Identité et sécurité Open Source : une réalité
Matinée Pour ComprendreO u t i ls d e s é c u r i t é e t d 'id e n t i t é e n O p e n S o u r c e ! Ç a m a r c h e !
Sébastien BAHLOULResponsable offre Identité & Sécurité
Groupe [email protected]
Agenda
LINAGORA
Mission : Logiciels et service Open Source pour réussir les grands projets du libreCréation : Mai 2000Capital : PrivéEffectif: 150 employés
LINAGORA : nos métiers
Notre positionnement
P r o p r ié t a i r eP r o p r ié t a i r e= 0 % L ib r e= 0 % L ib r e
F r e e m iu mF r e e m iu m= 5 0 à 8 0 % L ib r e= 5 0 à 8 0 % L ib r e= P r o p r ié t a i r e= P r o p r ié t a i r e
F r e e -F r e eF r e e -F r e e= 1 0 0% L ib r e= 1 0 0% L ib r e
S e r v ic e sS e r v ic e s= + o u - L ib r e= + o u - L ib r e
• F a v o r is e la d i f f u s io n M a s s iv e• U t i l i s a t e u r s p lu s d i f f ic i le m e n t « m o n é t is a b le s »• L e s é d i t e u r s F r e e -f r e e f o n t le p a r i d e v e n d r e a u m a r c h é « s o lv a b le » u n iq u e m e n t e t a c c e p te q u e le m a r c h é « n o n s o lv a b le » • M o in s d e L o c k e d -In p o u r le s c l ie n t s• P lu s g r a n d r e s p e c t d e la p h i l is o p h ie O p e n S o u r c e• M o d è le s d e s s o lu t io n s L ib r e s e u r o p é e n n e s : • D if f ic u l t é d e f in a n c e m e n t d e c e s m o d è le s
• M o d è le d is r u p t i f d e c o m m e r c ia l is a t io n e t d e d is t r ib u t io n d e l 'in n o v a t io n• F a v o r is e la d i f f u s io n • U t i l i s a t e u r s f a c i le m e n t « m o n é t is a b le s » : q u a n d o n v e u t u n e s o lu t io n p o u r e n t r e p r is e o n p a y e , s in o n o n u t i l i s e la v e r s io n l ib r e
• M o d è le c la s s iq u e . • O n p a y e a c h a q u e f o is q u 'o n v e u t u t i l i s e r la s o lu t io n .• E v a p o r t a io n f is c a le• I n n o v a t io n à l 'é t r a n g e r• B a la n c e d e s e x p o r t a t io n s d i f f ic i t a i r e s
• B u s in e s s a s U s u a l !• D é m a r c h e s o p p o r t u n is t e s• O f f r e e n c o n s t r u c t io n• E n je u x d e s r e s s o u r c e s h u m a in e s• P e rm e t d 'in je c t e r u n e g r a n d e p a r t ie d e s f o n d s d a n s l 'e m p lo i a u n iv e a u lo c a l
www.LinID.orgwww.linagora.com
Notre offre
Tracking Manager
Directory Manager
Access Manager
Sync Manager
OpenLDAP Manager
Federation Manager
Tracking Manager
Directory Manager
Access Manager Sync Manager
OpenLDAP Manager
Federation Manager
Partenaire authentifié
Utilisateur
Administrateur
Bases de l’entreprise
Annuaire
Applications(web)
Ils nous font confiance !
L’offre produit LinID vous apporte le meilleur des fonctions d’une suite de gestion d’identité et l’interopérabilité d’une solution Open Source.
Nos briques d’infrastructure
E n je u xA l im e n ta t io n , e x t r a c t io n e t s y n c h r o n is a t io n
d e s r é fé r e n t ie ls e x is t a n t s a v e c l’a n n u a ir e , r é fé r e n t ie l p r in c ip a l d e s id e n t i t é s
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– L in S y n c
Sync Manager
Nos briques d’infrastructure
E n je u xW e b S S O c o n s t r u i t s u r A p a c h e , p r o f i t a n t d e
l’e n s e m b le d e la m o d u la r i t é d e s m o d u le s d ’a u t h e n t i f ic a t io n e t d e la s c a la b i l i t é d ’A p a c h e e n R e v e r s e P r o x y, in t é g r a t io n n o n -in t r u s iv e d e s a p p l ic a t io n s v ia e n tê t e H T T P e t n o n A P I , c o m p lé t io n a u to m a t iq u e d e f o rm u la i r e s , c o m b in a is o n d e s m é th o d e s d ’a u th e n t i f ic a t io n .
