SlideShare une entreprise Scribd logo

Architecture

Bou Diop
Bou Diop
1  sur  26
Télécharger pour lire hors ligne
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Architectures PKI S´bastien VARRETTE e Universit´ du Luxembourg - Laboratoire LACS, LUXEMBOURG e CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours ”Cryptographie & Securit´ R´seau” Master Info e e Universit´ de Yaound´ e e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Quelques r´f´rences bibliographiques. . . (avant que j’oublie) ee Menezes A. J., Vanstone S. A. and Oorschot P. C. V., Handbook of Applied Cryptography, Computer Sciences Applied Mathematics Engineering, CRC Press, Inc., 1st edition, 1996, http://www.cacr.math.uwaterloo.ca/hac/ Schneier B., ”Cryptographie Appliqu´e”, e Vuibert, Wiley and International Thomson Publishing, NY, 2nd edition, 1997. http://www.schneier.com/book-applied.html Stinson D.R, Cryptography : Theory and Practice, Chapman & Hall/CRC Press, 2nd edition, 2002. http://www.cacr.math.uwaterloo.ca/~dstinson/CTAP2/CTAP2.html Ebrahimi T., Leprevost F. and Warusfeld Ed., ´ Cryptographie et Securit´ des syst`mes et r´seaux, e e e Hermes/Lavoisier, http://www-id.imag.fr/~svarrett/book_secu_mult.html S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Plan 1 Principe g´n´ral e e 2 El´ments d’une infrastructure PKI e 3 Architectures hi´rarchiques reposant sur X509 e 4 Architectures non hi´rarchiques : PGP e 5 Politique de s´curit´ et contre-mesures e e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Motivations Comment r´cup´rer et ˆtre sˆr d’une cl´ publique ? e e e u e En effet, Oscar peut se faire passer pour le destinataire ! Il faut un moyen de prouver la correspondance entre une cl´e publique et une personne ! Plus g´n´ralement : comment g´rer des authentifiants dans un e e e environnement distribu´/r´seau ? e e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Principe g´n´ral e e PKI = Public Key Infrastructure Ensemble d’infrastructures permettant de r´aliser e effectivement des ´changes s´curis´s. e e e PKI ne distribue pas des cl´s mais des certificats ! e Un certificat contient une cl´ publique e Il contient aussi des donn´es d’identit´ e e Pour une personne : ´tat civil, adresse, mail... e Pour un serveur : nom de domaine, adresse IP, mail de l’administrateur etc... Un certificat est valid´ par un tiers de confiance e On parle d’autorit´ de certification = CA e La PKI assure la gestion des certificats cr´ation/distribution... e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Cr´ation d’un certificat e Alice g´n`re ses cl´s Ke et Kd e e e Clé privée Génération d’une paire de clés Ke : cl´ publique e   ¡   ¡   ¡   ¡   ¡   ¡   ¡   ¡ Kd : cl´ priv´e e e                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Elle ´met une requˆte au CA pour e e                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Alice Clé publique un certificat de Ke Requete de certificat CA valide la cl´, authentifie Alice e et g´n`re un certificat e e CA le certificat est sign´ par le CA e Cette signature certifie l’origine du certificat & son int´grit´. e e ¢ ¢ ¢ ¢ ¢ £ £ £ £ ¢ ¢ ¢ ¢ ¢ £ £ £ £ ¢ ¢ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ Clé ¢ ¢ £ ¢ £ ¢ £ ¢ £ publique Certificat de la ANNUAIRE clé publique d’Alice = Coordonné du porteur (nom : Alice ...) Le certificat est publi´ dans un e CA Signature du certificat par le CA annuaire publique S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e V´rifier l’authenticit´ du tiers de confiance e e Chaque CA poss`de lui-mˆme un certificat e e La cl´ priv´e associ´e permet de signer les certificats ´mis par e e e e le CA Ce certificat est sign´ par un autre CA etc... e =⇒ Chaˆ de certificat ıne Le dernier certificat de la chaˆ est sign´ par lui-mˆme ıne e e On parle de certificat auto-sign´ ou certificat racine e Definition (PKI) Ensemble de technologies, organisations, proc´dure et pratiques e qui supporte l’impl´mentation et l’exploitation de certificats bas´s e e sur la cryptographie ` cl´ publique. a e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Normes PKI Il existe plusieurs normes pour les PKI la plupart sont en cours d’´volution e Deux types d’infrastructures : 1 architectures hi´rarchiques e reposent sur diff´rents CA, qui sont distincts des utilisateurs. e Ex : PKIX (Public Key Infrastructure X.509) 2 architectures non-hi´rarchiques e chaque utilisateur est son propre CA initialement con¸ues pour la messagerie comme PGP et le c P2P s´curis´s e e confiance mutuelle entre les utilisateurs Ex : SPKI (Simple Public Key Infrastructure, Spooky), SDSII (Simple Distributed Security Infrastucture ou Sudsy) S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Fonctions d’une PKI ´mettre des certificats ` des entit´s pr´alablement e a e e authentifi´es ; e r´voquer des certificats, les maintenir ; e ´tablir, publier et respecter des pratiques de