Présentations données lors du séminaire de Linagora du mois de novembre, intitulé : " Outils de sécurité et identité en Open Source ! ça marche !".
Intervenants :
- Sebastien BAHLOUL, Responsable des offres Sécurité et Identité, Linagora
- Clément OUDOT, Architecte, LINAGORA
- Sébastien LEVESQUE, Architecte logiciel Java, LINAGORA
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Séminaire Linagora sécurite et identité en Open Source, novembre 2009
1. Matinée Pour Comprendre
O u tils d e s é c u r ité e t d 'id e n tité e n O p e n
S o u rc e !Ç a m a rc h e !
Identité et sécurité Open
Source : une réalité
Sébastien BAHLOUL
Responsable offre Identité & Sécurité
Groupe LINAGORA
sbahloul@linagora.com
3. LINAGORA
Mission : Logiciels et service Open
Source pour réussir les grands
projets du libre
Création : Mai 2000
Capital : Privé
Effectif: 150 employés
5. Notre positionnement
F r e e m iu m F r e e -F r e e S e r v ic e s
P r o p r ié ta ir e
= 5 0 à 8 0 % L ib r e = 1 0 0 % L ib r e = + o u - L ib r e
= 0 % L ib r e
= P r o p r ié ta ir e
• M o d è le c la s s iq u e . • F a v o r is e la d if f u s io n • B u s in e s s a s U s u a l !
• M o d è le d is r u p tif d e
• O n p a y e a c h a q u e f o is M a s s iv e •D é m a rc h e s
c o m m e r c ia lis a tio n e t d e • U tilis a te u r s p lu s
q u 'o n v e u t u tilis e r la d is tr ib u tio n d e l'in n o v a tio n o p p o r t u n is te s
s o lu tio n . • F a v o r is e la d if f u s io n d if f ic ile m e n t • O f f r e e n c o n s tr u c t io n
• E v a p o r t a io n f is c a le • U tilis a te u r s f a c ile m e n t « m o n é tis a b le s » • E n je u x d e s r e s s o u r c e s
• I n n o v a t io n à l'é t r a n g e r • L e s é d ite u r s F r e e -f r e e h u m a in e s
« m o n é tis a b le s » : q u a n d
• B a la n c e d e s e x p o r ta tio n s f o n t le p a r i d e v e n d r e a u • P e r m e t d 'in je c t e r u n e
o n v e u t u n e s o lu tio n p o u r
d if f ic it a ir e s m a r c h é « s o lv a b le » g r a n d e p a r t ie d e s f o n d s
e n tr e p r is e o n p a y e , s in o n
u n iq u e m e n t e t a c c e p te d a n s l'e m p lo i a u n iv e a u
o n u tilis e la v e r s io n lib r e
q u e le m a r c h é « n o n lo c a l
s o lv a b le »
• M o in s d e L o c k e d -In p o u r
le s c lie n ts
• P lu s g r a n d r e s p e c t d e la
p h ilis o p h ie O p e n S o u r c e
• M o d è le s d e s s o lu tio n s
L ib r e s e u r o p é e n n e s :
• D if f ic u lté d e f in a n c e m e n t
d e c e s m o d è le s
9. Ils nous font confiance !
L’offre produit LinID vous
apporte le meilleur des
fonctions d’une suite de gestion
d’identité et l’interopérabilité
d’une solution Open Source.
10. Nos briques d’infrastructure
E n je u x
A lim e n ta tio n , e x tr a c tio n e t s y n c h r o n is a tio n
d e s r é fé r e n tie ls e x is ta n ts a v e c l’a n n u a ir e ,
r é fé r e n tie l p r in c ip a l d e s id e n tité s
Sync
Manager
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– L in S y n c
11. Nos briques d’infrastructure
E n je u x
W e b S S O c o n s t r u it s u r A p a c h e , p r o fita n t d e
l’e n s e m b le d e la m o d u la r ité d e s m o d u le s
d ’a u t h e n t if ic a tio n e t d e la s c a la b ilité d ’A p a c h e
e n R e v e r s e P r o x y, in té g r a tio n n o n -in tr u s iv e d e s
Access
a p p lic a t io n s v ia e n tê te H T T P e t n o n A P I,
Manager c o m p lé tio n a u to m a tiq u e d e fo r m u la ir e s ,
c o m b in a is o n d e s m é t h o d e s d ’a u th e n tific a tio n .