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– L in ID A c c e s s M a n a g e r
Access Manager
Nos services
E n je u xP la te fo rm e p o u r le s u t i l i s a t e u r s d e g e s t io n d u
c o n te n u d ’a n n u a ir e , a v e c m o d u le s d e p u b l ic a t io n , r e c h e r c h e s e t o r g a n ig r a m m e s
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– I n t e r L D A P
Directory Manager
Nos services
E n je u xP la te fo rm e d e g e s t io n d e c o n t e n u e t
d ’a d m in is t r a t io n d ’a n n u a ir e , in té g r a n t d e s m o d u le s d e d é lé g a t io n e t d e r e c h e r c h e
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– L in ID O p e n L D A P M a n a g e r
OpenLDAP Manager
Nos services
E n je u xO u v e r t u r e d e s a p p l ic a t io n s in te r n e s a u x
p a r t e n a i r e s e x té r ie u r s p a r le s p r o t o c o le s s ta n d a r d s d e fé d é r a t io n d ’id e n t i t é s (ID -F F, ID -W S F, S A M L 2 ), fo u r n is s e u r d ’id e n t i t é s e t d ’a t t r ib u t s e n W e b -S e r v ic e .
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s- F e d e r ID & L e m o n S A M L
Federation Manager
www.LinPKI.orgwww.linagora.com
Authentificatio
n forteMessagerie sécurisée
Autorité de certification
Transferts sécurisés
SignServeret horodatage
Usine à certificats(support physiques / logiciel)
Coffre-fort électronique
Signatureélectronique
La PKI (Public Key Infrastructure)
Utilisateur
Stockage du certificat
Clef privée
Clef publique
Autorité d’enregistrement
Autorité de certification Certificat
Ils nous font confiance !De par le positionnement unique de son offre, la progression de sa part de marché et la solidité du Groupe LINAGORA, LinPKI a aujourd’hui les moyens de ses ambitions : s’imposer au niveau mondial !
Nos briques d’infrastructure
E n je u xL e c œ u r d 'u n e in f r a s t r u c tu r e d e c o n f ia n c e
q u i m a n a g e l 'in t é g r a l i t é d e s id e n t i t é s n u m é r iq u e s .
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– A u to r i t é d e c e r t i f ic a t io n : l in R A
Autorité de certification
Nos briques d’infrastructure
Usine à certificats
E n je u xG è r e le c y c le d e v ie c o m p le t d e s c e r t i f i c a t s
d a n s le S I , c a p a b le d e g é n é r e r d e s c e r t i f i c a t s s u r to u t t y p e d e s u p p o r t
Q u e lq u e s c o n c u r r e n t s
C o m
C o m p o s a n t s te c h n o lo g iq u e s– U s in e à c e r t i f ic a t s : E J B C A
SignServeret horodatage
Nos briques d’infrastructure
E n je u xP e rm e t la s ig n a tu r e a u n o m d 'u n s e r v e u r o u
d e to u t e l 'o r g a n is a t io n e t p r e n d e n c h a r g e le s fo n c t io n s d 'h o r o d a ta g e e n a p p o s a n t u n e h e u r e f ia b le s u r le s d o n n é e s
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– L in S ig n S e r v e r
Nos services
Authentification
forte
E n je u xC o m b in é e à n o t r e o f f r e d e g e s t io n d e s
id e n t i t é s (L in ID ), c e t t e s o lu t io n p e rm e t la g e s t io n d 'u n a c c è s p a r f a i t e m e n t s é c u r is é p o u r v o s s e r v ic e s c r i t iq u e s o u v e r s l 'e x t é r ie u r.