certification pour e ´tablir un espace de confiance ; e rendre les certificats publics par le biais de services d’annuaires ; ´ventuellement, g´rer les cl´s et fournir des services e e e d’archivage. S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Gestion des cl´s e 1 Gestion des clefs (Key management). cr´ation, distribution, stockage, utilisation e recouvrement, l’archivage et destruction Repose sur des r`gles ` respecter imp´rativement : e a e 1 Les clefs secr`tes doivent l’ˆtre et le rester e e 2 Les clefs secr`tes doivent exister seulement en clair ` e a l’int´rieur d’un module r´sistant. e e 3 Limiter le d´ploiement des clefs e 4 S´parer les clefs par utilisation e 5 Synchroniser les clefs 6 Journal d’´v´nements e e 2 Mise en commun des clefs (cf DH) 3 Transport des clefs Alice Bob C=Epub (K) C=Dpriv A (K) bob C S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Acteurs d’une PKI D´tenteur d’un certificat e entit´ qui poss`de une cl´ priv´e e e e e le certificat num´rique contient la cl´ publique associ´e. e e e Plusieurs type de certificat : client, serveur, VPN etc... Utilisateur d’un certificat r´cup`re le certificat e e utilise la cl´ publique dans sa transaction avec le d´tenteur. e e L’ Autorit´ de Certification (CA1 ) e Ens. de ressources d´fini par son nom et sa cl´ publique qui : e e g´n`re des certificats ; e e ´met et maintient les informations sur les CRL2 e publie les certificats non encore expir´s ; e maintient les archives des certificats expir´s/r´voqu´s. e e e Entit´ juridique et morale d’une PKI e 1 Certification Authority 2 Certification Revocation List S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Acteurs d’une PKI (2) Autorit´ d’enregistrement (RA3 ) e Interm´diaire entre le d´tenteur de la cl´ et le CA. e e e V´rifie les requˆtes des utilisateurs e e Transmet les requˆtes au CA e niveau de v´rification d´pend de la politique de s´curit´ e e e e Chaque CA a une liste de RA accr´dit´s. e e Un RA est connu d’un CA par son nom et sa cl´ publique. e CA v´rifie les informations du RA par le biais de sa signature e Emetteur de CRL 3 Registration Authority S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Acteurs d’une PKI (3) D´pˆt ou Annuaire (Repository) e o Distribue les certificats et les CRL. Accepte les certificats et les CRL d’autres CA et les rend disponibles aux utilisateurs. Connu par son adresse et son protocole d’acc`s. e Archive stockage sur le long terme des informations pour le compte d’un CA. permet de r´gler les litiges e en sachant quel certificat ´tait valable ` telle ´poque. e a e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Emission d’un certificat Autre entité Entité utilisant les certificats (Alice) (Bob) (5) (Eventuellement) CA fournit le certificat à Alice (1) Requete de (2) Authentification certificat du demandeur Utilisateur de la PKI Administration de la PKI Consultation RA Annuaire (3) Requete de certificat (4) CA publie le certificat Certificats CA + CRL S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 PGP, un premier exemple de certificat Format de certificat PGP a ´t´ d´fini par Phil Zimmermann. ee e Contient les informations suivantes : Num. de la version de PGP (identifie l’algo utilis´ pour cr´er la e e clef) la clef publique et l’algorithme associ´ e RSA, DH (Diffie-Hellman) ou DSA (Digital Signature Algorithm). la signature digitale du CA identit´ du porteur : nom, num´ro ID, photographie, etc. e e la p´riode de validit´ du certificat e e l’algorithme sym´trique (` clef priv´e) pr´f´r´. e a e eee Particularit´ : un certificat peut contenir plusieurs signatures. e plusieurs personnes ` titre de CA peuvent certifier l’association a ”clef/identification” S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Le certificat X.509 Information Certificat Numérique X.509 C (country) : France Version v3 (0x2) Version L (Locality) : Grenoble ST : (State or Province) : Isère Serial Number 14 (0xE) Serial Number O (Organisation) : INRIA SO (Organizational Unit) : icluster Signature Algorithm ID md5WithRSAEncryption Signature Algorithm ID CN (Common Name) : Icluster_CA STREET (Adress): 50 av Jean KuntzMann Issuer Name Issuer Name E (Email) : ca@inria.imag.fr Validity Périod Not Before : Validity Périod − Start Date/Time Jun 8 14:52:40 2003 GMT − Start Date/Time C (country) : France Not After L (Locality) : Grenoble − End Date/Time − End Date/Time Jun 7 14:52:40 2004 GMT ST : (State or Province) : Isère Subject Name Subject Name O (Organisation) : INRIA SO (Organizational Unit) : Labo ID−IMAG Subjet Public Key Info : Public Key Algorithm : Subjet Public Key Info : CN (Common Name) : Sebastien Varrette rsaEncryption − Algorithm ID − Algorithm ID STREET (Adress): 51 av Jean KuntzMann − Public Key Value RSA Public Key (1024bit) − Public Key Value E (Email) : sebastien.varrette@imag.fr Modulus (1024 bits) : Issuer Unique ID 00:b3:e4:4f:....... Issuer Unique ID