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– L in ID A c c e s s M a n a g e r
12. Nos services
E n je u x
P la te fo r m e p o u r le s u tilis a te u r s d e g e s tio n d u
c o n te n u d ’a n n u a ir e , a v e c m o d u le s d e
p u b lic a tio n , r e c h e r c h e s e t o r g a n ig r a m m e s
Directory
Manager
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– In te r L D A P
13. Nos services
E n je u x
P la te fo r m e d e g e s tio n d e c o n te n u e t
d ’a d m in is tr a tio n d ’a n n u a ir e , in té g r a n t d e s
m o d u le s d e d é lé g a tio n e t d e r e c h e r c h e
OpenLDAP
Manager Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– L in ID O p e n L D A P M a n a g e r
14. Nos services
E n je u x
O u v e r tu r e d e s a p p lic a tio n s in te r n e s a u x
p a r te n a ir e s e x té r ie u r s p a r le s p r o to c o le s
s ta n d a r d s d e fé d é r a tio n d ’id e n tité s (ID -F F,
Federation ID -W S F, S A M L 2 ), fo u r n is s e u r d ’id e n tité s
Manager e t d ’a ttr ib u ts e n W e b -S e r v ic e .
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
- F e d e r ID & L e m o n S A M L
16. Coffre-fort Messagerie Transferts Authentificatio
électronique sécurisée sécurisés n forte
SignServer
Signature et horodatage
électronique
Usine à certificats Autorité de
(support physiques / logiciel) certification
17. La PKI (Public Key Infrastructure)
Autorité de
Clef publique Certificat
certification
Autorité
d’enregistrement
Clef privée
Stockage du
certificat
Utilisateur
18. Ils nous font confiance !
De par le positionnement unique
de son offre, la progression de
sa part de marché et la solidité
du Groupe LINAGORA, LinPKI a
aujourd’hui les moyens de ses
ambitions : s’imposer au niveau
mondial !
19. Nos briques d’infrastructure
E n je u x
L e c œ u r d 'u n e in fr a s tr u c tu r e d e c o n fia n c e
q u i m a n a g e l'in té g r a lité d e s id e n tité s
n u m é r iq u e s .
Autorité de
certification
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– A u to r ité d e c e r tific a tio n : lin R A
20. Nos briques d’infrastructure
E n je u x
G è r e le c y c le d e v ie c o m p le t d e s c e r tific a ts
d a n s le S I, c a p a b le d e g é n é r e r d e s
c e r tific a ts s u r to u t ty p e d e s u p p o r t
Usine à
certificats Q u e lq u e s c o n c u r r e n ts
Com
C o m p o s a n ts te c h n o lo g iq u e s
– U s in e à c e r tific a ts : E J B C A
21. Nos briques d’infrastructure
E n je u x
P e r m e t la s ig n a tu r e a u n o m d 'u n s e r v e u r o u
d e to u te l'o r g a n is a tio n e t p r e n d e n c h a r g e
le s fo n c tio n s d 'h o r o d a ta g e e n a p p o s a n t
SignServer u n e h e u r e fia b le s u r le s d o n n é e s
et horodatage
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– L in S ig n S e r v e r
22. Nos services
E n je u x
C o m b in é e à n o tr e o ffr e d e g e s tio n d e s
id e n tité s (L in ID ), c e tte s o lu tio n p e r m e t la
g e s tio n d 'u n a c c è s p a r fa ite m e n t s é c u r is é
Authentification p o u r v o s s e r v ic e s c r itiq u e s o u v e r s
forte
l'e x té r ie u r.
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– G e s tio n d e s id e n tité s : L in ID
23. Nos services
E n je u x
R é p o n d r e à v o s b e s o in s p o u r g a r a n tir
l'id e n tité e t la q u a lité d u s ig n a ta ir e a in s i
q u e l'in a lté r a b ilité e t la c o n fid e n tia lité d u
Messagerie m essage
sécurisée
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– P K I: L in P K I
– M e s s a g e r ie : O B M
24. Nos services
E n je u x
P e r m e t à u n u tilis a te u r d e s ig n e r to u s ty p e s d e
données.