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– G e s t io n d e s id e n t i t é s : L in ID
Nos services
Messagerie sécurisée
E n je u xR é p o n d r e à v o s b e s o in s p o u r g a r a n t i r
l 'id e n t i t é e t la q u a l i t é d u s ig n a ta i r e a in s i q u e l 'in a l t é r a b i l i t é e t la c o n f id e n t ia l i t é d u m e s s a g e
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– P K I : L in P K I
– M e s s a g e r ie : O B M
Nos services
Signatureélectronique
E n je u xP e rm e t à u n u t i l is a t e u r d e s ig n e r t o u s t y p e s d e
d o n n é e s .
N o t r e s o lu t io n e s t en cours de certification d e p r e m ie r n iv e a u p a r la Agence Nationale de la S écurité des S ystèmes d'Information, e t s e r a a in s i la première vraie alternative c e r t i f ié e a u x s o lu t io n s p r o p r ié t a i r e s .
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– S ig n a tu r e : L in S ig n
En cours de
certific a tion
!
Nos services
Coffre-fort électronique
E n je u xP e rm e t a u x u t i l i s a t e u r s d 'o r g a n is e r, g é r e r e t
a r c h iv e r le s d o c u m e n ts s e n s ib le s d e l 'o r g a n is a t io n
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– P K I : L in P K i
– S to c k a g e s é c u r is é : L in S h a r e
Nos services
Transferts sécurisés
E n je u xU n e s o lu t io n s im p le e t c o m p lè te p o u r
s é c u r is é le s é c h a n g e s a u s e in d e l 'e n t r e p r is e a in s i q u 'a v e c l 'e x t é r ie u r.
Q u e lq u e s c o n c u r r e n t s
C o m p o s a n t s te c h n o lo g iq u e s– P K I : L in P K I
– P a r ta g e s d e f ic h ie r s : L in S h a r e
SSO et authentification forte
Matinée Pour Comprendre« O u t i ls d e S é c u r i t é e t d 'I d e n t i t é e n O p e n S o u r c e ! Ç a m a r c h e »
Clément OUDOTArchitecte
Groupe [email protected]
2 8Sommaire
● Concepts et définition du WebSSO
● LinID Access Manager / LemonLDAP::NG
● Authentification forte appliquée au WebSSO
2 9
Définition du WebSSO
3 0Définition du WebSSO
● SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique ».
● Le SSO regroupe plusieurs fonctionnalités :– Couple identifiant/mot de passe unique– Transmission transparente des informations
de session aux applications– Gestion des profils applicatifs, c'est-à-dire
qui accède à quoi
3 1SSO par agent
3 2SSO par délégation
3 3SSO par mandataire inverse
3 4Le protocole HTTP
G E T h t t p ://w w w .l in a g o r a .c o m H T T P /1 .1A c c e p t : te x t/h tm lU s e r-A g e n t : M o z i l la /5 .0 (X 1 1 ; U ; L in u x i6 8 6 ; f r ; r v :1 .7 .6 )
H T T P /1 .1 2 0 0 O KD a te : T h u , 1 3 M a r 2 0 0 8 1 5 :0 5 :2 9 G M TS e r v e r : A p a c h eC o n te n t-L e n g th : 2 6 4C o n te n t-T y p e : te x t/h tm l; c h a r s e t= is o -8 8 5 9 -1
<?x m l v e r s io n = "1 .0 " e n c o d in g = "is o -8 8 5 9 -1 " ?><!D O C T Y P E h tm l P U B L IC "-//W 3 C //D T D X H T M L 1 .0 T r a n s i t io n a l//E N " "h t t p ://w w w .w 3 .o r g /T R /x h tm l1 /D T D /x h tm l1 -t r a n s i t io n a l.d t d "><h tm l x m ln s = "h t t p ://w w w .w 3 .o r g /1 9 9 9 /x h tm l" la n g = "f r " x m l:la n g = "f r " d ir = "l t r "><h e a d ><t i t le >L in a g o r a , in t e g r a te u r d e r e f e r e n c e s u r le m a r c h e d e s lo g ic ie ls l ib r e s </t i t le >
....</h tm l>
3 5
LinID Access Manager / LemonLDAP::NG
3 6Positionnement LinID Access Manager
3 7LinID Access Manager
Principe – Reverse proxy en rupture de flux
– ou Agent local
Support– Des fonctions de SSO sur n'importe quelle application
HTTP
– Sécurisation des flux Web Services inter-applicatifs
– Méthode ou combinaison de méthodes d'authentification
Intégration des applications– Intégration non-intrusive (entête HTTP)
– Support de la complétion automatique de formulaires
3 8Caractéristiques détaillées● SSO sur les applications Web (support du protocole HTTP)● Disponibilité :
– Linux (Debian, Ubuntu, Redhat, Fedora, ...)
