF467GhIGfHfYT6jH77n8HHGghyHhHUujhJh756tbB9HGTrfvbnjn8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfyF47GhIGfHfYT64VQbnj756
--boundary42--
8
Versions actuelles « S/MIME capable »Versions actuelles « S/MIME capable »
Office Outlook 2003 SP1 (Office 11) – Office 12Office Outlook 2003 SP1 (Office 11) – Office 12 Outlook Express 6 (Windows XP SP2) - Windows Mail (Vista)Outlook Express 6 (Windows XP SP2) - Windows Mail (Vista) Exchange 2003 SP2 – OWAExchange 2003 SP2 – OWA
Contrôle ActiveX S/MIME pour OWAContrôle ActiveX S/MIME pour OWA Pocket Outlook Windows Mobile 5.0 (OS Windows CE 5.0)Pocket Outlook Windows Mobile 5.0 (OS Windows CE 5.0)
http://www.microsoft.com/windowsmobile/5/default.mspxhttp://www.microsoft.com/windowsmobile/5/default.mspx http://www.microsoft.com/windowsmobile/articles/msfp.mspxhttp://www.microsoft.com/windowsmobile/articles/msfp.mspx
Ces clients de messagerie se veulent conformes au standard S/MIME V3 à Ces clients de messagerie se veulent conformes au standard S/MIME V3 à partir de:partir de: Outlook 2000 SR1Outlook 2000 SR1 Outlook Express 5.01Outlook Express 5.01 Contrôle ActiveX S/MIME pour OWA (Exchange 2003)Contrôle ActiveX S/MIME pour OWA (Exchange 2003)
HistoriqueHistorique Office 2000 – Outlook 2000, Outlook 2000 SR1 – Version 9Office 2000 – Outlook 2000, Outlook 2000 SR1 – Version 9 Office 2002 – Outlook XP – Version 10Office 2002 – Outlook XP – Version 10 Office 2003 – Outlook 2003 – Version 11Office 2003 – Outlook 2003 – Version 11
Outlook Express 5.0, 5.01, 5.5Outlook Express 5.0, 5.01, 5.5 Outlook Express 6.0 (Windows XP)Outlook Express 6.0 (Windows XP)
Versions clients messagerieVersions clients messagerie
Nouveau
9
HistoriqueHistorique Exchange Server 5.0/Outlook 97Exchange Server 5.0/Outlook 97
Advanced Security - Advanced Security - Northern Telecom, Inc.'s Entrust TechnologiesNorthern Telecom, Inc.'s Entrust Technologies Gestion des clés et des certificats par KMS (séquestre)Gestion des clés et des certificats par KMS (séquestre) Certificats X509v1 – publication annuaire ExchangeCertificats X509v1 – publication annuaire Exchange Chiffrement/signature messages clé publique avec CAST3 ou DES/MD5, et RSAChiffrement/signature messages clé publique avec CAST3 ou DES/MD5, et RSA Utilise ses propres CSPsUtilise ses propres CSPs
Exchange Server 5.5/Outlook 98Exchange Server 5.5/Outlook 98 Support S/MIME v2Support S/MIME v2 Gestion des clés par KMS (séquestre)Gestion des clés par KMS (séquestre) Protocole d’enrôlement (KMS)Protocole d’enrôlement (KMS)
S’appuie sur Certificate Server pour la gestion des certificatsS’appuie sur Certificate Server pour la gestion des certificats Certificats X509v3 – publication annuaire ExchangeCertificats X509v3 – publication annuaire Exchange S’appuie sur les CSP de la plateformeS’appuie sur les CSP de la plateforme
Exchange Server 2000Exchange Server 2000 Annuaire d’Active DirectoryAnnuaire d’Active Directory Gestion des clés par KMS (séquestre)Gestion des clés par KMS (séquestre) Certificate Server publie les certificats dans Active DirectoryCertificate Server publie les certificats dans Active Directory
Templates ExchangeUser ExchagneUserSigningTemplates ExchangeUser ExchagneUserSigning Exchange Server 2003Exchange Server 2003
N’est pas impliqué dans la partie PKI, sauf validation certificats OWAN’est pas impliqué dans la partie PKI, sauf validation certificats OWA Pas de KMS, pas de protocole d’enrôlementPas de KMS, pas de protocole d’enrôlement
Messagerie sécurisée S/MIMEMessagerie sécurisée S/MIMER
ôle
serv
eu
r décro
issan
t con
cern
an
t la
PK
I
10
Messagerie sécurisée S/MIMEMessagerie sécurisée S/MIME Essentiellement une fonction du clientEssentiellement une fonction du client
Client MAPI (Office Outlook)Client MAPI (Office Outlook) Clients POP3/IMAP4 – Outlook Express, autres…Clients POP3/IMAP4 – Outlook Express, autres…
Le serveur Exchange assureLe serveur Exchange assure Transport/stockage des messages S/MIMETransport/stockage des messages S/MIME Recherche et validation des certificats des correspondants pour Recherche et validation des certificats des correspondants pour
OWAOWA Paramétrage du contrôle S/MIME pour OWA (entrées registre)Paramétrage du contrôle S/MIME pour OWA (entrées registre)
SmartCardOnly, AlwaysSignSmartCardOnly, AlwaysSign, , AlwaysEncryptAlwaysEncrypt, , ClearSign, ClearSign, defaultSigningAlgorithm, TripleWrap, defaultSigningAlgorithm, TripleWrap, EncryptionAlgorithmsEncryptionAlgorithms
Programmes « serveur » pouvant être affectés par S/MIMEProgrammes « serveur » pouvant être affectés par S/MIME Event Sink – altération de messages peut invalider la signatureEvent Sink – altération de messages peut invalider la signature
Scanners anti-virusScanners anti-virus A partir de Exchange Server 2003 SP1: Virus Scanning API 2.5 A partir de Exchange Server 2003 SP1: Virus Scanning API 2.5
permet au scanner d’accéder aux messages signés S/MIME sans permet au scanner d’accéder aux messages signés S/MIME sans avoir à les décoderavoir à les décoder
Chiffrement est incompatible avec les anti-virusChiffrement est incompatible avec les anti-virus
11
Le serveur Exchange: un rôle Le serveur Exchange: un rôle décroissant?décroissant?
Pour la gestion des clés et de l’infrastructure PKI Pour la gestion des clés et de l’infrastructure PKI peut-être…peut-être… Mais pas pour la messagerie sécurisée!Mais pas pour la messagerie sécurisée!
