Biométrie & Protection des données en entreprise 22 mai 2008 e-Xpert Solutions S.A.
“  L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ”  ...
Biométrie dans un environnement Microsoft Philippe Logean / Sylvain Maret e-Xpert Solutions SA
Pourquoi mettre en œuvre la biométrie avec Microsoft ? <ul><li>Intégration de PKINIT et de l’utilisation des certificats n...
Authentification d’un utilisateur avec Kerberos
Principe de l’attaque avec ARP Spoofing Réseau « switché » KDC Client Microsoft Attaque ARP Attaque ARP Kerberos Kerberos ...
Démonstration: Crack d’un mot de passe Microsoft Kerberos
Exemple d’architecture avec RSA Security
Authentification d’un utilisateur avec PKINIT
Authentification d’un utilisateur avec PKINIT (suite) <ul><li>1. Saisie des empreintes dans  Winlogon  lors de l’insertion...
Authentification d’un utilisateur avec PKINIT (suite) <ul><li>6. Signature retournée au SSP </li></ul><ul><li>7. Requête A...
Démonstration: Microsoft Smart Card Logon (PKINIT)
Validation online d’une identité numérique (OCSP) KDC / AD Microsoft RSA® Validation  Manager OCSP request Valide Pas vali...
Démonstration OCSP
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fai...
Prochain SlideShare
Chargement dans…5
×

Smart Card Logon / Biométrie / PKINIT / Match on Card

2 485 vues

Publié le

Une présentation sur l'intégration de la technologie PKINIT et la Biométrie Match on Card

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 485
Sur SlideShare
0
Issues des intégrations
0
Intégrations
8
Actions
Partages
0
Téléchargements
49
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Smart Card Logon / Biométrie / PKINIT / Match on Card

  1. 1. Biométrie & Protection des données en entreprise 22 mai 2008 e-Xpert Solutions S.A.
  2. 2. “ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ” Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
  3. 3. Biométrie dans un environnement Microsoft Philippe Logean / Sylvain Maret e-Xpert Solutions SA
  4. 4. Pourquoi mettre en œuvre la biométrie avec Microsoft ? <ul><li>Intégration de PKINIT et de l’utilisation des certificats numérique couplée à la biométrique </li></ul><ul><li>Bref rappel sur le protocole Kerberos </li></ul><ul><li>Crack d’un mot de passe Kerberos </li></ul><ul><li>Protocole PKINIT (Smart Card Logon) </li></ul><ul><li>Validation Online d’une identité numérique </li></ul><ul><ul><li>Protocole OCSP </li></ul></ul>
  5. 5. Authentification d’un utilisateur avec Kerberos
  6. 6. Principe de l’attaque avec ARP Spoofing Réseau « switché » KDC Client Microsoft Attaque ARP Attaque ARP Kerberos Kerberos Routage Renifleur
  7. 7. Démonstration: Crack d’un mot de passe Microsoft Kerberos
  8. 8. Exemple d’architecture avec RSA Security
  9. 9. Authentification d’un utilisateur avec PKINIT
  10. 10. Authentification d’un utilisateur avec PKINIT (suite) <ul><li>1. Saisie des empreintes dans Winlogon lors de l’insertion de la carte à puce dans le lecteur . Transmis au SSP Kerberos </li></ul><ul><li>2. Appel au driver d’ Athena . Envoi des minutie biométrique pour accéder aux données contenues dans la carte à puce </li></ul><ul><li>3. Récupération du certificat utilisateur par le SSP </li></ul><ul><li>4. Génération, par le SSP, d’un authentifieur contenant un Timestamp . Transmis au CSP </li></ul><ul><li>5. Signature de l’authentifieur par le CSP (réalisé dans la carte à puce) </li></ul>
  11. 11. Authentification d’un utilisateur avec PKINIT (suite) <ul><li>6. Signature retournée au SSP </li></ul><ul><li>7. Requête AS ( Authentication Service ) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature </li></ul><ul><li>8. Vérification de la validité du certificat ( Certification Path , CRL, trust CA). Vérification de la signature. Recherche des informations de l’utilisateur (user@domain) </li></ul><ul><li>9. Récupération des informations utilisateur (user SID ( Security Identifier ), group SID) pour construire le TGT </li></ul><ul><li>10. Réponse AS contenant le TGT. Chiffré avec la clé publique du client et signée par le KDC </li></ul><ul><li>[ ( ( TGT )TGS_key + C-T_key + KCA_Cert )Rdm_key + ( Rdm_key )U_pub_key ]Sign_KCA_priv_key </li></ul>
  12. 12. Démonstration: Microsoft Smart Card Logon (PKINIT)
  13. 13. Validation online d’une identité numérique (OCSP) KDC / AD Microsoft RSA® Validation Manager OCSP request Valide Pas valide Inconnu Client OCSP
  14. 14. Démonstration OCSP
  15. 15. e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité. 

×