– Indépendant de l'architecture (x86 32/64, PPC, ...)
● Support du module d'authentification de tout système supportant Apache et notamment :
– SSO avec l'authentification des postes intégrés dans un domaine NT/AD
– LDAP, X509v3, Radius, Kerberos, CPS
– Compatibilité avec d'autres solutions de SSO (CAS, SiteMinder via Apache)
● Compatibilité du module d'autorisation :– Annuaires LDAP
– Bases SQL
– Web Services
● Stockage des informations : backend fichier, LDAP
3 9LinID Access Manager
4 0LinID AM et LemonLDAP::NG
● LemonLDAP::NG est un logiciel libre, disponible chez OW2 http://lemonldap.ow2.org
● La version ::NG a été écrite par Xavier Guimard, de la Gendarmerie Nationale
● LINAGORA est contributeur officiel de la solution et possède des développeurs actifs
● LINAGORA distribue LemonLDAP::NG sous le nom LinID Access Manager, sans ajout de modules propriétaires : tout est libre !
4 1Principes● Le principe général est d'utiliser un
annuaire LDAP pour :– authentifier l'utilisateur (vérification du mot
de passe)– effectuer un contrôle d'accès (selon les
attributs LDAP de l'utilisateur)– approvisionner les applications (par
transmissions des attributs LDAP dans les en-têtes HTTP)
● Les dernières versions permettent de s'affranchir totalement de l'annuaire si besoin (par exemple pour une gestion SSL uniquement)
4 2Fonctionnement général
4 3Portail d'authentification
4 4Réinitialisation du mot de passe
4 5Menu des applications
4 6Gestion des sessions
● Utilisation de n'importe quel module Apache::Session pour le stockage (File, DBI, LDAP, Memcached, ...)
● Inscription du numéro de session dans un cookie temporaire (non écrit sur disque) avec le choix :
– Cookie non-sécurisé– Cookie sécurisé (HTTPS uniquement)– Double cookie
● Durée de vie des sessions configurable
4 7Règles d'accès
● Les règles d'accès sont des expressions Perl
● Elles peuvent être appliquées sur tout ou partie d'une application protégée (utilisation d'expressions régulières sur les URL)
● Tous les attributs exportés lors de l'authentification sont disponibles dans les règles
● Un système de macros permet de stocker des valeurs calculées en session
4 8Règles d'accès
● Accès pour tous les utilisateurs authentifiés :
– Default => accept● Accès pour le groupe « admin » :
– Default => $groups =~ /admin/● Interception du logout de l'application
– ^/logout.php => logout_sso
4 9Hôtes virtuels
● La distinction des applications est basée sur la notion d'hôtes virtuels
● Les hôtes virtuels peuvent être répartis sur plusieurs serveurs Apache
● Chaque hôte virtuel possède :– Des règles d'accès– Des en-têtes HTTP
● Les en-têtes HTTP contiennent également des expressions Perl
5 0Applications nativement
compatibles
5 1Autres applications compatibles
● Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ...
● Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ...
● Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ...
● Applications compatibles SiteMinder
5 2Nouveautés de la version 0.9.4
● Utilisation de LDAP possible pour le stockage de la configuration et des sessions
● Réécriture complète des fonctions SOAP : le portail est directement un point d'accès SOAP
● Système de notifications● Nouvelles fonctions disponibles dans les
règles d'accès pour vérifier les dates, les jours et les heures de connexion autorisés
● L'adresse du portail peut être dynamique● Séparation des modules d'authentification,
de données utilisateur et de mots de passe● Gestion complète de la politique des mots
de passe LDAP● Configuration simplifiée du cross-domain
5 3Feuille de route
● Refonte de l'interface d'administration● Validation du formulaire d'authentification
pour les applications fermées● Portefeuille de comptes pour les
applications fermées● Support SAML2 complet (fournisseur
d'identités et fournisseur de service)
5 4
Authentification forte
5 5Authentification forte
● LemonLDAP::NG sait exploiter le module SSL d'Apache
● Ce module assure la vérification du certificat client (révocation, clés, etc.)