OWAOWA
BiztalkBiztalk
Messagerie sécurisée GatewayMessagerie sécurisée Gateway Server Exchange 12 (Fonction Server Exchange 12 (Fonction EdgeEdge)) Chiffrement/authentification serveur à serveurChiffrement/authentification serveur à serveur
12
Attributs stockage certificatsAttributs stockage certificatsLDAP (InetOrgPerson – RFC 2798), Active Directory (User Object)LDAP (InetOrgPerson – RFC 2798), Active Directory (User Object)
userCertificateuserCertificate Encodage DEREncodage DER Attribut utilisée par la CA Windows pour publier les certificatsAttribut utilisée par la CA Windows pour publier les certificats User and ComputersUser and Computers – – Published CertificatesPublished Certificates Attribut préféré pour intégration S/MIME avec une PKI d’entrepriseAttribut préféré pour intégration S/MIME avec une PKI d’entreprise
userSMIMECertificateuserSMIMECertificate Format PKCS#7Format PKCS#7 Prévu pour S/MIME en dehors d’une infrastructure PKI d’entreprisePrévu pour S/MIME en dehors d’une infrastructure PKI d’entreprise Stocke la chaine complète (sauf racine) et Stocke la chaine complète (sauf racine) et capabilitiescapabilities
Permet un fonctionnement hors AIAPermet un fonctionnement hors AIA Non accessible par les outils d’admin AD ou la MMC certificatesNon accessible par les outils d’admin AD ou la MMC certificates Par défaut non présent dans Active Directory global cachePar défaut non présent dans Active Directory global cache
13
Office Outlook 2003Office Outlook 2003
Recherche d’un certificat S/MIME de chiffrementRecherche d’un certificat S/MIME de chiffrement
Correspondant Correspondant Global Address ListGlobal Address List Dans Active Directory Dans Active Directory user objectuser object Dans Offline Address BookDans Offline Address Book
C:\Documents and Settings\jeanypo\Local Settings\Application Data\Microsoft\C:\Documents and Settings\jeanypo\Local Settings\Application Data\Microsoft\OutlookOutlook
Correspondant Correspondant ContactsContacts Dans la fiche du contactDans la fiche du contact
Correspondant annuaire LDAPCorrespondant annuaire LDAP Dans annuaire LDAPDans annuaire LDAP
Attributs (dans cet ordre)Attributs (dans cet ordre) userSMIMECertificateuserSMIMECertificate
Format PKCS#7Format PKCS#7 Eventuellement capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)Eventuellement capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)
Attribut signé par la clé privée du titulaire du certificatAttribut signé par la clé privée du titulaire du certificat userCertificateuserCertificate
Format encodage DERFormat encodage DER AD Users and Computer onglet “Published Certificates”AD Users and Computer onglet “Published Certificates”
14
Office Outlook 2003Office Outlook 2003 Get Digital IDGet Digital ID
Pointe sur une page Web d’enrôlementPointe sur une page Web d’enrôlement Typiquement, les certificats obtenus sont stockés dans le Typiquement, les certificats obtenus sont stockés dans le
magasin personnel (voir xenroll MSDN)magasin personnel (voir xenroll MSDN) Peut se désactiver ou se customiserPeut se désactiver ou se customiser
Microsoft Office 2003 Editions Resource KitMicrosoft Office 2003 Editions Resource Kit ( (http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=21757=21757))
Publish to GALPublish to GAL Publication des certificats S/MIME du magasin personnel vers Publication des certificats S/MIME du magasin personnel vers
Active DirectoryActive Directory Attribut userSMIMECertificateAttribut userSMIMECertificate
Format PKCS#7 – inclut la chaine (sauf racine)?Format PKCS#7 – inclut la chaine (sauf racine)?• Permet un fonctionnement hors AIAPermet un fonctionnement hors AIA
Publie les capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)Publie les capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)• Attribut signé par la clé privée de l’utilisateurAttribut signé par la clé privée de l’utilisateur• Déduites du CSP hébergeant la clé du certificatDéduites du CSP hébergeant la clé du certificat
Attribut userCertificateAttribut userCertificate Format encodage DERFormat encodage DER
Peut se désactiverPeut se désactiver A faire dans un environnement PKI d’entreprise pour lequel A faire dans un environnement PKI d’entreprise pour lequel
l’utilisateur ne gère pas ses certificatsl’utilisateur ne gère pas ses certificats E.g. PKI Windows Active Directory (AC Certificate Services en mode E.g. PKI Windows Active Directory (AC Certificate Services en mode
EnterpriseEnterprise))
15
Outlook ExpressOutlook Express
Recherche d’un certificat S/MIME de chiffrementRecherche d’un certificat S/MIME de chiffrement
Correspondant Correspondant Windows Address Book Windows Address Book Dans la fiche du contactDans la fiche du contact
Contient les capacités S/MIMEContient les capacités S/MIME Obtenues depuis un message signé (SMIMECapabilities)Obtenues depuis un message signé (SMIMECapabilities)
Correspondant annuaire LDAPCorrespondant annuaire LDAP Dans annuaire LDAPDans annuaire LDAP AttributsAttributs
userSMIMECertificateuserSMIMECertificate userCertificateuserCertificate
16
Contrôle S/MIME OWAContrôle S/MIME OWA
Recherche d’un certificat S/MIME de chiffrementRecherche d’un certificat S/MIME de chiffrement
Recherche du premier certificat valide dansRecherche du premier certificat valide dans userCertificate user object Active DirectoryuserCertificate user object Active Directory userSMIMECertificate user object Active DirectoryuserSMIMECertificate user object Active Directory userCertificate contact object Active Directory (Contacts userCertificate contact object Active Directory (Contacts
folder)folder) userSMIMECertificate contact object Active Directory userSMIMECertificate contact object Active Directory
(Contacts folder)(Contacts folder)
Sélectionne le certificat avec l’usage (Key Usage et Sélectionne le certificat avec l’usage (Key Usage et EKU) le plus restrictifEKU) le plus restrictif
Note: OWA ne permet de rajouter un certificat pour Note: OWA ne permet de rajouter un certificat pour un contact (utiliser Office Outlook)un contact (utiliser Office Outlook)
17
Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Client effectueClient effectue
La gestion des certificats de l’utilisateur et sa clé privéeLa gestion des certificats de l’utilisateur et sa clé privée Les opérations à base de clé publique/privéeLes opérations à base de clé publique/privée
Clé privée - déchiffrement/signatureClé privée - déchiffrement/signature Clé publique - chiffrement/vérification de signatureClé publique - chiffrement/vérification de signature
Serveur effectue la validation des certificats des Serveur effectue la validation des certificats des correspondantscorrespondants Magasins des racines de confiance sur les serveurs Magasins des racines de confiance sur les serveurs
doivent contenir les certificats des CA racinesdoivent contenir les certificats des CA racines Connectivité pour la vérification de la révocationConnectivité pour la vérification de la révocation
Typiquement HTTP ou LDAPTypiquement HTTP ou LDAP
Pièces jointes des messages S/MIME sont effacées Pièces jointes des messages S/MIME sont effacées du cache IEdu cache IE
20
Format des certificats S/MIMEFormat des certificats S/MIME X509v3 (RFC 3280)X509v3 (RFC 3280) Champ Champ SubjectSubject contient adresse e-mail RFC 822 contient adresse e-mail RFC 822
Exemple Exemple [email protected][email protected] Ou extension Ou extension Subject Alternative NameSubject Alternative Name contient adresse e-mail contient adresse e-mail
RFC 822, exemple RFC 822, exemple RFC822 [email protected] [email protected] Exigence débrayable Outlook et OWAExigence débrayable Outlook et OWA
Champ Champ Key UsageKey Usage doit contenir Digital Signature et/ou doit contenir Digital Signature et/ou Data/Key Encipherment selon l’usage du certificat S/MIME Data/Key Encipherment selon l’usage du certificat S/MIME (signature et/ou confidentialité)(signature et/ou confidentialité)
Si présente, extension Si présente, extension Extended Key UsageExtended Key Usage doit indiquer doit indiquer Secure Email (1.3.6.1.5.5.7.3.4)Secure Email (1.3.6.1.5.5.7.3.4)
Extension AIA – si présente, facilite la construction de la chaine Extension AIA – si présente, facilite la construction de la chaine de certificats tout en permettant une taille des messages de certificats tout en permettant une taille des messages réduiteréduite Pour Outlook et OWAPour Outlook et OWA
Extension CDP – si présente, facilite la vérification de la Extension CDP – si présente, facilite la vérification de la révocationrévocation
Extension Extension SMIME CapabilitiesSMIME Capabilities – si présente, facilite le choix – si présente, facilite le choix d’un algorithme fort tout en maintenant la lisibilitéd’un algorithme fort tout en maintenant la lisibilité Office Outlook seulementOffice Outlook seulement
21
PKI non Windows pour Office Outlook PKI non Windows pour Office Outlook 20032003
En une slide…En une slide… Emettre des certificats S/MIME pour les utilisateursEmettre des certificats S/MIME pour les utilisateurs Infrastructure PKIInfrastructure PKI Mettre en œuvre les extensions AIA et CDP ainsi que la Mettre en œuvre les extensions AIA et CDP ainsi que la
connectivité réseau nécessaire (LDAP, ou HTTP)connectivité réseau nécessaire (LDAP, ou HTTP)
Déployer le certificat de la CA racine sur les postesDéployer le certificat de la CA racine sur les postes Magasin des autorités racines de confianceMagasin des autorités racines de confiance
Déployer les certificats S/MIME dans l’annuaireDéployer les certificats S/MIME dans l’annuaire Active Directory ou annuaire LDAPActive Directory ou annuaire LDAP Utiliser de préférence l’attribut Utiliser de préférence l’attribut userCertificatesuserCertificates S’assurer que S’assurer que userSMIMECertificatesuserSMIMECertificates ne contient pas de ne contient pas de
certificatscertificats
Déployer/configurer les Déployer/configurer les security policysecurity policy de Outlook de Outlook http://office.microsoft.com/en-us/assistance/HA011402891033.ahttp://office.microsoft.com/en-us/assistance/HA011402891033.a
spxspx AlwaysEncrypt, AlwaysSign, ClearSign, PublishtoGalDisabled, AlwaysEncrypt, AlwaysSign, ClearSign, PublishtoGalDisabled,
EnrollPageURL, MinEncKey,EnrollPageURL, MinEncKey, etc… etc… Exigence de match entre les adresses e-mail des correspondants Exigence de match entre les adresses e-mail des correspondants
et celles des certificatset celles des certificats
22
PKI non Windows pour Outlook ExpressPKI non Windows pour Outlook ExpressEn une slide…En une slide…
Emettre des certificats S/MIME pour les utilisateursEmettre des certificats S/MIME pour les utilisateurs Infrastructure PKIInfrastructure PKI Respect format (Key Usage et EKU) et adresse e-mailRespect format (Key Usage et EKU) et adresse e-mail Mettre en œuvre les extensions AIA et CDP ainsi que la Mettre en œuvre les extensions AIA et CDP ainsi que la
connectivité réseau nécessaire (LDAP, ou HTTP)connectivité réseau nécessaire (LDAP, ou HTTP) Par défaut, Outlook Express fonctionne sansPar défaut, Outlook Express fonctionne sans
Inclusion de la chaine complèteInclusion de la chaine complète Pas de vérification de la révocationPas de vérification de la révocation
Déployer le certificat de la CA racine sur les postesDéployer le certificat de la CA racine sur les postes Magasin des autorités racines de confianceMagasin des autorités racines de confiance
Déployer les certificats S/MIME dans l’annuaire Déployer les certificats S/MIME dans l’annuaire LDAPLDAP Attributs Attributs userCertificates, userSMIMECertificatesuserCertificates, userSMIMECertificates
23
PKI non Windows pour OWA d’Exchange PKI non Windows pour OWA d’Exchange 20032003
En une slide…En une slide… Emettre des certificats S/MIME pour les utilisateursEmettre des certificats S/MIME pour les utilisateurs
Infrastructure PKIInfrastructure PKI Mettre en œuvre les extensions AIA et CDP ainsi que la Mettre en œuvre les extensions AIA et CDP ainsi que la
connectivité réseau nécessaire (LDAP, ou HTTP) pour le serveurconnectivité réseau nécessaire (LDAP, ou HTTP) pour le serveur
Déployer le certificat de la CA racine sur les postes et Déployer le certificat de la CA racine sur les postes et serveurs exchangeserveurs exchange Magasin des autorités racines de confianceMagasin des autorités racines de confiance
Déployer les certificats S/MIME dans l’annuaireDéployer les certificats S/MIME dans l’annuaire Active DirectoryActive Directory Utiliser de préférence l’attribut Utiliser de préférence l’attribut userCertificatesuserCertificates S’assurer que S’assurer que userSMIMECertificatesuserSMIMECertificates ne contient pas de ne contient pas de
certificats (dans le cas d’une mixité avec Outlook 2003)certificats (dans le cas d’une mixité avec Outlook 2003)
Déployer/configurer les options de S/MIME OWA au niveau du Déployer/configurer les options de S/MIME OWA au niveau du serveurserveur AlwaysSign, AlwaysEncryptAlwaysSign, AlwaysEncrypt……
24
Echanges entre organisationsEchanges entre organisationsDeux approches possiblesDeux approches possibles
Racine communeRacine commune Exemple racine commerciale publiqueExemple racine commerciale publique
GTE CyberTrust Global RootGTE CyberTrust Global Root
Certification croiséeCertification croisée On certifie les CA tierces desquelles on souhaite accepter On certifie les CA tierces desquelles on souhaite accepter
des certificatsdes certificats Dans ce certificat pour la CA tierce, on place des contraintesDans ce certificat pour la CA tierce, on place des contraintes
E.g. un certificat tiers pourra être accepté pour le courrier E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, électronique (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages.même si le certificat spécifie les deux usages.