Exponent : 65537 (0x10001) Subject Unique ID Subject Unique ID Extension Extension Signature − Algorithm ID Clé privée du CA − Signature Value Signature S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Signification des champs d’un certificat X.509 Version : Indique ` quelle version de X.509 correspond ce certificat. a Serial number : Num´ro de s´rie du certificat (propre ` chaque CA). e e a Signature Algo ID : Identifiant du type de signature utilis´e. e Issuer Name : Distinguished Name(DN) du CA qui ´met le certificat e Validity period : P´riode de validit´. e e Subject Name : Distinguished Name (DN) du d´tenteur de la cl´ publique e e Subject pub. key info : Informations sur la clef publique de ce certificat. Issuer Unique ID : Identifiant unique de l’´metteur de ce certificat e Subject Unique ID : Identifiant unique du d´tenteur de la cl´ publique e e Extensions : Extensions g´n´riques optionnelles. e e Signature : Signature num´rique du CA sur les champs pr´c´dents e e e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 G´n´ration et contenu d’une CRL X.509 e e Information CRL Version (v1=0;v2=1) Version (v1=0;v2=1) Signature Algorithm ID Signature Algorithm ID Issuer Name Issuer Name This Update Date/Time This Update Date/Time Next Update Date/Time Next Update Date/Time CRL : CRL : Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date CRL Extensions CRL Extensions Signature − Algorithm ID Clé privée du CA − Signature Value Signature S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Quelques identificateurs d’algorithmes et num´ros associ´s e e Alg. Hash. OID Identificateur 3DES-CBC 1.2.840.113549.3.7 DES-EDE3-CBC RSA 1.2.840.113549.1.1.1 RSAEncryption RSA MD5 1.2.840.113549.1.1.4 md5withRSAEncryption RSA SHA-1 1.2.840.113549.1.1.5 sha1withRSAEncryption DSA 1.2.840.10040.4.1 id-dsa DSA SHA-1 1.2.840.10040.4.3 id-dsawithSha1 DSA SHA-1.320 1.3.14.3.2 id-dsawithSha1.320 ECDSA SHA-1 1.2.840.10045.1 ecdsawithSha1 S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Le mod`le PKIX e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Authentification d’entit´s ` partir de certificats e a Fait l’objet d’une norme : FIPS-196 Notations utilis´es dans FIPS-196 : e A Nom qui identifie Alice B Nom qui identifie Bob Signx (M) La signature du message M avec la cl´ priv´e de X e e Rx Un challenge al´atoire produit par X e CertX Le certificat de X X ·Y La concat´nation de X et de Y e TokenID Identificateur de Token. Il pr´cise les informations e identifiant le token, le type de protocole... qui faciliteront le traitement du Token. TokenXY Un token envoy´ de X vers Y e TokenXYi Le i-`me token envoy´ de X vers Y e e [Z ] Pr´cise que le champs Z est optionnel e S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Authentification d’entit´s ` partir de certificats (2) e a [Demande d’authentification] 1° 2° [TokenID] || TokenBA 1 Alice Bob 3° [TokenID] || CertA TokenAB || 4° [TokenID] || Cert B || TokenBA 2 S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Authentification d’entit´s ` partir de certificats (3) e a Alice envoie ` Bob une demande d’authentification a Bob g´n`re Rb et envoit ` Alice : e e a TokenBA1 = Rb Alice g´n`re Ra et envoit avec son certificat : e e TokenAB = Ra · Rb · B · Signa (Ra · Rb · B) Bob v´rifie le certificat d’Alice. e il peut ensuite v´rifier les informations de TokenAB e Apr`s v´rification, Alice est authentifi´e aupr`s de Bob. e e e e Bob envoit avec son certificat : TokenBA2 = Rb · Ra · A · Signb (Rb · Ra · A) Alice proc`de de la mˆme mani`re pour authentifier Bob. e e e A la fin, il y a authentification mutuelle. S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Application pratique : OpenSSL Cr´ation d’un r´pertoire pour les certificats e e mkdir certificates ; cd certificates Creation du certificat pour le CA : Utiliser le script CA.sh /usr/lib/ssl/misc/CA.sh -newca Cr´ation du certificat serveur/personne : e openssl req -new -nodes -keyout newreq.pem -out newreq.pem -days 365 Signature du certificat du serveur par le CA /usr/lib/ssl/misc/CA.sh -sign S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Mod`le de confiance PGP e Utilisateur ¤ ¤ ¤ ¢ ¢ ¢ ¥ ¥ ¥ £ £ £ ¤ ¤ ¤ ¢ ¢ ¢ ¥ ¥ ¥ £ £ £ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ? ? ? ? Est signé par ? Signataire inconnu Signataire de confiance       ¡ ¡ ¡       ¡ ¡ ¡ Signataire à confiance partielle       ¡ ¡ ¡ Clef jugée digne de confiance   ¡   ¡   ¡   ¡   ¡   ¡ S´bastien VARRETTE e Architectures PKI
Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Notion de politique de s´curit´ e e D´finit la strat´gie globale et r´pondre aux menaces. e e e En particulier, il est fondamental de d´crire : e Qui est responsable de quoi (mise en œuvre, ex´cution, audit, e tests, etc.). Quelle est la politique de s´curit´ de base du r´seau e e e d’ordinateurs. Pourquoi chacun doit faire ce qu’il fait. S´bastien VARRETTE e Architectures PKI