N o tr e s o lu t io n e s t en cours de certification d e
p r e m ie r n iv e a u p a r la Ag ence Nationale de la
Signature S écurité des S ys tèmes d'Information, e t s e r a
électronique a in s i la première vraie alternative c e r tifié e a u x
s o lu tio n s p r o p r ié t a ir e s .
de
co u rs
En i o nQ u e lq u e s c o n c u r r e n ts
t i fi cat
c er
! C o m p o s a n ts te c h n o lo g iq u e s
– S ig n a tu r e : L in S ig n
25. Nos services
E n je u x
P e r m e t a u x u tilis a te u r s d 'o r g a n is e r, g é r e r e t
a r c h iv e r le s d o c u m e n ts s e n s ib le s d e
l'o r g a n is a tio n
Coffre-fort
électronique
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– P K I: L in P K i
– S to c k a g e s é c u r is é : L in S h a r e
26. Nos services
E n je u x
U n e s o lu tio n s im p le e t c o m p lè te p o u r
s é c u r is é le s é c h a n g e s a u s e in d e
l'e n tr e p r is e a in s i q u 'a v e c l'e x té r ie u r.
Transferts
sécurisés
Q u e lq u e s c o n c u r r e n ts
C o m p o s a n ts te c h n o lo g iq u e s
– P K I: L in P K I
– P a r ta g e s d e fic h ie r s : L in S h a r e
27. Matinée Pour Comprendre
« O u tils d e S é c u r ité e t d 'Id e n tité e n O p e n
S o u rc e !Ç a m a rc h e »
SSO et authentification forte
Clément OUDOT
Architecte
Groupe LINAGORA
coudot@linagora.com
28. Sommaire 28
●
Concepts et définition du WebSSO
●
LinID Access Manager / LemonLDAP::NG
●
Authentification forte appliquée au WebSSO
30. Définition du WebSSO 30
●
SSO signifie « Single Sign On », qui peut
se traduire en français par
« authentification unique ».
●
Le SSO regroupe plusieurs
fonctionnalités :
– Couple identifiant/mot de passe unique
– Transmission transparente des informations
de session aux applications
– Gestion des profils applicatifs, c'est-à-dire
qui accède à quoi
34. Le protocole HTTP 34
G E T h ttp ://w w w .lin a g o r a .c o m H T T P /1 .1
A c c e p t: te x t/h tm l
U s e r -A g e n t: M o z illa /5 .0 (X 1 1 ; U ; L in u x i6 8 6 ; f r ; r v :1 .7 .6 )
H T T P /1 .1 2 0 0 O K
D a te : T h u , 1 3 M a r 2 0 0 8 1 5 :0 5 :2 9 G M T
S e rv e r: A p a c h e
C o n te n t-L e n g th : 2 6 4
C o n te n t-T y p e : te x t/h t m l; c h a r s e t= is o -8 8 5 9 -1
<?x m l v e r s io n = "1 .0 " e n c o d in g = "is o -8 8 5 9 -1 " ?>
<!D O C T Y P E h tm l P U B L IC "-//W 3 C //D T D X H T M L 1 .0
T r a n s itio n a l//E N " "h ttp ://w w w .w 3 .o r g /T R /x h tm l1 /D T D /x h tm l1 -tr a n s itio n a l.d t d ">
<h tm l x m ln s = "h ttp ://w w w .w 3 .o r g /1 9 9 9 /x h tm l" la n g = "f r " x m l:la n g = "f r " d ir = "ltr ">
<h e a d >
<title >L in a g o r a , in te g r a te u r d e r e f e r e n c e s u r le m a r c h e d e s lo g ic ie ls lib r e s </t it le >
....
</h tm l>
37. LinID Access Manager 37
Principe
– Reverse proxy en rupture de flux
– ou Agent local
Support
– Des fonctions de SSO sur n'importe quelle application
HTTP
– Sécurisation des flux Web Services inter-applicatifs
– Méthode ou combinaison de méthodes
d'authentification
Intégration des applications
– Intégration non-intrusive (entête HTTP)
– Support de la complétion automatique de formulaires
38. Caractéristiques détaillées 38
●
SSO sur les applications Web (support du protocole HTTP)
●
Disponibilité :
– Linux (Debian, Ubuntu, Redhat, Fedora, ...)