Certification croiséeCertification croisée Deux hiérarchies ce certifient mutuellementDeux hiérarchies ce certifient mutuellement N hiérarchies se certifient via un relais (bridge)N hiérarchies se certifient via un relais (bridge)
25
Le modèle de confiance traditionnelLe modèle de confiance traditionnel
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Contoso’s Trusted Root
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Contoso Consulting
Jim
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
26
Le modèle de confiance traditionnelLe modèle de confiance traditionnel
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Issuer:NWindCASubject: AliceIssuer:NWindCASubject: Alice
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Northwind Traders Contoso Consulting
Jim
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Northwind Traders Untrusted Root
Jim
27
Certification croiséeCertification croisée
ContosoConsulting
ContosoConsulting
Issuer: PolicyCASubject: BobIssuer: PolicyCASubject: Bob
Issuer: PartnerCASubject: PolicyCAIssuer: PartnerCASubject: PolicyCA
Issuer: PartnerCASubject: PartnerCAIssuer: PartnerCASubject: PartnerCA
Issuer: IssuingCASubject: AliceIssuer: IssuingCASubject: Alice
NorthwindTraders
NorthwindTraders
Issuer: CorpCASubject: CorpCAIssuer: CorpCASubject: CorpCA
Issuer: ContCASubject: NWindRootIssuer: ContCASubject: NWindRoot
Issuer: CorpCASubject: IssuingCAIssuer: CorpCASubject: IssuingCA
Contoso’s Trusted Root
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Issuer: NWindCASubject: ContRootIssuer: NWindCASubject: ContRoot
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Issuer: ContCASubject: NWindRootIssuer: ContCASubject: NWindRoot
29
Lecture des anciens message Lecture des anciens message chiffréschiffrés
Les clés privées doivent être présentes sur le poste Les clés privées doivent être présentes sur le poste (disque dur, ou carte à puce)(disque dur, ou carte à puce)
Issuer/Serial NumberIssuer/Serial Number Le message fait référence au certificat de chiffrementLe message fait référence au certificat de chiffrement
Optionnellement Optionnellement Subject Key IdentifierSubject Key Identifier - Contrôle S/MIME pour - Contrôle S/MIME pour OWA OWA
Architecture particuliersArchitecture particuliers Les utilisateurs doivent sauvegarder leurs clés/certificats de Les utilisateurs doivent sauvegarder leurs clés/certificats de
chiffrement – format PKCS#12 (.pfx)chiffrement – format PKCS#12 (.pfx) Outlook 2003 – Outlook 2003 – Tools/Options/Security/Import/Export…Tools/Options/Security/Import/Export…
Environnement d’entrepriseEnvironnement d’entreprise Séquestre des clés de chiffrement par l’infrastructure PKISéquestre des clés de chiffrement par l’infrastructure PKI L’administrateur PKI (ou agent de récupération si séparation L’administrateur PKI (ou agent de récupération si séparation
des rôles) fournit aux utilisateurs leurs anciennes clés au des rôles) fournit aux utilisateurs leurs anciennes clés au format pfxformat pfx
31
Best PracticesBest Practices PKI, PKI, PKI…PKI, PKI, PKI…
Hiérarchie de CAHiérarchie de CA Emission/RenouvellementEmission/Renouvellement RévocationRévocation RécupérationRécupération Clé dual – chiffrement/signatureClé dual – chiffrement/signature
End userEnd user Savoir examiner un certificatSavoir examiner un certificat Pérennité des donnéesPérennité des données
Sauvegarde des clésSauvegarde des clés Récupération du mot de passe (Windows XP)Récupération du mot de passe (Windows XP)
Attention au sujet du message (ni confidentialité, ni Attention au sujet du message (ni confidentialité, ni signature)signature) Les pièces jointes elles sont protégéesLes pièces jointes elles sont protégées
33
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
36
Office Outlook 2003Office Outlook 2003Choix de l’algorithmeChoix de l’algorithme
En cas de capacités connues, favorise l’algorithme le plus En cas de capacités connues, favorise l’algorithme le plus fortfort SMIMECapabilitiesSMIMECapabilities – Attribut signé OID 1.2.840.113549.1.9.15 – Attribut signé OID 1.2.840.113549.1.9.15
Attribut d’un message signé déjà reçuAttribut d’un message signé déjà reçu Attribut dans Attribut dans userSMIMECertificateuserSMIMECertificate Attribut d’un certificat S/MIMEAttribut d’un certificat S/MIME
En cas de capacités non déterminées, favorise la lisibilité En cas de capacités non déterminées, favorise la lisibilité RC2 40 bitRC2 40 bit Paramétrable avec Paramétrable avec UseAlternateDefaultEncryptionAlg (DWORD)UseAlternateDefaultEncryptionAlg (DWORD)
HKCU\Software\Microsoft\Office\11.0\Outlook\SecurityHKCU\Software\Microsoft\Office\11.0\Outlook\Security Voir fiche KB 307472 pour detailsVoir fiche KB 307472 pour details
MinEncKeyMinEncKey security policy (DWORD 40, 64, 128, 168) security policy (DWORD 40, 64, 128, 168) HKCU\Software\Policies\Microsoft\Office\11.0\Outlook\SecurityHKCU\Software\Policies\Microsoft\Office\11.0\Outlook\Security
37
Outlook ExpressOutlook ExpressChoix de l’algorithmeChoix de l’algorithme
En cas de capacités connues, favorise l’algorithme En cas de capacités connues, favorise l’algorithme le plus fortle plus fort SMIMECapabilitiesSMIMECapabilities de la fiche contact ou l’annuaire LDAP de la fiche contact ou l’annuaire LDAP
Lorsque les « Lorsque les « capabilitiescapabilities » ne sont pas connues » ne sont pas connues Par défaut, chiffre à 40 bits (favorise la lisibilité)Par défaut, chiffre à 40 bits (favorise la lisibilité) Pour utiliser 3DES (Windows XP SP2)Pour utiliser 3DES (Windows XP SP2)
Fiche KB 331488Fiche KB 331488 Clé KEY_CURRENT_USER\Identities\<identity>\Software\Clé KEY_CURRENT_USER\Identities\<identity>\Software\
Microsoft\Outlook Express\5.0\Encrypt Using 3DESMicrosoft\Outlook Express\5.0\Encrypt Using 3DES
Option « Option « Warn on encrypting with less thanWarn on encrypting with less than… »… » Par default 168 bitsPar default 168 bits
38
RévocationRévocation Office Outlook 2003Office Outlook 2003
Activée par défautActivée par défaut DébrayableDébrayable
HKCU\software\microsoft\office\11.0\outlook\security\UseCRLChasingHKCU\software\microsoft\office\11.0\outlook\security\UseCRLChasing
Outlook ExpressOutlook Express Non activée par défautNon activée par défaut Activable par Activable par Options/Security/Advanced/Revocation Options/Security/Advanced/Revocation
CheckingChecking
Contrôle S/MIME OWAContrôle S/MIME OWA Activée par défautActivée par défaut Peut se désactiver (clé registre Peut se désactiver (clé registre DisableCRLCheckDisableCRLCheck – coté – coté
serveur)serveur) RevocationURLRetrievalTimeoutRevocationURLRetrievalTimeout, , CertURLRetrievalTimeoutCertURLRetrievalTimeout
39
RévocationRévocation RFC 2459, CDP, CRL X509v2RFC 2459, CDP, CRL X509v2
Fonctionnement CryptoAPI – Fonctionnement CryptoAPI – Revocation ProviderRevocation Provider1.1. Recherche dans le cache (WinInet) la CRL indiquée par la CDPRecherche dans le cache (WinInet) la CRL indiquée par la CDP2.2. Recherche dans le magasin des autorités intermédiairesRecherche dans le magasin des autorités intermédiaires3.3. Tente de récupérer la CRL indiquée par la CDP sur le réseau et la place Tente de récupérer la CRL indiquée par la CDP sur le réseau et la place
dans le cache (WinInet) dans le cache (WinInet)
Pas de moyen Pas de moyen supportésupporté de forcer un téléchargement client alors de forcer un téléchargement client alors que les CRL en cache sont validesque les CRL en cache sont valides Ne télécharge une nouvelle CRL (extension CDP) que lorsque la CRL en Ne télécharge une nouvelle CRL (extension CDP) que lorsque la CRL en
cache est expiréecache est expirée On peut tenter de purger le cacheOn peut tenter de purger le cache
CrytoAPI ne place pas de CRL dans le magasin des intermédiairesCrytoAPI ne place pas de CRL dans le magasin des intermédiaires
Pour tester l’accès aux CRLPour tester l’accès aux CRL certutil –URL c:\cert.cercertutil –URL c:\cert.cer