Recommandé

Presentation
PresentationPresentation
Presentation
Yasser Rabi
 
PKI par la Pratique
PKI par la PratiquePKI par la Pratique
PKI par la Pratique
Sylvain Maret
 
Vpn
VpnVpn
Vpn
Maxime Tchapo TANTE-GNANDI
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefs
fabricemeillon
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
Renaissance Pki Maret
Renaissance Pki MaretRenaissance Pki Maret
Renaissance Pki Maret
Sylvain Maret
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LINAGORA
 

Recommandé

Presentation
PresentationPresentation
Presentation
Yasser Rabi
 
PKI par la Pratique
PKI par la PratiquePKI par la Pratique
PKI par la Pratique
Sylvain Maret
 
Vpn
VpnVpn
Vpn
Maxime Tchapo TANTE-GNANDI
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefs
fabricemeillon
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
Renaissance Pki Maret
Renaissance Pki MaretRenaissance Pki Maret
Renaissance Pki Maret
Sylvain Maret
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LINAGORA
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
Sylvain Maret
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
Sylvain Maret
 
LinPKI
LinPKILinPKI
LinPKI
LINAGORA
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
Nis
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
Sylvain Maret
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
Sylvain Maret
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Présentation10
Présentation10Présentation10
Présentation10
hossam-10
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
Sylvain Maret
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
Sylvain Maret
 
Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
Sylvain Maret
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
Eric Herschkorn
 
LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique
LINAGORA
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passe
Alice and Bob
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010
LINAGORA
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
Sylvain Maret
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Antoine Vigneron
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?
Sylvain Maret
 
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur AjouteeTelecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Savoir-faire Linux
 