● Un composant du certificat est utilisé comme clé de recherche sur l'annuaire LDAP
● Il est aussi possible de désactiver la recherche LDAP pour obtenir un SSO basé uniquement sur les certificats SSL
La signature électronique en Open Source. C'est possible !
LinSign
Matinée Pour ComprendreLinS ign
Sébastien LEVESQUEArchitecte logiciel Java
Groupe [email protected]
5 7Sommaire
● L'offre de sécurité LinPki.● LinSign.
– Caractéristiques fonctionnelles.– Caractéristiques techniques.– CSPN.
● Démonstration (édition standalone).
5 8L’offre sécurité LinPKI
L’offre de signature électronique LinSign s’inscrit dans une offre globale de sécurité, appelée Offre sécurité LinPKI.
LinPKI est une plate-forme applicative qui permet l’établissement d’éléments de preuve ayant une valeur probante reconnue et pérenne, en conformité avec la règlementation européenne et française relative à la signature électronique.
Projet de recherche et développement financé par :
L’OSEO
LINAGORA
L’ANSSI (DCSSI)
5 9
LinPK I e s t u n e s u i t e a p p l ic a t iv e d e s é c u r i t é p o u r m e t t r e e n œ u v r e la s ig n a t u r e e t le c h i f f r e m e n t à b a s e
d e c e r t i f i c a t n u m é r iq u e
A p p l ic a t io n c l ie n t d e s ig n a t u r e é le c t r o n iq u e
S e r v ic e d e v a l id a t io n d e c e r t i f ic a t s e n t e m p s r é e l
S e r v e u r d e s ig n a t u r e m u l t i-u s a g e d ’h o r o d a t a g e in d u s t r ie l
C o f f r e -fo r t e t p a r t a g e d e
f ic h ie r s s é c u r is é
A p p l ic a t io n c l ie n t d e s ig n a t u r e é le c t r o n iq u e
(c e r t i f ic a t io n C S P N e n c o u r s )
LinSign
LinPKILinPKI
LinCheck
LinShare
S ig n S e r v e r
L’offre sécurité LinPKI
6 0LinPKI : Exemple de fonctionnalité
U n U t i l is a t e u r d é p o s e u n d o c u m e n t é le c t r o n iq u e
LinPKISignature
L ’u t i l i s a t e u r s ig n e le d o c u m e n t a v e c s o n c e r t i f ic a t v ia le c o m p o s a n t d e s ig n a tu r e d e L in S ig n
LinPKIValidation
L e s e r v ic e d e v a l id a t io n v é r i f ie le c e r t i f ic a t n u m é r iq u e d u c l ie n t q u i a s ig n é le d o c u m e n t
LinPKISignature
L e s e r v e u r d e s ig n a tu r e a jo u t e d e s é lé m e n t s d e s ig n a tu r e : é lé m e n t s d e v a l id a t io n , h o r o d a ta g e , c o n t r e o u c o -s ig n a tu r e .
LinPKIHorodatage
H o r o d a ta g e d e s s ig n a tu r e s
A r c h iv a g e d e s d o c u m e n ts
6 1LinPKI : Architecture fonctionnelle
6 2LinSign : Présentation
L’application LinSign fournit un service de signature électronique de documents depuis le poste client
LinSign est conçu dans un esprit de généricité et de modularité vis-à-vis des applications. Elle peut être mise en œuvre de plusieurs façons.
Produit : LinSign est utilisée comme un produit prêt à être installé (sorte de « boîte noire »).Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier LinSign en intégrant le composant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application (e.g. LinShare).
6 3LinSign : Présentation
LinSign, l’application de signature existe selon plusieurs éditions:
– édition client-serveur (Portal) : en mode distant et connecté sur les navigateurs standards du marché. Intégration avec les frameworks web Tapestry, JSF, Seam, JSP.
– édition client seul (Client) : en mode autonome sur un système d’exploitation, mais mise à disposition via un réseau,
– édition client autonome (Standalone) : en mode autonome sur un système d’exploitation ou des clients lourds,
– édition librairie/boîte à outils (API) : en mode service embarqué dans des applications métiers.