– Indépendant de l'architecture (x86 32/64, PPC, ...)
●
Support du module d'authentification de tout système supportant
Apache et notamment :
– SSO avec l'authentification des postes intégrés dans un
domaine NT/AD
– LDAP, X509v3, Radius, Kerberos, CPS
– Compatibilité avec d'autres solutions de SSO (CAS,
SiteMinder via Apache)
●
Compatibilité du module d'autorisation :
– Annuaires LDAP
– Bases SQL
– Web Services
●
Stockage des informations : backend fichier, LDAP
40. LinID AM et LemonLDAP::NG 40
●
LemonLDAP::NG est un logiciel libre,
disponible chez OW2
http://lemonldap.ow2.org
●
La version ::NG a été écrite par Xavier
Guimard, de la Gendarmerie Nationale
●
LINAGORA est contributeur officiel de la
solution et possède des développeurs
actifs
●
LINAGORA distribue LemonLDAP::NG sous
le nom LinID Access Manager, sans ajout
de modules propriétaires : tout est libre !
41. Principes 41
●
Le principe général est d'utiliser un
annuaire LDAP pour :
– authentifier l'utilisateur (vérification du mot
de passe)
– effectuer un contrôle d'accès (selon les
attributs LDAP de l'utilisateur)
– approvisionner les applications (par
transmissions des attributs LDAP dans les
en-têtes HTTP)
●
Les dernières versions permettent de
s'affranchir totalement de l'annuaire si
besoin (par exemple pour une gestion SSL
uniquement)
46. Gestion des sessions 46
●
Utilisation de n'importe quel module
Apache::Session pour le stockage (File,
DBI, LDAP, Memcached, ...)
●
Inscription du numéro de session dans un
cookie temporaire (non écrit sur disque)
avec le choix :
– Cookie non-sécurisé
– Cookie sécurisé (HTTPS uniquement)
– Double cookie
●
Durée de vie des sessions configurable
47. Règles d'accès 47
●
Les règles d'accès sont des expressions
Perl
●
Elles peuvent être appliquées sur tout ou
partie d'une application protégée
(utilisation d'expressions régulières sur les
URL)
●
Tous les attributs exportés lors de
l'authentification sont disponibles dans les
règles
●
Un système de macros permet de stocker
des valeurs calculées en session
48. Règles d'accès 48
●
Accès pour tous les utilisateurs
authentifiés :
– Default => accept
●
Accès pour le groupe « admin » :
– Default => $groups =~ /admin/
●
Interception du logout de l'application
– ^/logout.php => logout_sso
49. Hôtes virtuels 49
●
La distinction des applications est basée
sur la notion d'hôtes virtuels
●
Les hôtes virtuels peuvent être répartis sur
plusieurs serveurs Apache
●
Chaque hôte virtuel possède :
– Des règles d'accès
– Des en-têtes HTTP
●
Les en-têtes HTTP contiennent également
des expressions Perl
51. Autres applications compatibles 51
●
Applications reposant sur la sécurité
Apache (.htaccess) : Nagios, ...
●
Applications reposant sur la sécurité
Tomcat (users.xml) : Lutece, Probe, ...
●
Applications utilisant HTTP Basic : Domino
Web Access, Outlook Web Access, ...
●
Applications compatibles SiteMinder
52. Utilisation de LDAP possible pour le
stockage de la configuration et des
Nouveautés de la version 0.9.4 5 2
sessions
●
Réécriture complète des fonctions SOAP :
le portail est directement un point d'accès
SOAP
●
Système de notifications
●
Nouvelles fonctions disponibles dans les
règles d'accès pour vérifier les dates, les
jours et les heures de connexion autorisés
●
L'adresse du portail peut être dynamique
●
Séparation des modules d'authentification,
de données utilisateur et de mots de passe
●
Gestion complète de la politique des mots
de passe LDAP
●
Configuration simplifiée du cross-domain
53. Feuille de route 53
●
Refonte de l'interface d'administration
●
Validation du formulaire d'authentification
pour les applications fermées
●
Portefeuille de comptes pour les
applications fermées
●
Support SAML2 complet (fournisseur
d'identités et fournisseur de service)
55. Authentification forte 55
●
LemonLDAP::NG sait exploiter le module
SSL d'Apache
●
Ce module assure la vérification du
certificat client (révocation, clés, etc.)