Offre Sécurité Linagora
Offre Sécurité LinagoraOffre Sécurité Linagora
Offre Sécurité Linagora
LINAGORA
 

Contenu connexe

Tendances

Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 

Tendances (19)

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
LinPKI
LinPKILinPKI
LinPKI
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Présentation10
Présentation10Présentation10
Présentation10
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
 
Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
 
LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passe
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 

En vedette

Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?
Sylvain Maret
 
Offre Sécurité Linagora
Offre Sécurité LinagoraOffre Sécurité Linagora
Offre Sécurité Linagora
LINAGORA
 
ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...
ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...
ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...
Sidali Bhs
 
PKI and Applications
PKI and ApplicationsPKI and Applications
PKI and Applications
Svetlin Nakov
 
Les tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceLes tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performance
Ahmed Mesellem
 
Catalogue TIC 2015
Catalogue TIC 2015Catalogue TIC 2015
Catalogue TIC 2015
Africalead
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
Alphorm
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 

En vedette (20)

Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?
 
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur AjouteeTelecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
 
Offre Sécurité Linagora
Offre Sécurité LinagoraOffre Sécurité Linagora
Offre Sécurité Linagora
 
Mise en place d’une plateforme de formation IMS
Mise en place d’une plateforme de formation IMSMise en place d’une plateforme de formation IMS
Mise en place d’une plateforme de formation IMS
 
Splunk
SplunkSplunk
Splunk
 
La signature numérique
La signature numériqueLa signature numérique
La signature numérique
 
Virtualisation
VirtualisationVirtualisation
Virtualisation
 
ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...
ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...
ETUDE ET MISE EN PLACE DE LA SOLUTION VOIP OVER LTE, DIMENSIONNEMENT ET MESUR...
 
PKI and Applications
PKI and ApplicationsPKI and Applications
PKI and Applications
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source
 
Pki
PkiPki
Pki
 
Les tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceLes tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performance
 
Catalogue TIC 2015
Catalogue TIC 2015Catalogue TIC 2015
Catalogue TIC 2015
 
Etude et mise en place d'un plateforme IMS Sécurisée
Etude et mise en place d'un plateforme IMS SécuriséeEtude et mise en place d'un plateforme IMS Sécurisée
Etude et mise en place d'un plateforme IMS Sécurisée
 
Romain laborde protection du système d'information sécurisation des flux des ...
Romain laborde protection du système d'information sécurisation des flux des ...Romain laborde protection du système d'information sécurisation des flux des ...
Romain laborde protection du système d'information sécurisation des flux des ...
 
IP Multimedia Subsystem (IMS)
IP Multimedia Subsystem (IMS)IP Multimedia Subsystem (IMS)
IP Multimedia Subsystem (IMS)
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
Statistiques, indicateurs, performance et qualité : prendre la mesure de la b...
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 

Similaire à Architecture

introduction 00infrastrecture0 dePKI.pdf
introduction 00infrastrecture0 dePKI.pdfintroduction 00infrastrecture0 dePKI.pdf
introduction 00infrastrecture0 dePKI.pdf
hidaeli2001
 
Renaissance PKI / Séminaire Clusis 2003
Renaissance PKI / Séminaire Clusis 2003Renaissance PKI / Séminaire Clusis 2003
Renaissance PKI / Séminaire Clusis 2003
Sylvain Maret
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 

Similaire à Architecture (20)

introduction 00infrastrecture0 dePKI.pdf
introduction 00infrastrecture0 dePKI.pdfintroduction 00infrastrecture0 dePKI.pdf
introduction 00infrastrecture0 dePKI.pdf
 
Notes
NotesNotes
Notes
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
Renaissance PKI / Séminaire Clusis 2003
Renaissance PKI / Séminaire Clusis 2003Renaissance PKI / Séminaire Clusis 2003
Renaissance PKI / Séminaire Clusis 2003
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
 
Offre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéOffre d'emploi Architecte sécurité
Offre d'emploi Architecte sécurité
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Vpn
VpnVpn
Vpn
 
Présentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TICPrésentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TIC
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
 
Gdpr acerta
Gdpr acertaGdpr acerta
Gdpr acerta
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 