Livre blanc sur la validation des certificats, en particulier la vérification de révocation http://www.microsoft.com/technet/security/topics/cryptographyetc/tshtcrl.mspx
40
RévocationRévocationDelta CRLDelta CRL
Delta CRL référencée par l’extension freshestCRL de la CRL Faible tailleFaible taille Fréquence de publication élevéeFréquence de publication élevée Permet de déclencher le renouvellement d’une CRL de base Permet de déclencher le renouvellement d’une CRL de base
non expirée sur les postes clientsnon expirée sur les postes clients Se configure de la même manière que les CRLs de baseSe configure de la même manière que les CRLs de base
Base
Base
Base
OCSPOCSP Validation en ligne auprès d’une autorité de validation (VA) - RFC Validation en ligne auprès d’une autorité de validation (VA) - RFC
25602560 L’extension AIA comporte les informations nécessaires pour contacter L’extension AIA comporte les informations nécessaires pour contacter
l’autorité de validationl’autorité de validation Certificate Services (CA Windows) permet de générer des certificats pour Certificate Services (CA Windows) permet de générer des certificats pour
OCSP – AIA avec location du responderOCSP – AIA avec location du responder CryptoAPI supporte la notion de CryptoAPI supporte la notion de Revocation ProvidersRevocation Providers
Le support d’OCSP coté client consiste à installer un provider de révocation Le support d’OCSP coté client consiste à installer un provider de révocation OCSPOCSP
API API CertVerifyRevocationCertVerifyRevocation, , WinVerifyTrustWinVerifyTrust Les applications CryptoAPI (dont Outlook, Outlook Express, OWA) en tirent Les applications CryptoAPI (dont Outlook, Outlook Express, OWA) en tirent
partiparti Windows Vista (Longhorn) supporte OCSPWindows Vista (Longhorn) supporte OCSP
Client OCSP (Client OCSP (Revocation ProviderRevocation Provider) opérationnel depuis Octobre 2003 (PDC ) opérationnel depuis Octobre 2003 (PDC build)build)
Les builds actuels incorporent le Les builds actuels incorporent le ResponderResponder OCSP Longhorn OCSP Longhorn Technologies OCSP pour Windows disponibles sur le marchéTechnologies OCSP pour Windows disponibles sur le marché
E.g. Alacris, Valicert, KyberPassE.g. Alacris, Valicert, KyberPass
OCSP est adapté pour des transactions à forte valeurOCSP est adapté pour des transactions à forte valeur Pas pour des gros volumes à faible valeurPas pour des gros volumes à faible valeur
OCSP ne veut pas forcement dire une validation en « temps réel »OCSP ne veut pas forcement dire une validation en « temps réel » Typiquement les serveurs OCSP utilisent des CRL et CRL deltaTypiquement les serveurs OCSP utilisent des CRL et CRL delta Plus une question d’architecture que de technologiePlus une question d’architecture que de technologie
43
PKI Windows 2003PKI Windows 2003La valeur de l’offreLa valeur de l’offre
Certificate ServicesCertificate Services Technologie permettant la mise en œuvre d’une Autorité Technologie permettant la mise en œuvre d’une Autorité
de Certification et le déploiement de certificatsde Certification et le déploiement de certificats
MaturitéMaturité Richesse des fonctionsRichesse des fonctions Respect des standardsRespect des standards Dimensionnement, fiabilité, souplesseDimensionnement, fiabilité, souplesse TCO le plus basTCO le plus bas
Un service de la plateformeUn service de la plateforme Dans le cadre d’une infrastructure Windows/Active Dans le cadre d’une infrastructure Windows/Active
Directory, c’est le moyen le plus direct de déployer des Directory, c’est le moyen le plus direct de déployer des certificats et de tirer parti des applications qui les utilisentcertificats et de tirer parti des applications qui les utilisent
44
PKI Windows 2003PKI Windows 2003Les fonctionnalitésLes fonctionnalités
Serveur autorité de certification Serveur autorité de certification Intégration Active DirectoryIntégration Active Directory Enrôlement automatiqueEnrôlement automatique CRL deltaCRL delta Modèles de certificats modifiablesModèles de certificats modifiables Séquestre de clésSéquestre de clés Certification croiséeCertification croisée Séparation des rôles d’administrationSéparation des rôles d’administration Application Web d’enregistrementApplication Web d’enregistrement Support des cartes à puceSupport des cartes à puce Audit/journalisationAudit/journalisation APIs de programmationAPIs de programmation
Certificate Services API, CryptoAPI, CAPICOM, Certificate Services API, CryptoAPI, CAPICOM, Classes .Net/WSEClasses .Net/WSE
45
CertutilCertutil Certutil.exeCertutil.exe
L’outil privilégié pour la gestion de la CA en ligne de L’outil privilégié pour la gestion de la CA en ligne de commande et par scriptscommande et par scripts Certutil –store « My »Certutil –store « My » Certutil –Certutil –dumpdump CeCertutil –keyrtutil –key CCertertuutil –verifytil –verify CCertutil –scinfoertutil –scinfo CCertutil ertutil ––getcrlgetcrl CCertutil -isvalidertutil -isvalid
46
CryptoAPICryptoAPIUne architecture en providersUne architecture en providers
CSP
BaseClés
Crypto APICrypto API
Gestion certificats etproviders de stockage
Gestion certificats etproviders de stockage
Opérations cryptographiquesOpérations cryptographiques
StockageCertificats
Inetcomm.dll (S/MIME)Inetcomm.dll (S/MIME)
OutlookOutlook Outlook ExpressOutlook Express Contrôle OWAContrôle OWA
47
Inetcomm.dllInetcomm.dll Mise en œuvre de S/MIME factorisée dans l’OSMise en œuvre de S/MIME factorisée dans l’OS
Microsoft Internet Messaging API, v. 6.0.2900.2670Microsoft Internet Messaging API, v. 6.0.2900.2670 Clients Outlook, Outlook Express, OWA, Biztalk…Clients Outlook, Outlook Express, OWA, Biztalk…
48
RévocationRévocationMeilleures pratiquesMeilleures pratiques
Attention aux expirations de CRLs – CA émettrice, Attention aux expirations de CRLs – CA émettrice, et CAs de la chaîneet CAs de la chaîne Si une nouvelle CRL n’est pas disponible, les certificats ne Si une nouvelle CRL n’est pas disponible, les certificats ne
peuvent être validés, les applications se figentpeuvent être validés, les applications se figent Prévoir la publication des CRL pour les CA hors lignePrévoir la publication des CRL pour les CA hors ligne Prévoir la publication des CRL en cas de panne ou Prévoir la publication des CRL en cas de panne ou
indisponibilité de la CAindisponibilité de la CA Assurer un accès à la clé pour pouvoir signer des CRL Assurer un accès à la clé pour pouvoir signer des CRL
manuellement (certutil)manuellement (certutil) Ne pas utiliser de delta CRL pour les CA offlineNe pas utiliser de delta CRL pour les CA offline
Prendre en compte les temps de latence dus à la Prendre en compte les temps de latence dus à la réplication d’active directoryréplication d’active directory Prévoir un recouvrement du renouvellement Prévoir un recouvrement du renouvellement
suffisamment important pour les CRL de basesuffisamment important pour les CRL de base Incompatible avec les exigences du durée de validité Incompatible avec les exigences du durée de validité
courte des CRL Deltacourte des CRL Delta
49
RévocationRévocationMeilleures pratiquesMeilleures pratiques
Publication de la CRL de base via LDAP (AD)Publication de la CRL de base via LDAP (AD) Souplesse et disponibilité géographiqueSouplesse et disponibilité géographique Contrôle éventuel par des URL LDAP complètes (nom du Contrôle éventuel par des URL LDAP complètes (nom du
serveur) plutôt que relativesserveur) plutôt que relativesIncompatible avec une utilisation externeIncompatible avec une utilisation externe
Publication de la CRL delta via HTTPPublication de la CRL delta via HTTP Maîtrise des temps de latence, disponibilité immédiateMaîtrise des temps de latence, disponibilité immédiate Prévoir un (des) seveur(s) Web à haute disponibilitéPrévoir un (des) seveur(s) Web à haute disponibilité
Ordre des URLs de la CDP est importantOrdre des URLs de la CDP est important Utiliser les chemins et conventions de nommage Utiliser les chemins et conventions de nommage