6 4LinSign : Certification de sécurité
LinSign est réalisée selon sa cible de sécurité conformément au profil de protection « Application de création de signature électronique » des Critères Communs.
Certification CSPN (Certification de Sécurité de Premier Niveau)
Dans un premier temps, LinSign sera évaluée et certifiée dans le cadre de la CSPN (reconnue au niveau national, en France).
Cette certification est en cours 04/11/2009.
Contraintes sur SHA-256 et édition client autonome (standalone).
Certification Critères Communs (futur)
Dans un second temps, LinSign sera évaluée et certifié dans le cadre des Critères Communs, au niveau EAL3+ (reconnus au niveau international).
6 5LinSign : Licence
La Licence libre de l’application LinSign
LINAGORA a opté pour une licence OSL (Open Software License) 3.0Écrite par un avocat américain, Lawrence Rosen, la licence est labellisée open source par l’OSI depuis 2002 et est l'une des licences libres les mieux rédigées ;
Une licence copyleft qui assure la pérennité de son évolution ;
Une licence modulaire qui permet les interactions étroites avec d'autres briques logicielles ;
Une licence encadrant les utilisations classiques comme pour les fournisseurs de services (ASP, etc.).
6 6LinSign : Caractéristiques fonctionnelles
Gestion des politiques de signature :– type de certificat X.509v3 (qualifié ou pas, usage de la clé, etc.)– chaîne de certification : AC acceptées– politique acceptée (identifiant OID)– formats des éléments à signer : PDF, ODT, XML, HTML, etc.– formats de la signature : PDF/A, XAdES, XML-DSign, PKCS #7 ...– types de token (PKCS #11, PKCS #12, JKS, navigateurs web)– référence au document de signature– algorithmes de signature : RSA (PKCS #1)– algorithmes du condensé : SHA-1, SHA-256
LinSign est configurable via un système de gestion de politiques de signature.
6 7LinSign : Caractéristiques fonctionnelles
6 8LinSign : Caractéristiques techniques
LinSign s’adapte à l’hétérogénéité des contextes applicatifs et des environnements clients :
Windows, Macintosh, GNU/Linux, Unix
Navigateurs web : IE 6 et supérieurs, Mozilla Firefox et Safari
Java JEE (serveurs de servlets…)
Utilisation de certificats X.509 v3Validation du certificat : AC de confiance, date de validité, usage de clé,
etc.
Utilisation de différents formats de signature :
PDF/A, ODF Text, XAdES 1.3.2, XML-DSig, CMS/PKCS #7, S/MIME ;
Utilise différents supports pour la signature :Les cartes à puce et tokens USB : Gemalto, Oberthur, Sagem, Aladin ;
Les magasins des navigateurs web : Mozilla NSS (Firefox), Microsoft CryptoAPI (Internet Explorer), Mac OS Keychain (Safari) ;
Fichiers PKCS #12 ;
Fichiers Java KeyStore (JKS).
6 9
z ip
LinSign : édition standalone CSPN
Signature XML DSIG détachée
Signature au format Xades ETSI TS 101 903 V1.3.2 (2006-03)
<s ig n a t u r e ><r e fe r e n c e ><r e fe r e n c e >
</s ig n a tu r e >
a .p d f
S ig n e din f o
S ig n a t u r e K e y in f o
S ig nature X M L DS IG
S ig n e dp r o p e r t ie s
U n s ig n e dp r o p e r t ie s
S ig nature X ades X ades propriétés s ig nées :
(S ig ning Time) (S ig ning C ertific a te) (S ig naturePolic yIdentifier) (S ig natureProduc tionP lac e)? (S ig nerR ole)?
7 0LinSign : édition standalone CSPN
JRE/JDK 6– par défaut, ne supporte pas la signature XML SHA-256
– avec Microsoft Windows Le JDK [SunMSCapi] n'implémente pas:
● la signature au format brut.● la signature pour le SHA-256.
– le swing ne gère que l'environnement de bureau Gnome.
PKCS11– entièrement configurable : oberthur ID-one IAS ECC
(compatible avec la carte européenne du Citoyen et des standards de signature électronique. La carte est en fin de certification EAL4+ pour la signature électronique).