●
Un composant du certificat est utilisé
comme clé de recherche sur l'annuaire
LDAP
●
Il est aussi possible de désactiver la
recherche LDAP pour obtenir un SSO basé
uniquement sur les certificats SSL
56. Matinée Pour Comprendre
LinS ig n
La signature électronique en Open
Source. C'est possible !
LinSign
Sébastien LEVESQUE
Architecte logiciel Java
Groupe LINAGORA
slevesque@linagora.com
58. L’offre sécurité LinPKI 58
L’offre de signature électronique LinSign s’inscrit dans une offre
globale de sécurité, appelée Offre sécurité LinPKI.
LinPKI est une plate-forme applicative qui permet l’établissement
d’éléments de preuve ayant une valeur probante reconnue et pérenne,
en conformité avec la règlementation européenne et française relative
à la signature électronique.
Projet de recherche et développement financé par :
L’OSEO
LINAGORA
L’ANSSI (DCSSI)
59. L’offre sécurité LinPKI 59
L inP K I e s t u n e s u ite a p p lic a t iv e d e
S e r v e u r d e s ig n a tu r e m u lt i-u s a g e
s é c u r it é p o u r m e tt r e e n œ u v r e la
d ’h o r o d a t a g e in d u s t r ie l
s ig n a tu r e e t le c h iff r e m e n t à b a s e
d e c e r t ific a t n u m é r iq u e
S ig n S e r v e r
C o ff r e -fo r t e t p a r t a g e d e A p p lic a t io n c lie n t d e
f ic h ie r s s é c u r is é
LinShare LinPKI LinPKI s ig n a t u r e é le c t r o n iq u e
LinSign
LinCheck A p p lic a t io n c lie n t d e s ig n a tu r e
S e r v ic e d e v a lid a tio n d e c e r t if ic a ts é le c tr o n iq u e
e n te m p s ré e l
(c e r t if ic a t io n C S P N e n c o u r s )
60. LinPKI : Exemple de fonctionnalité 60
LinPKI LinPKI LinPKI LinPKI A r c h iv a g e
Signature Validation Signature Horodatage des
d o c u m e n ts
U n U tilis a te u r L ’u tilis a te u r L e s e r v ic e d e L e s e rv e u r d e H o r o d a ta g e d e s
dépose un s ig n e le v a lid a tio n v é r if ie le s ig n a tu r e a jo u te d e s s ig n a tu r e s
docum ent docum ent avec c e r tif ic a t n u m é r iq u e é lé m e n ts d e
é le c tr o n iq u e s o n c e r tif ic a t v ia d u c lie n t q u i a s ig n é s ig n a tu r e : é lé m e n ts
le c o m p o s a n t d e le d o c u m e n t d e v a lid a tio n ,
s ig n a tu r e d e h o r o d a ta g e , c o n tr e
L in S ig n o u c o -s ig n a tu r e .
62. LinSign : Présentation 62
L’application LinSign fournit un service de signature électronique de
documents depuis le poste client
LinSign est conçu dans un esprit de généricité et de modularité vis-à-
vis des applications. Elle peut être mise en œuvre de plusieurs façons.
Produit : LinSign est utilisée comme un produit prêt à être installé
(sorte de « boîte noire »).
Boîte à outils : Il s’agit pour un projet applicatif de pouvoir
s’approprier LinSign en intégrant le composant, voire en les adaptant
à ses propres besoins dans le cadre du développement d’une
l’application (e.g. LinShare).
63. LinSign : Présentation 63
LinSign, l’application de signature existe selon plusieurs éditions:
– édition client-serveur (Portal) : en mode distant et connecté sur
les navigateurs standards du marché. Intégration avec les frameworks
web Tapestry, JSF, Seam, JSP.