qui ne révèlent pas la structure interne du réseauqui ne révèlent pas la structure interne du réseau Fréquences typiquesFréquences typiques
CRL CA intermédiaires: 90-180 joursCRL CA intermédiaires: 90-180 jours CRL de base CA émettrices: 7 joursCRL de base CA émettrices: 7 jours CRL Delta CA émettrice: 1 jourCRL Delta CA émettrice: 1 jour
50
Protection de la clé privéeProtection de la clé privéeCSP logicielCSP logiciel
Chiffrement via DPAPI (Data Protection API)Chiffrement via DPAPI (Data Protection API) CryptProtectData, CryptUnprotectDataCryptProtectData, CryptUnprotectData Seul le même utilisateur peut retrouver l’information en Seul le même utilisateur peut retrouver l’information en
clair – c’est le même utilisateur qui doit invoquer protect clair – c’est le même utilisateur qui doit invoquer protect et unprotectet unprotect
Source d’entropieSource d’entropie CrédentielsCrédentiels de l’utilisateur (NTHash du mot de passe) de l’utilisateur (NTHash du mot de passe) Entropie supplémentaire spécifique à l’informationEntropie supplémentaire spécifique à l’information
« Strong key protection »« Strong key protection » Phrase secrète utilisateurPhrase secrète utilisateur
Gestion des changements de mot de passeGestion des changements de mot de passe
Stockage du « blob » DPAPI dans le profil de Stockage du « blob » DPAPI dans le profil de l’utilisateurl’utilisateur c:\Documents and Settings\<username>\Application c:\Documents and Settings\<username>\Application
Data\Microsoft\Protect\<textual user SID>Data\Microsoft\Protect\<textual user SID>
51
AIA et CDPAIA et CDPValidation d’un certificat – RFC 2459/3280Validation d’un certificat – RFC 2459/3280
Extension authorityInfoAccessExtension authorityInfoAccess Construction de la chaîne de certificationConstruction de la chaîne de certification Permet de retrouver le certificat de l’autorité émettrice, et ainsi de suite Permet de retrouver le certificat de l’autorité émettrice, et ainsi de suite
jusqu’à la racinejusqu’à la racine Les AC publient leur certificat à cette finLes AC publient leur certificat à cette fin
http://www.unico.com/pki/CertEnroll/SRV-CA-ISSUING.unico.com_ca-issuing.crthttp://www.unico.com/pki/CertEnroll/SRV-CA-ISSUING.unico.com_ca-issuing.crt ldap:///CN=ca-issuing,CN=AIA,CN=Public%20Keyldap:///CN=ca-issuing,CN=AIA,CN=Public%20Key
%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?cACertificate?base?objectClass=certificationAuthoritycACertificate?base?objectClass=certificationAuthority
Etc…Etc… Extension cRLDistributionPointsExtension cRLDistributionPoints
Vérification de la révocation de chacun des certificats de la chaîneVérification de la révocation de chacun des certificats de la chaîne Permet de retrouver la CRL, delta CRL, ou une autorité de validation Permet de retrouver la CRL, delta CRL, ou une autorité de validation
OCSPOCSP Les AC publient leurs CRLs à cette finLes AC publient leurs CRLs à cette fin
http://www.unico.com/pki/CertEnroll/ca-issuing.crlhttp://www.unico.com/pki/CertEnroll/ca-issuing.crl ldap:///CN=ca-issuing,CN=SRV-CA-ISSUING,CN=CDP,CN=Public%20Keyldap:///CN=ca-issuing,CN=SRV-CA-ISSUING,CN=CDP,CN=Public%20Key
%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPointcertificateRevocationList?base?objectClass=cRLDistributionPoint
Etc…Etc… Pour les systèmes Windows, les certificats des AC (Pour les systèmes Windows, les certificats des AC (mais pas les mais pas les
CRLsCRLs), une fois retrouves par CryptoAPI sont conservés dans le ), une fois retrouves par CryptoAPI sont conservés dans le magasin des autorités intermédiaires (géré par CryptoAPI)magasin des autorités intermédiaires (géré par CryptoAPI)
52
CryptoAPICryptoAPILien entre certificat du titulaire et clé privéeLien entre certificat du titulaire et clé privée
L’utilisateur d’un certificat n’a que le certificatL’utilisateur d’un certificat n’a que le certificat Le titulaire/détenteur d’un certificat possède le Le titulaire/détenteur d’un certificat possède le
certificat et la clé privée correspondantecertificat et la clé privée correspondante Stockée avec le certificat se trouve une référence Stockée avec le certificat se trouve une référence
vers la clé privéevers la clé privée Extended Properties CERT_KEY_PROV_INFO_PROP_IDExtended Properties CERT_KEY_PROV_INFO_PROP_ID
Structure CRYPT_KEY_PROV_INFO: Contient toutes les Structure CRYPT_KEY_PROV_INFO: Contient toutes les informations nécessaires pour acquérir un contexte sur le informations nécessaires pour acquérir un contexte sur le CSP hébergeant la clé privée - typiquement les paramètres CSP hébergeant la clé privée - typiquement les paramètres de de CryptAcquireContextCryptAcquireContext
Basecertificats
Certificat(signé par CA)
Propriétés
Contexte de certificat
CRYPT_KEY_PROV_INFO ContainerName ProvName ProvType ProvParam …
CERT_KEY_PROV_INFO_PROP_IDCSP
BaseClés
53
CryptoAPICryptoAPIBases, ou magasins de certificatsBases, ou magasins de certificats
Par utilisateur, machine, ou servicePar utilisateur, machine, ou service PluginPlugin MMC MMC CertificatesCertificates Certutil.exeCertutil.exe
Nom CryptoAPI Nom d’affichage Description
My Personal Les certificats du titulaireLes certificats du titulaire
Root Trusted Root Certification Authorities
Les racines de confiance
Trust Enterprise Trust Certificate Trust Lists
CA Intermediate Certification Authorities
Cache des CA intermédiaires et des listes de révocation
UserDS Active Directory User Object Les certificats du titulaire dans Active Directory – attribut du compte, userCertificate
Autres…
54
Standard S/MIMEStandard S/MIME Sécurisation d’entités MIME, pas des entêtes RFC Sécurisation d’entités MIME, pas des entêtes RFC
822822 MIME body partMIME body part
Content-type Content-type application/pkcs7-mimeapplication/pkcs7-mime Comment mettre du MIME dans un message PKCS#7Comment mettre du MIME dans un message PKCS#7 Opaque pour les gateways MIMEOpaque pour les gateways MIME Contenu PKCS#7 - RFC 2315 (v2) ou CMS – RFC 2630 (v3)Contenu PKCS#7 - RFC 2315 (v2) ou CMS – RFC 2630 (v3)
Syntaxe ASN.1, encodage DERSyntaxe ASN.1, encodage DER Type SignedData, EnvelopedData, SignedAndEnvelopedDataType SignedData, EnvelopedData, SignedAndEnvelopedData
smime-type – permet de connaître le contenu/format du blob smime-type – permet de connaître le contenu/format du blob PKCS#7 sans avoir à l’ouvrirPKCS#7 sans avoir à l’ouvrir enveloped-dataenveloped-data signed-datasigned-data
L’entité MIME à sécuriser est placée dans un message PKCS#7, qui est lui-même transmis en tant qu’entité MIME. Cette transmission de l’entité MIME peut se faire sur n’importe quel protocole/format, et non pas seulement SMTP/POP
55
Standard S/MIMEStandard S/MIME MIME body partMIME body part
Content-type Content-type multipart/signedmultipart/signed Première partie – entité MIMEPremière partie – entité MIME
Blob MIME, objet de la signatureBlob MIME, objet de la signature Deuxième partie – entité MIMEDeuxième partie – entité MIME
Signature détachéeSignature détachée Content-type Content-type application/pkcs7-signatureapplication/pkcs7-signature smime-type = signed-datasmime-type = signed-data
• PKCS#7 de type signedDataPKCS#7 de type signedData Le PKCS#7 n’a pas de contenu: signature seuleLe PKCS#7 n’a pas de contenu: signature seule
Clear Signing – multipart/signed et application/pkcs7-Clear Signing – multipart/signed et application/pkcs7-signaturesignature Contenu signé est lisible par un destinataire dont le logiciel Contenu signé est lisible par un destinataire dont le logiciel
ne supporte pas S/MIMEne supporte pas S/MIME la signature est « à coté » du contenula signature est « à coté » du contenu
Opaque Signing – application/pkcs7-mimeOpaque Signing – application/pkcs7-mime Contenu du message signé lisible que par un décodeur Contenu du message signé lisible que par un décodeur
S/MIME (la signature est intégrée au contenu – formatage S/MIME (la signature est intégrée au contenu – formatage PKCS#7/CMSPKCS#7/CMS