Firefox– Accès au magasin sur toutes les plateformes (windows,
linux, mac...) via NSS.
7 1LinSign : Démonstration édition standalone
6 étapes pour signer des documents:
Politiques de signature disponibles.
Sélection des fichiers.
Liste des magasins disponibles.
Sélection d'une clef de signature.
« lu et approuvé », signer.
Fichiers signés.
7 2LinSign : Démonstration édition standalone
LinShareOffre de partage de fichiers sécurisé
Matinée Pour ComprendreLinS hare
Sébastien LEVESQUEArchitecte logiciel JavaGroupe [email protected]
7 4
● Genèse de LinShare
● Présentation de LinShare
● Démonstration de LinShare
● Présentation du plugin pour Microsoft Outlook
Agenda
7 5Genèse de LinShare
● Outil de partage simple développé en PHP en 2004
● Demande de la part de l'INSERM en 2008 d'un outil de transfert de fichiers en mode sécurisé
● 1ère version disponible en juin 2009● Octobre 2009 : publication sous licence libre
A n c ie n o u t i l d e p a r t a g e d e L in a g o r a
7 6Présentation de LinShare
LinShare permet de :
● Déposer des fichiers dans son coffre fort électronique
● Partager des fichiers avec des collaborateurs internes ou externes
● Gérer les partages● Sécuriser les échanges● La traçabilité des échanges● Historique et reporting des actions● Intégration et communication avec des applications
externes (Outlook, Thunderbird)
7 7Dépôt de fichiersDépôt/suppression et mise à jour de fichiers.Fonction de coffre-fort électroniqueAjout d’information sur un fichier : commentaires, tags
7 8Partage de fichiers/dossiers
Mise en place de partage vers des collaborateurs internes ou externesPartage par fichiers ou par dossiersAssociation de groupes ou d’utilisateurs à un partagePartage simple ou sécurisé
7 9Gestion des utilisateursCréation de compte invité pour des dépôts temporaires
Gestion des comptes (création, suppression, recherche...)
Gestion des groupes
Import d’utilisateurs et de groupes depuis un annuaire, base de données, Active Directory
8 0Cryptographie
● Disponible dans la version Open Source dès publication
de LinSign début 2010
● Signature électronique de documents (format XAdES,
standard européen)
● Chiffrement par certificat ou par mot de passe● Authentification : SSO, Certificats, Active Directory,
OpenLDAP
● Partage sécurisé par mot de passe temporaire
● Gestion de la politique des mots de passe (longueur,
renouvellement, droit de modification, etc.)
8 1Historique
Traçabilité :– Utilisateurs (historique des actions)– Administrateurs
(audit/reporting/statistique)
8 2Utilisation et partage
API Rest et Web Service pour communiquer avec des composants externes. Plugin pour Outlook et Thunderbird.
8 3Autres fonctionnalités
● Accusé de téléchargement– Simple par courriel
– Signé au format PDF
● Filtre MIME de fichiers● Gestion des quotas utilisateurs● Temps de dépôt de données en relation avec la taille des
fichiers● Compression de données lors de partages multiples
8 4Administration de LinShare
8 5Technique et licence
● Techniques :– Application développée en Java JEE
– Indépendant des bases de données (PostgreSQL, MySQL, Oracle, etc.)
– Indépendant des systèmes d’exploitation (Windows, GNU/Linux, Sun, etc.)
– Nécessite au minimum Tomcat ou un serveur d’applications (JBoss, GlashFish, etc.)
– Intègre le module linSign pour la signature (édition portail).
● Licence libre (open source) : GNU Affero General Public License, version 3
● Version communautaire disponible : http://forge.linpki.org/projects/show/linshare
8 6LinShare en action !
Essayer vous même via http://demo.linpki.org/linShare/
8 7Plugin outlook : accéder aux options
L a b a r r e d 'o u t i ls l in S h a r e d a n s M ic r o s o f t O u t lo o k 2 0 0 3 : é c r i t u r e d u m e s s a g e
8 8Plugin outlook : configuration
8 9Plugin outlook : authentification
9 0Plugin outlook : sélection des fichiers
9 1Plugin outlook : upload vers le serveur
9 2Plugin outlook : le mail sans les pièces jointes
9 3Plugin outlook : le mail du serveur LinShare