– édition client seul (Client) : en mode autonome sur un système
d’exploitation, mais mise à disposition via un réseau,
– édition client autonome (Standalone) : en mode autonome sur
un système d’exploitation ou des clients lourds,
– édition librairie/boîte à outils (API) : en mode service
embarqué dans des applications métiers.
64. LinSign : Certification de sécurité 64
LinSign est réalisée selon sa cible de sécurité conformément au profil
de protection « Application de création de signature électronique »
des Critères Communs.
Certification CSPN (Certification de Sécurité de Premier Niveau)
Dans un premier temps, LinSign sera évaluée et certifiée dans le
cadre de la CSPN (reconnue au niveau national, en France).
Cette certification est en cours 04/11/2009.
Contraintes sur SHA-256 et édition client autonome
(standalone).
Certification Critères Communs (futur)
Dans un second temps, LinSign sera évaluée et certifié dans le cadre
des Critères Communs, au niveau EAL3+ (reconnus au niveau
international).
65. LinSign : Licence 65
La Licence libre de l’application LinSign
LINAGORA a opté pour une licence OSL (Open Software
License) 3.0
Écrite par un avocat américain, Lawrence Rosen, la licence est
labellisée open source par l’OSI depuis 2002 et est l'une des licences
libres les mieux rédigées ;
Une licence copyleft qui assure la pérennité de son évolution ;
Une licence modulaire qui permet les interactions étroites avec
d'autres briques logicielles ;
Une licence encadrant les utilisations classiques comme pour les
fournisseurs de services (ASP, etc.).
66. LinSign : Caractéristiques fonctionnelles 66
Gestion des politiques de signature :
– type de certificat X.509v3 (qualifié ou pas, usage de la clé, etc.)
– chaîne de certification : AC acceptées
– politique acceptée (identifiant OID)
– formats des éléments à signer : PDF, ODT, XML, HTML, etc.
– formats de la signature : PDF/A, XAdES, XML-DSign, PKCS #7 ...
– types de token (PKCS #11, PKCS #12, JKS, navigateurs web)
– référence au document de signature
– algorithmes de signature : RSA (PKCS #1)
– algorithmes du condensé : SHA-1, SHA-256
LinSign est configurable via un système de gestion de politiques de signature.
68. LinSign : Caractéristiques techniques 68
LinSign s’adapte à l’hétérogénéité des contextes applicatifs et des
environnements clients :
Windows, Macintosh, GNU/Linux, Unix
Navigateurs web : IE 6 et supérieurs, Mozilla Firefox et Safari
Java JEE (serveurs de servlets…)
Utilisation de certificats X.509 v3
Validation du certificat : AC de confiance, date de validité, usage de clé,
etc.
Utilisation de différents formats de signature :
PDF/A, ODF Text, XAdES 1.3.2, XML-DSig, CMS/PKCS #7, S/MIME ;
Utilise différents supports pour la signature :
Les cartes à puce et tokens USB : Gemalto, Oberthur, Sagem, Aladin ;
Les magasins des navigateurs web : Mozilla NSS (Firefox), Microsoft
CryptoAPI (Internet Explorer), Mac OS Keychain (Safari) ;
Fichiers PKCS #12 ;
Fichiers Java KeyStore (JKS).
69. LinSign : édition standalone CSPN 69
Signature XML DSIG détachée
<s ig n a tu r e >
<r e fe r e n c e > a .p d f
<r e fe r e n c e >
</s ig n a tu r e >
z ip
Signature au format Xades ETSI TS 101 903 V1.3.2 (2006-03)
S ig na ture X a des
X a des pro priétés s ig nées :
S ig na ture X M L D S I G
(S ig ning T im e)
S ig n e d
S ig n a tu r e K e y in fo
S ig n e d U n s ig n e d (S ig ning C ertific a te)
in f o p r o p e r tie s p r o p e r tie s
(S ig na tureP o lic yI dentifier)
(S ig na tureP roduc tio nP la c e)?
(S ig nerR o le)?
70. LinSign : édition standalone CSPN 0
7
JRE/JDK 6
– par défaut, ne supporte pas la signature XML SHA-256
– avec Microsoft Windows Le JDK [SunMSCapi] n'implémente
pas:
●
la signature au format brut.
●
la signature pour le SHA-256.
– le swing ne gère que l'environnement de bureau Gnome.