56
Opaque Signing vs Clear SigningOpaque Signing vs Clear Signing Pour le clients S/MIME Microsoft, c’est au choix de l’utilisateurPour le clients S/MIME Microsoft, c’est au choix de l’utilisateur
Outlook ExpressOutlook Express Configuration globale (menu Configuration globale (menu Tools/Options/Security/AdvancedTools/Options/Security/Advanced)) Défaut Défaut Clear SignClear Sign
Office OutlookOffice Outlook Configuration globale du choix par défaut (menu Configuration globale du choix par défaut (menu
Tools/Options/SecurityTools/Options/Security), ensuite modifiable message par message), ensuite modifiable message par message Imposable par policy Imposable par policy ClearSignClearSign
Contrôle S/MIME OWAContrôle S/MIME OWA Clé registre Clé registre ClearSignClearSign (coté serveur) (coté serveur) Défaut Clear SignDéfaut Clear Sign
Clients non-S/MIME pour lesquels le message doit comporter Clients non-S/MIME pour lesquels le message doit comporter une signature « une signature « Clear SigningClear Signing » afin d’être lisible » afin d’être lisible OWA sans le contrôle S/MIME (OWA Basic)OWA sans le contrôle S/MIME (OWA Basic) MobilesMobiles
Outlook Mobile Access (OMA)Outlook Mobile Access (OMA) Exchange ActiveSyncExchange ActiveSync
57
Dumper un message S/MIME d’Outlook Dumper un message S/MIME d’Outlook ExpressExpress
1.1. Dans OE, sauvegarder le message en tant que fichier Dans OE, sauvegarder le message en tant que fichier .eml.eml Le fichier texte contient le corps MIME au format PKCS#7/CMS Le fichier texte contient le corps MIME au format PKCS#7/CMS
encodé base64encodé base64 Il y a deux cas:Il y a deux cas:
Content type Content type application/x-pkcs7-mimeapplication/x-pkcs7-mime pour signature opaque ou pour signature opaque ou message chiffré (message chiffré (signedDatasignedData, , envelopedDataenvelopedData, , signedAndEnvelopedDatasignedAndEnvelopedData). Nom de la pièce jointe ). Nom de la pièce jointe smime.p7msmime.p7m
Content type Content type application/x-pkcs7-signature application/x-pkcs7-signature pour signature détachée. pour signature détachée. Nom de la pièce jointe Nom de la pièce jointe smime.p7ssmime.p7s
2.2. Extraire la pièce jointe vers un fichier Extraire la pièce jointe vers un fichier smime.p7msmime.p7m ou ou smime.p7ssmime.p7s Avec Avec notepadnotepad, extraire la partie MIME vers un fichier temporaire , extraire la partie MIME vers un fichier temporaire
(uuencoded.txt – le texte commence par MIAGCSq….) et décoder (uuencoded.txt – le texte commence par MIAGCSq….) et décoder le fichier temporaire vers un fichier smime.p7m ou smime.p7s le fichier temporaire vers un fichier smime.p7m ou smime.p7s (le binaire doit commencer par 33 80…) (le binaire doit commencer par 33 80…) certutil -v -f -decode uuencoded.txt smime.p7mcertutil -v -f -decode uuencoded.txt smime.p7m hexdump smime.p7mhexdump smime.p7m
0x00000000 30 80 06 09 2A 86 48 86 F7 0D 01 07 02 A0 80 30 0x00000000 30 80 06 09 2A 86 48 86 F7 0D 01 07 02 A0 80 30 0...*.H........00...*.H........0
3.3. Décoder le fichier .p7m ou p7s avec un décodeur Décoder le fichier .p7m ou p7s avec un décodeur PKCS#7/CMSPKCS#7/CMS certutil -dump signed.p7mcertutil -dump signed.p7m
58
S/MIME Diffie HellmanS/MIME Diffie Hellman Support de Diffie-Hellman et DSA (Digital Signature Support de Diffie-Hellman et DSA (Digital Signature
Algorithm) par Outlook à partir de Outlook 2000 Algorithm) par Outlook à partir de Outlook 2000 SR1SR1 Et aussi Outlook Express et OWA puisque mise en œuvre Et aussi Outlook Express et OWA puisque mise en œuvre
dans l’OS (inetcomm.dll et CryptoAPI)dans l’OS (inetcomm.dll et CryptoAPI)
Diffie-Hellman – RFC 2632Diffie-Hellman – RFC 2632 Hmmm… on peut pas chiffrer avec Diffie-Hellman…Hmmm… on peut pas chiffrer avec Diffie-Hellman… Comment chiffre-t-on la clé de session pour les lock box?Comment chiffre-t-on la clé de session pour les lock box?
Réponse: on chiffre avec un algorithme symétrique et une Réponse: on chiffre avec un algorithme symétrique et une clé de chiffrement dérivée de l’échange Diffie-Hellmanclé de chiffrement dérivée de l’échange Diffie-Hellman
Quel échange?Quel échange? La clé publique DH du destinataire doit être statique (connue La clé publique DH du destinataire doit être statique (connue
de l’émetteur), et certifiée – comme pour RSA!de l’émetteur), et certifiée – comme pour RSA! La clé publique DH de l’émetteur peut être éphémère pour La clé publique DH de l’émetteur peut être éphémère pour
un ou des messages, et envoyée avec le messageun ou des messages, et envoyée avec le message Modes static-static, ephéméral-staticModes static-static, ephéméral-static
60
Office Outlook 2003Office Outlook 2003Chiffrement pour soi-mêmeChiffrement pour soi-même
SystématiqueSystématique Utilise certificat de chiffrement configuré dans Utilise certificat de chiffrement configuré dans
Options/Security/SettingsOptions/Security/Settings Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin
des certificats personnels et configure Outlook des certificats personnels et configure Outlook (Security Settings) avec ce certificat(Security Settings) avec ce certificat
61
Office Outlook 2003Office Outlook 2003Recherche certificat pour signatureRecherche certificat pour signature
Utilise certificat de signature configuré dans Utilise certificat de signature configuré dans Options/Security/SettingsOptions/Security/Settings
Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure Outlook des certificats personnels et configure Outlook (Security Settings) avec ce certificat(Security Settings) avec ce certificat
62
Office Outlook 2003Office Outlook 2003 L’adresse e-mail des entités en jeu doit L’adresse e-mail des entités en jeu doit
correspondre à celle indiquée par les certificatscorrespondre à celle indiquée par les certificats Exigence débrayableExigence débrayable
Fiche KB 276597Fiche KB 276597 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\
Outlook\Security\SupressNameChecksOutlook\Security\SupressNameChecks
Vérification de la révocation active par défautVérification de la révocation active par défaut DébrayableDébrayable
HKCU\software\microsoft\office\11.0\outlook\HKCU\software\microsoft\office\11.0\outlook\security\"UseCRLChasing« security\"UseCRLChasing«
Inclut la chaine des certificats, sauf racine Inclut la chaine des certificats, sauf racine (conforme RFC)(conforme RFC)
63
Outlook 2003Outlook 2003 Lock boxLock box fait référence au numéro de série du fait référence au numéro de série du
certificat et la CA émettrice (IssuerName)certificat et la CA émettrice (IssuerName) Si la Si la lock boxlock box fait référence au Subject Key Identifier, fait référence au Subject Key Identifier,
Outlook 2003 sait l’exploiter et retrouver la cléOutlook 2003 sait l’exploiter et retrouver la clé Ne génère pas de telles lock boxesNe génère pas de telles lock boxes
Option Option Options/Security/Settings/Send these Options/Security/Settings/Send these certificates with signed messagescertificates with signed messages Par défaut, Outlook 2003 inclut la chaine des certificats Par défaut, Outlook 2003 inclut la chaine des certificats
complète, y compris la racinecomplète, y compris la racine Permet de retrouver les CA intermédiaires en l’absence d’AIAPermet de retrouver les CA intermédiaires en l’absence d’AIA
Si cette option est désactivée, Outlook n’inclut que le Si cette option est désactivée, Outlook n’inclut que le certificat de l’émetteurcertificat de l’émetteur
64
Office Outlook 2003 Office Outlook 2003 Label policyLabel policy (S/MIME v3) (S/MIME v3)
Security LabelSecurity Label Propriété optionnelle d’un message signéPropriété optionnelle d’un message signé
« Top Secret », « Confidentiel », «Accès Restreint », « Equipe « Top Secret », « Confidentiel », «Accès Restreint », « Equipe Médicale », « Service Paye »Médicale », « Service Paye »
Apposé lors de la signature du messageApposé lors de la signature du message A l’ouverture, la « policy » permet l’accès au message A l’ouverture, la « policy » permet l’accès au message