Architecture

  • 1. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Architectures PKI S´bastien VARRETTE e Universit´ du Luxembourg - Laboratoire LACS, LUXEMBOURG e CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours ”Cryptographie & Securit´ R´seau” Master Info e e Universit´ de Yaound´ e e S´bastien VARRETTE e Architectures PKI
  • 2. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Quelques r´f´rences bibliographiques. . . (avant que j’oublie) ee Menezes A. J., Vanstone S. A. and Oorschot P. C. V., Handbook of Applied Cryptography, Computer Sciences Applied Mathematics Engineering, CRC Press, Inc., 1st edition, 1996, http://www.cacr.math.uwaterloo.ca/hac/ Schneier B., ”Cryptographie Appliqu´e”, e Vuibert, Wiley and International Thomson Publishing, NY, 2nd edition, 1997. http://www.schneier.com/book-applied.html Stinson D.R, Cryptography : Theory and Practice, Chapman & Hall/CRC Press, 2nd edition, 2002. http://www.cacr.math.uwaterloo.ca/~dstinson/CTAP2/CTAP2.html Ebrahimi T., Leprevost F. and Warusfeld Ed., ´ Cryptographie et Securit´ des syst`mes et r´seaux, e e e Hermes/Lavoisier, http://www-id.imag.fr/~svarrett/book_secu_mult.html S´bastien VARRETTE e Architectures PKI
  • 3. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Plan 1 Principe g´n´ral e e 2 El´ments d’une infrastructure PKI e 3 Architectures hi´rarchiques reposant sur X509 e 4 Architectures non hi´rarchiques : PGP e 5 Politique de s´curit´ et contre-mesures e e S´bastien VARRETTE e Architectures PKI
  • 4. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Motivations Comment r´cup´rer et ˆtre sˆr d’une cl´ publique ? e e e u e En effet, Oscar peut se faire passer pour le destinataire ! Il faut un moyen de prouver la correspondance entre une cl´e publique et une personne ! Plus g´n´ralement : comment g´rer des authentifiants dans un e e e environnement distribu´/r´seau ? e e S´bastien VARRETTE e Architectures PKI
  • 5. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Principe g´n´ral e e PKI = Public Key Infrastructure Ensemble d’infrastructures permettant de r´aliser e effectivement des ´changes s´curis´s. e e e PKI ne distribue pas des cl´s mais des certificats ! e Un certificat contient une cl´ publique e Il contient aussi des donn´es d’identit´ e e Pour une personne : ´tat civil, adresse, mail... e Pour un serveur : nom de domaine, adresse IP, mail de l’administrateur etc... Un certificat est valid´ par un tiers de confiance e On parle d’autorit´ de certification = CA e La PKI assure la gestion des certificats cr´ation/distribution... e S´bastien VARRETTE e Architectures PKI
  • 6. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Cr´ation d’un certificat e Alice g´n`re ses cl´s Ke et Kd e e e Clé privée Génération d’une paire de clés Ke : cl´ publique e   ¡   ¡   ¡   ¡   ¡   ¡   ¡   ¡ Kd : cl´ priv´e e e                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Elle ´met une requˆte au CA pour e e                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡                 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Alice Clé publique un certificat de Ke Requete de certificat CA valide la cl´, authentifie Alice e et g´n`re un certificat e e CA le certificat est sign´ par le CA e Cette signature certifie l’origine du certificat & son int´grit´. e e ¢ ¢ ¢ ¢ ¢ £ £ £ £ ¢ ¢ ¢ ¢ ¢ £ £ £ £ ¢ ¢ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ Clé ¢ ¢ £ ¢ £ ¢ £ ¢ £ publique Certificat de la ANNUAIRE clé publique d’Alice = Coordonné du porteur (nom : Alice ...) Le certificat est publi´ dans un e CA Signature du certificat par le CA annuaire publique S´bastien VARRETTE e Architectures PKI
  • 7. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e V´rifier l’authenticit´ du tiers de confiance e e Chaque CA poss`de lui-mˆme un certificat e e La cl´ priv´e associ´e permet de signer les certificats ´mis par e e e e le CA Ce certificat est sign´ par un autre CA etc... e =⇒ Chaˆ de certificat ıne Le dernier certificat de la chaˆ est sign´ par lui-mˆme ıne e e On parle de certificat auto-sign´ ou certificat racine e Definition (PKI) Ensemble de technologies, organisations, proc´dure et pratiques e qui supporte l’impl´mentation et l’exploitation de certificats bas´s e e sur la cryptographie ` cl´ publique. a e S´bastien VARRETTE e Architectures PKI