PKCS11
– entièrement configurable : oberthur ID-one IAS ECC
(compatible avec la carte européenne du Citoyen et des
standards de signature électronique. La carte est en fin de
certification EAL4+ pour la signature électronique).
Firefox
– Accès au magasin sur toutes les plateformes (windows,
linux, mac...) via NSS.
71. LinSign : Démonstration édition standalone 1
7
6 étapes pour signer des documents:
Politiques de signature disponibles.
Sélection des fichiers.
Liste des magasins disponibles.
Sélection d'une clef de signature.
« lu et approuvé », signer.
Fichiers signés.
73. Matinée Pour Comprendre
LinS hare
LinShare
Offre de partage de fichiers
sécurisé
Sébastien LEVESQUE
Architecte logiciel Java
Groupe LINAGORA
slevesque@linagora.com
74. Agenda 74
●
Genèse de LinShare
●
Présentation de LinShare
●
Démonstration de LinShare
●
Présentation du plugin pour Microsoft Outlook
75. Genèse de LinShare 75
A n c ie n o u til d e p a r ta g e d e L in a g o r a
●
Outil de partage simple développé en PHP en
2004
●
Demande de la part de l'INSERM en 2008 d'un
outil de transfert de fichiers en mode sécurisé
●
1ère version disponible en juin 2009
●
Octobre 2009 : publication sous licence libre
76. Présentation de LinShare 76
LinShare permet de :
●
Déposer des fichiers dans son coffre fort
électronique
●
Partager des fichiers avec des collaborateurs
internes ou externes
●
Gérer les partages
●
Sécuriser les échanges
●
La traçabilité des échanges
●
Historique et reporting des actions
●
Intégration et communication avec des applications
externes (Outlook, Thunderbird)
77. Dépôt de fichiers 77
Dépôt/suppression et mise à jour de fichiers.
Fonction de coffre-fort électronique
Ajout d’information sur un fichier : commentaires, tags
78. Partage de fichiers/dossiers 78
Mise en place de partage vers des collaborateurs internes ou
externes
Partage par fichiers ou par dossiers
Association de groupes ou d’utilisateurs à un partage
Partage simple ou sécurisé
79. Gestion des utilisateurs 79
Création de compte invité pour des dépôts temporaires
Gestion des comptes (création, suppression, recherche...)
Gestion des groupes
Import d’utilisateurs et de groupes depuis un annuaire, base de données, Active
Directory
80. Cryptographie 80
●
Disponible dans la version Open Source dès publication
de LinSign début 2010
●
Signature électronique de documents (format XAdES,
standard européen)
●
Chiffrement par certificat ou par mot de passe
●
Authentification : SSO, Certificats, Active Directory,
OpenLDAP
●
Partage sécurisé par mot de passe temporaire
●
Gestion de la politique des mots de passe (longueur,
renouvellement, droit de modification, etc.)
82. Utilisation et partage 82
API Rest et Web Service pour communiquer avec des
composants externes. Plugin pour Outlook et Thunderbird.
83. Autres fonctionnalités 83
●
Accusé de téléchargement
– Simple par courriel
– Signé au format PDF
●
Filtre MIME de fichiers
●
Gestion des quotas utilisateurs
●
Temps de dépôt de données en relation avec la taille des
fichiers
●
Compression de données lors de partages multiples
85. Technique et licence 85
●
Techniques :
– Application développée en Java JEE
– Indépendant des bases de données (PostgreSQL,
MySQL, Oracle, etc.)
– Indépendant des systèmes d’exploitation (Windows,
GNU/Linux, Sun, etc.)
– Nécessite au minimum Tomcat ou un serveur
d’applications (JBoss, GlashFish, etc.)
– Intègre le module linSign pour la signature (édition
portail).
●
Licence libre (open source) : GNU Affero General Public License,
version 3
●
Version communautaire disponible :
http://forge.linpki.org/projects/show/linshare
86. LinShare en action ! 86
Essayer vous même via
http://demo.linpki.org/linShare/
87. Plugin outlook : accéder aux options 87
L a b a r r e d 'o u tils lin S h a r e d a n s M ic r o s o ft O u tlo o k 2 0 0 3 : é c r itu r e d u m e s s a g e