selon la politique en vigueur selon la sémantique du labelselon la politique en vigueur selon la sémantique du label La classification du message est affichée à l’écranLa classification du message est affichée à l’écran
Exemple/documentation pour le développement de Exemple/documentation pour le développement de label policylabel policy http://office.microsoft.com/search/redir.aspx?AssetID=XT0http://office.microsoft.com/search/redir.aspx?AssetID=XT0
11420871033&CTT=5&Origin=HA01140287103311420871033&CTT=5&Origin=HA011402871033 Code fourni dans label.zipCode fourni dans label.zip
66
Outlook ExpressOutlook ExpressChiffrement pour soi-mêmeChiffrement pour soi-même
Option Option ""Always encrypt to myself when sending Always encrypt to myself when sending encrypted mailencrypted mail""
Utilise certificat de chiffrement configuré dans Utilise certificat de chiffrement configuré dans Accounts/Properties/SecurityAccounts/Properties/Security
Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte des certificats personnels et configure le compte Outlook Express avec ce certificatOutlook Express avec ce certificat
67
Outlook ExpressOutlook ExpressRecherche certificat pour signatureRecherche certificat pour signature
Utilise certificat de signature configuré dans Utilise certificat de signature configuré dans Accounts/Properties/SecurityAccounts/Properties/Security
Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte des certificats personnels et configure le compte Outlook Express avec ce certificatOutlook Express avec ce certificat
Option « Option « Include my Digital ID when sending Include my Digital ID when sending signed messages »signed messages » Par défaut, OE inclut la chaine des certificats complète, y Par défaut, OE inclut la chaine des certificats complète, y
compris la racinecompris la racine Permet de retrouver les CA intermédiaires en l’absence d’AIAPermet de retrouver les CA intermédiaires en l’absence d’AIA
Si cette option est désactivée, OE n’inclut aucun certificatSi cette option est désactivée, OE n’inclut aucun certificat
68
Labellisation SMIMEv3 pour Outlook Labellisation SMIMEv3 pour Outlook ExpressExpress
Mise en œuvre par DLL de policyMise en œuvre par DLL de policy Idem/Proche Outlook 2003Idem/Proche Outlook 2003
70
Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Nécessite IE 6.0Nécessite IE 6.0
Et minimum OS Windows 2000Et minimum OS Windows 2000
InstallationInstallation Download par l’utilisateurDownload par l’utilisateur
Menu Options/E-Mail Security de OWAMenu Options/E-Mail Security de OWA Nécessite droits d’adminNécessite droits d’admin Attention URLScanAttention URLScan
Déploiement images ou SMSDéploiement images ou SMS A partir de Exchange Server 2003 SP1: fichier MSIA partir de Exchange Server 2003 SP1: fichier MSI
71
Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Chiffrement/signature message par message à la Chiffrement/signature message par message à la
discrétion de l’utilisateurdiscrétion de l’utilisateur Chiffrement/signature pour tous les messages Chiffrement/signature pour tous les messages
configurable par l’utilisateurconfigurable par l’utilisateur Menu Options/E-Mail SecurityMenu Options/E-Mail Security
Chiffrement/signature pour tous les messages Chiffrement/signature pour tous les messages obligatoire (configurable par l’administrateur)obligatoire (configurable par l’administrateur) Registry serveur Exchange: Registry serveur Exchange: AlwaysSignAlwaysSign, , AlwaysEncryptAlwaysEncrypt Attention: cela reste une fonction du contrôle ActiveXAttention: cela reste une fonction du contrôle ActiveX
72
Sélection certificat par le contrôle Sélection certificat par le contrôle S/MIMES/MIME
Déchiffrement et signatureDéchiffrement et signature Certificat dans magasin personnelCertificat dans magasin personnel Pour signature, OWA favorise les certificats sur carte à Pour signature, OWA favorise les certificats sur carte à
puce (ou matériel – puce (ou matériel – hardware basedhardware based))
Clé de registre Clé de registre SmartCardOnlySmartCardOnly (coté serveur) (coté serveur) Pour la signature, le contrôle n’utilise que des certificats Pour la signature, le contrôle n’utilise que des certificats
dont la clé privée se trouve sur une carte à pucedont la clé privée se trouve sur une carte à puce
73
Sélection certificat par le contrôle Sélection certificat par le contrôle S/MIMES/MIME
Adresse utilisateur (Adresse utilisateur (routing addressrouting address)) Champ Champ SubjectSubject Extension Extension Subject Alternative NameSubject Alternative Name
Certificat doit être valideCertificat doit être valide Validité temporelleValidité temporelle Vérification de non révocation, active par defaultVérification de non révocation, active par default
Peut se désactiver (clé registre Peut se désactiver (clé registre DisableCRLCheckDisableCRLCheck – coté – coté serveur)serveur)
RevocationURLRetrievalTimeoutRevocationURLRetrievalTimeout, , CertURLRetrievalTimeoutCertURLRetrievalTimeout Vérification de la chaine jusqu’à une CA racine de Vérification de la chaine jusqu’à une CA racine de
confiance (référencée dans le magasin des AC racines de confiance (référencée dans le magasin des AC racines de confiance)confiance)
74
Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Par défaut, OWA ne place pas la chaine des Par défaut, OWA ne place pas la chaine des
certificats dans le messagecertificats dans le message SecurityFlagsSecurityFlags (coté serveur) – pour inclure la chaine, avec (coté serveur) – pour inclure la chaine, avec
ou sans la racineou sans la racine Flags 0x01 et 0x02Flags 0x01 et 0x02 Nécessaire en l’absence d’AIANécessaire en l’absence d’AIA
Par défaut, OWA place aussi le certificat de Par défaut, OWA place aussi le certificat de chiffrement dans un message signé (en plus du chiffrement dans un message signé (en plus du certificat de signature)certificat de signature) SecurityFlagsSecurityFlags (coté serveur) – pour n’inclure que le (coté serveur) – pour n’inclure que le
certificat de signaturecertificat de signature
Par défaut, les Par défaut, les lock boxlock box font référence au numéro font référence au numéro de série du certificat et la CA émettrice de série du certificat et la CA émettrice (IssuerName)(IssuerName) Clé Clé UseKeyIdentifierUseKeyIdentifier
Permet de retrouver la clé en l’absence d’anciens certificatsPermet de retrouver la clé en l’absence d’anciens certificats
75
Contrôle ActiveX S/MIME pour OWAContrôle ActiveX S/MIME pour OWA Fonctionnalités similaires à Outlook et Outlook Fonctionnalités similaires à Outlook et Outlook
ExpressExpress Exception: N’offre par les avis de lecture sécurisés Exception: N’offre par les avis de lecture sécurisés
((Secure Read Receipt)Secure Read Receipt)
76
Contrôle S/MIME OWAContrôle S/MIME OWA Validation de signatureValidation de signature
Certificat se trouve dans le messageCertificat se trouve dans le message Mais pas la chaine (par défaut)Mais pas la chaine (par défaut)
Utiliser extension AIA de préférenceUtiliser extension AIA de préférence SecurityFlags SecurityFlags (paramètre registre coté serveur)(paramètre registre coté serveur)
77
Certification croiséeCertification croisée ProblèmeProblème
Établissement de relations de confiance entre hiérarchies Établissement de relations de confiance entre hiérarchies séparéesséparées
SolutionSolution On certifie les CA tierces desquelles on souhaite accepter des On certifie les CA tierces desquelles on souhaite accepter des
certificatscertificats Dans ce certificat pour la CA tierce, on place des contraintesDans ce certificat pour la CA tierce, on place des contraintes
E.g. un certificat tiers pourra être accepté pour le courrier électronique E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, même si le certificat (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages.spécifie les deux usages.