  • 8. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Normes PKI Il existe plusieurs normes pour les PKI la plupart sont en cours d’´volution e Deux types d’infrastructures : 1 architectures hi´rarchiques e reposent sur diff´rents CA, qui sont distincts des utilisateurs. e Ex : PKIX (Public Key Infrastructure X.509) 2 architectures non-hi´rarchiques e chaque utilisateur est son propre CA initialement con¸ues pour la messagerie comme PGP et le c P2P s´curis´s e e confiance mutuelle entre les utilisateurs Ex : SPKI (Simple Public Key Infrastructure, Spooky), SDSII (Simple Distributed Security Infrastucture ou Sudsy) S´bastien VARRETTE e Architectures PKI
  • 9. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Fonctions d’une PKI ´mettre des certificats ` des entit´s pr´alablement e a e e authentifi´es ; e r´voquer des certificats, les maintenir ; e ´tablir, publier et respecter des pratiques de certification pour e ´tablir un espace de confiance ; e rendre les certificats publics par le biais de services d’annuaires ; ´ventuellement, g´rer les cl´s et fournir des services e e e d’archivage. S´bastien VARRETTE e Architectures PKI
  • 10. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Gestion des cl´s e 1 Gestion des clefs (Key management). cr´ation, distribution, stockage, utilisation e recouvrement, l’archivage et destruction Repose sur des r`gles ` respecter imp´rativement : e a e 1 Les clefs secr`tes doivent l’ˆtre et le rester e e 2 Les clefs secr`tes doivent exister seulement en clair ` e a l’int´rieur d’un module r´sistant. e e 3 Limiter le d´ploiement des clefs e 4 S´parer les clefs par utilisation e 5 Synchroniser les clefs 6 Journal d’´v´nements e e 2 Mise en commun des clefs (cf DH) 3 Transport des clefs Alice Bob C=Epub (K) C=Dpriv A (K) bob C S´bastien VARRETTE e Architectures PKI
  • 11. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Acteurs d’une PKI D´tenteur d’un certificat e entit´ qui poss`de une cl´ priv´e e e e e le certificat num´rique contient la cl´ publique associ´e. e e e Plusieurs type de certificat : client, serveur, VPN etc... Utilisateur d’un certificat r´cup`re le certificat e e utilise la cl´ publique dans sa transaction avec le d´tenteur. e e L’ Autorit´ de Certification (CA1 ) e Ens. de ressources d´fini par son nom et sa cl´ publique qui : e e g´n`re des certificats ; e e ´met et maintient les informations sur les CRL2 e publie les certificats non encore expir´s ; e maintient les archives des certificats expir´s/r´voqu´s. e e e Entit´ juridique et morale d’une PKI e 1 Certification Authority 2 Certification Revocation List S´bastien VARRETTE e Architectures PKI
  • 12. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Acteurs d’une PKI (2) Autorit´ d’enregistrement (RA3 ) e Interm´diaire entre le d´tenteur de la cl´ et le CA. e e e V´rifie les requˆtes des utilisateurs e e Transmet les requˆtes au CA e niveau de v´rification d´pend de la politique de s´curit´ e e e e Chaque CA a une liste de RA accr´dit´s. e e Un RA est connu d’un CA par son nom et sa cl´ publique. e CA v´rifie les informations du RA par le biais de sa signature e Emetteur de CRL 3 Registration Authority S´bastien VARRETTE e Architectures PKI
  • 13. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Acteurs d’une PKI (3) D´pˆt ou Annuaire (Repository) e o Distribue les certificats et les CRL. Accepte les certificats et les CRL d’autres CA et les rend disponibles aux utilisateurs. Connu par son adresse et son protocole d’acc`s. e Archive stockage sur le long terme des informations pour le compte d’un CA. permet de r´gler les litiges e en sachant quel certificat ´tait valable ` telle ´poque. e a e S´bastien VARRETTE e Architectures PKI
  • 14. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Emission d’un certificat Autre entité Entité utilisant les certificats (Alice) (Bob) (5) (Eventuellement) CA fournit le certificat à Alice (1) Requete de (2) Authentification certificat du demandeur Utilisateur de la PKI Administration de la PKI Consultation RA Annuaire (3) Requete de certificat (4) CA publie le certificat Certificats CA + CRL S´bastien VARRETTE e Architectures PKI
