Smart Card Logon / Biom©trie / PKINIT / Match on Card

  • View
    1.940

  • Download
    0

Embed Size (px)

DESCRIPTION

Une présentation sur l'intégration de la technologie PKINIT et la Biométrie Match on Card

Text of Smart Card Logon / Biom©trie / PKINIT / Match on Card

  • 1. Biomtrie & Protection des donnes en entreprise 22 mai 2008 e-Xpert Solutions S.A.

2. Lart de fortifier ne consiste pas dans des rgles et des systmes mais uniquement dans le bon sens et lexprience Sebastien le Prestre de Vauban Ingnieur Architecte 1633-1707 3. Biomtrie dans un environnement Microsoft Philippe Logean / Sylvain Maret e-Xpert Solutions SA 4. Pourquoi mettre en uvre la biomtrie avec Microsoft ?

  • Intgration de PKINIT et de lutilisation des certificats numrique couple la biomtrique
  • Bref rappel sur le protocole Kerberos
  • Crack dun mot de passe Kerberos
  • Protocole PKINIT (Smart Card Logon)
  • Validation Online dune identit numrique
    • Protocole OCSP

5. Authentification dun utilisateur avec Kerberos 6. Principe de lattaque avec ARP Spoofing Rseau switch KDC Client Microsoft Attaque ARP Attaque ARP Kerberos Kerberos Routage Renifleur 7. Dmonstration: Crack dun mot de passe Microsoft Kerberos 8. Exemple darchitecture avec RSA Security 9. Authentification dun utilisateur avec PKINIT 10. Authentification dun utilisateur avec PKINIT (suite)

  • 1. Saisie des empreintes dansWinlogonlors de linsertion de la carte puce dans le lecteur .Transmis au SSP Kerberos
  • 2. Appel au driver d Athena . Envoi des minutie biomtrique pour accder aux donnes contenues dans la carte puce
  • 3. Rcupration du certificat utilisateur par le SSP
  • 4. Gnration, par le SSP, dun authentifieur contenant unTimestamp . Transmis au CSP
  • 5. Signature de lauthentifieur par le CSP (ralis dans la carte puce)

11. Authentification dun utilisateur avec PKINIT (suite)

  • 6. Signature retourne au SSP
  • 7. Requte AS ( Authentication Service ) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature
  • 8. Vrification de la validit du certificat ( Certification Path , CRL,trustCA). Vrification de la signature. Recherche des informations de lutilisateur (user@domain)
  • 9. Rcupration des informations utilisateur (user SID ( Security Identifier ), group SID) pour construire le TGT
  • 10. Rponse AS contenant le TGT. Chiffr avec la cl publique du client et signe par le KDC
  • [(( TGT )TGS_key+C-T_key+KCA_Cert)Rdm_key+( Rdm_key )U_pub_key]Sign_KCA_priv_key

12. Dmonstration: Microsoft Smart Card Logon (PKINIT) 13. Validation online dune identit numrique (OCSP) KDC / AD Microsoft RSA ValidationManager OCSP request Valide Pas valide Inconnu Client OCSP 14. Dmonstration OCSP 15. e-Xpert Solutions S.A. est une socitSuissede servicesspcialise en scurit informatique dont les fondateurs ont fait de leur passion leur mtier : La scurit des systmes d'information Fort de leurs convictions et de leur exprience, nos ingnieurs conoivent, dploient et maintiennent au quotidien des architectures de scurit au moyen de solutions pragmatiques, bases sur des technologies fondamentales et novatrices, adaptes aux exigences de la clientle. Cette approche, associe descollaborateursmotivs, flexibles et au bnfice d'une intgrit irrprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientle issue de tout domaine d'activit et de toute taille. Notre sige Bernex/Genve et notre agence de Morges/Lausanne vous garantissent un contact de proximit.