Certification croiséeCertification croisée Deux hiérarchies ce certifient mutuellementDeux hiérarchies ce certifient mutuellement N hiérarchies se certifient via un relais (bridge)N hiérarchies se certifient via un relais (bridge)
Autre usage possibleAutre usage possible Désactiver les racines de confiance par défaut de la plateforme Désactiver les racines de confiance par défaut de la plateforme
par GPOpar GPO Conserver la racine de l’entrepriseConserver la racine de l’entreprise Certifier les racines publiques avec subordination qualifiéeCertifier les racines publiques avec subordination qualifiée
Exclure l’espace de nommage de l’entrepriseExclure l’espace de nommage de l’entreprise
78
Certification croisée Certification croisée Mise en oeuvreMise en oeuvre
Obtenir un certificat pour la signature de la requêteObtenir un certificat pour la signature de la requête Principalement pour l’exigence Application PolicyPrincipalement pour l’exigence Application Policy
Qualified Subordination (1.3.6.1.4.1.311.10.3.10) Qualified Subordination (1.3.6.1.4.1.311.10.3.10) Créer une template spécifique à partir de la template Enrollment Créer une template spécifique à partir de la template Enrollment
AgentAgent Configurer la CA pour servir la template Configurer la CA pour servir la template Cross Certification Cross Certification
AuthorityAuthority C’est la template du certificat croisé à émettreC’est la template du certificat croisé à émettre
Créer la requete avec certreq –policyCréer la requete avec certreq –policy Certificat de la CA à certifierCertificat de la CA à certifier Policy.inf – paramètres de la requêtePolicy.inf – paramètres de la requête Certificat pour la signature de la requêteCertificat pour la signature de la requête
Soumettre la requête avec MMC Certificate AuthoritySoumettre la requête avec MMC Certificate Authority Le certificat est publié dans AD (AIA)Le certificat est publié dans AD (AIA) Visualiser le certificat croisé dans ADVisualiser le certificat croisé dans AD
certutil -viewstore "CN=<CAName>,CN=AIA,CN=Public Key certutil -viewstore "CN=<CAName>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<ForestRootDN>?Services,CN=Services,CN=Configuration,DC=<ForestRootDN>?crossCertificatePaircrossCertificatePair
79
Le modèle de confiance traditionnelLe modèle de confiance traditionnel
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Issuer:NWindCASubject: AliceIssuer:NWindCASubject: Alice
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Northwind Traders Contoso Consulting
Jim
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Jim
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
80
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: COMRootSubject: ContRootIssuer: COMRootSubject: ContRoot
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Contoso Consulting
Le modèle de confiance traditionnelLe modèle de confiance traditionnel
Issuer:NWindCASubject: AliceIssuer:NWindCASubject: Alice
Issuer: COMRootSubject: NWindRootIssuer: COMRootSubject: NWindRoot
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Northwind Traders
Jim
CA commercialeIssuer: COMRootSubject: COMRootIssuer: COMRootSubject: COMRootIssuer: COMRootSubject: COMRootIssuer: COMRootSubject: COMRoot
81
Certification croiséeCertification croisée ProblèmeProblème
Établissement de relations de confiance entre hiérarchies Établissement de relations de confiance entre hiérarchies et organisations séparéeset organisations séparées
Solution: certification croisée Solution: certification croisée On certifie les CA tierces desquelles on souhaite accepter On certifie les CA tierces desquelles on souhaite accepter
des certificatsdes certificats Deux hiérarchies se certifient mutuellementDeux hiérarchies se certifient mutuellement N hiérarchies se certifient via un relais (bridge)N hiérarchies se certifient via un relais (bridge)
La certification croisée adresse un aspect de La certification croisée adresse un aspect de l’interopérabilité entre déploiements PKIl’interopérabilité entre déploiements PKI Permet de spécifier des contraintesPermet de spécifier des contraintes Permet de truster des CA intermédiairesPermet de truster des CA intermédiaires
82
Certification croisée Certification croisée Rajout d’une nouvelle CARajout d’une nouvelle CA
ContosoConsulting
ContosoConsulting
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
NorthwindTraders
NorthwindTraders
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: ContCASubject: NWindRootIssuer: ContCASubject: NWindRoot
Issuer: NWindCASubject: ContRootIssuer: NWindCASubject: ContRoot
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: ProjectCASubject: TrevorFIssuer: ProjectCASubject: TrevorF
Issuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCA
NorthwindTraders
NorthwindTraders
Issuer: ProjectCASubject: trevorfIssuer: ProjectCASubject: trevorf
Issuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCA
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: ProjectCASubject: trevorfIssuer: ProjectCASubject: trevorf
Issuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCA
Issuer: ContCASubject: NWindRootIssuer: ContCASubject: NWindRoot
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
ContosoConsulting
ContosoConsulting
83
Certification croisée Certification croisée Restreindre la relation de confiance à une partie de la hiérarchieRestreindre la relation de confiance à une partie de la hiérarchie
ContosoConsulting
ContosoConsulting
Issuer: ContCASubject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
NorthwindTraders
NorthwindTraders
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: ContCASubject: NWindCAIssuer: ContCASubject: NWindCA
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: ProjectCASubject: TrevorFIssuer: ProjectCASubject: TrevorF
Issuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCA
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: ProjectCASubject: TrevorFIssuer: ProjectCASubject: TrevorF
84
Issuer: NWindCASubject: BridgeCAIssuer: NWindCASubject: BridgeCA
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: FabCASubject: BridgeCAIssuer: FabCASubject: BridgeCA
Issuer: ContCASubject: BridgeCAIssuer: ContCASubject: BridgeCA
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: FabCASubject: CarolIssuer: FabCASubject: Carol
Issuer: FabRootSubject: FabCAIssuer: FabRootSubject: FabCA Issuer: ContCA
Subject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: BridgeCASubject: BridgeCAIssuer: BridgeCASubject: BridgeCA
Issuer: FabRootSubject: FabRootIssuer: FabRootSubject: FabRoot
Issuer: BridgeCASubject: FabRootIssuer: BridgeCASubject: FabRoot
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Issuer: BridgeCASubject: ContRootIssuer: BridgeCASubject: ContRoot
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: BridgeCASubject: NWindRootIssuer: BridgeCASubject: NWindRoot
Northwind TradersNorthwind Traders
Fabrikam Inc.Fabrikam Inc.
Contoso Consulting
Contoso Consulting
Certification croisée Certification croisée Utilisation d’un bridgeUtilisation d’un bridge
85
Issuer: NWindCASubject: BridgeCAIssuer: NWindCASubject: BridgeCA
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: FabCASubject: BridgeCAIssuer: FabCASubject: BridgeCA
Issuer: ContCASubject: BridgeCAIssuer: ContCASubject: BridgeCA
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: FabCASubject: CarolIssuer: FabCASubject: Carol
Issuer: FabRootSubject: FabCAIssuer: FabRootSubject: FabCA Issuer: ContCA
Subject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: BridgeCASubject: BridgeCAIssuer: BridgeCASubject: BridgeCA
Issuer: FabRootSubject: FabRootIssuer: FabRootSubject: FabRoot
Issuer: BridgeCASubject: FabRootIssuer: BridgeCASubject: FabRoot
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Issuer: BridgeCASubject: ContRootIssuer: BridgeCASubject: ContRoot
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: BridgeCASubject: NWindRootIssuer: BridgeCASubject: NWindRoot
Northwind TradersNorthwind Traders
Fabrikam Inc.Fabrikam Inc.
Contoso Consulting
Contoso Consulting
Certification croisée Certification croisée Utilisation d’un bridgeUtilisation d’un bridge
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
86
Issuer: NWindCASubject: BridgeCAIssuer: NWindCASubject: BridgeCA
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: FabCASubject: BridgeCAIssuer: FabCASubject: BridgeCA
Issuer: ContCASubject: BridgeCAIssuer: ContCASubject: BridgeCA
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: FabCASubject: CarolIssuer: FabCASubject: Carol
Issuer: FabRootSubject: FabCAIssuer: FabRootSubject: FabCA Issuer: ContCA
Subject: BobIssuer: ContCASubject: Bob
Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA
Issuer: BridgeCASubject: BridgeCAIssuer: BridgeCASubject: BridgeCA
Issuer: FabRootSubject: FabRootIssuer: FabRootSubject: FabRoot
Issuer: BridgeCASubject: FabRootIssuer: BridgeCASubject: FabRoot
Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot
Issuer: BridgeCASubject: ContRootIssuer: BridgeCASubject: ContRoot
Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot
Issuer: BridgeCASubject: NWindRootIssuer: BridgeCASubject: NWindRoot
Northwind TradersNorthwind Traders
Fabrikam Inc.Fabrikam Inc.
Contoso Consulting
Contoso Consulting
Certification croisée Certification croisée Utilisation d’une CA bridgeUtilisation d’une CA bridge
Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice
Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA
Issuer: BridgeCASubject: NWindRootIssuer: BridgeCASubject: NWindRoot
Issuer: FabCASubject: BridgeCAIssuer: FabCASubject: BridgeCA
Issuer: FabRootSubject: FabCAIssuer: FabRootSubject: FabCA
Issuer: FabRootSubject: FabRootIssuer: FabRootSubject: FabRoot
87
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com