  • 15. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 PGP, un premier exemple de certificat Format de certificat PGP a ´t´ d´fini par Phil Zimmermann. ee e Contient les informations suivantes : Num. de la version de PGP (identifie l’algo utilis´ pour cr´er la e e clef) la clef publique et l’algorithme associ´ e RSA, DH (Diffie-Hellman) ou DSA (Digital Signature Algorithm). la signature digitale du CA identit´ du porteur : nom, num´ro ID, photographie, etc. e e la p´riode de validit´ du certificat e e l’algorithme sym´trique (` clef priv´e) pr´f´r´. e a e eee Particularit´ : un certificat peut contenir plusieurs signatures. e plusieurs personnes ` titre de CA peuvent certifier l’association a ”clef/identification” S´bastien VARRETTE e Architectures PKI
  • 16. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Le certificat X.509 Information Certificat Numérique X.509 C (country) : France Version v3 (0x2) Version L (Locality) : Grenoble ST : (State or Province) : Isère Serial Number 14 (0xE) Serial Number O (Organisation) : INRIA SO (Organizational Unit) : icluster Signature Algorithm ID md5WithRSAEncryption Signature Algorithm ID CN (Common Name) : Icluster_CA STREET (Adress): 50 av Jean KuntzMann Issuer Name Issuer Name E (Email) : ca@inria.imag.fr Validity Périod Not Before : Validity Périod − Start Date/Time Jun 8 14:52:40 2003 GMT − Start Date/Time C (country) : France Not After L (Locality) : Grenoble − End Date/Time − End Date/Time Jun 7 14:52:40 2004 GMT ST : (State or Province) : Isère Subject Name Subject Name O (Organisation) : INRIA SO (Organizational Unit) : Labo ID−IMAG Subjet Public Key Info : Public Key Algorithm : Subjet Public Key Info : CN (Common Name) : Sebastien Varrette rsaEncryption − Algorithm ID − Algorithm ID STREET (Adress): 51 av Jean KuntzMann − Public Key Value RSA Public Key (1024bit) − Public Key Value E (Email) : sebastien.varrette@imag.fr Modulus (1024 bits) : Issuer Unique ID 00:b3:e4:4f:....... Issuer Unique ID Exponent : 65537 (0x10001) Subject Unique ID Subject Unique ID Extension Extension Signature − Algorithm ID Clé privée du CA − Signature Value Signature S´bastien VARRETTE e Architectures PKI
  • 17. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Signification des champs d’un certificat X.509 Version : Indique ` quelle version de X.509 correspond ce certificat. a Serial number : Num´ro de s´rie du certificat (propre ` chaque CA). e e a Signature Algo ID : Identifiant du type de signature utilis´e. e Issuer Name : Distinguished Name(DN) du CA qui ´met le certificat e Validity period : P´riode de validit´. e e Subject Name : Distinguished Name (DN) du d´tenteur de la cl´ publique e e Subject pub. key info : Informations sur la clef publique de ce certificat. Issuer Unique ID : Identifiant unique de l’´metteur de ce certificat e Subject Unique ID : Identifiant unique du d´tenteur de la cl´ publique e e Extensions : Extensions g´n´riques optionnelles. e e Signature : Signature num´rique du CA sur les champs pr´c´dents e e e S´bastien VARRETTE e Architectures PKI
  • 18. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 G´n´ration et contenu d’une CRL X.509 e e Information CRL Version (v1=0;v2=1) Version (v1=0;v2=1) Signature Algorithm ID Signature Algorithm ID Issuer Name Issuer Name This Update Date/Time This Update Date/Time Next Update Date/Time Next Update Date/Time CRL : CRL : Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date Certificate Serial Number Certificate Serial Number Revocation Date Revocation Date CRL Extensions CRL Extensions Signature − Algorithm ID Clé privée du CA − Signature Value Signature S´bastien VARRETTE e Architectures PKI
  • 19. Principe g´n´ral e e Fonctions d’une PKI El´ments d’une infrastructure PKI e Acteurs d’une PKI Architectures hi´rarchiques reposant sur X509 e Emission d’un certificat Architectures non hi´rarchiques : PGP e PGP, un premier exemple de certificat Politique de s´curit´ et contre-mesures e e Le certificat X.509 Quelques identificateurs d’algorithmes et num´ros associ´s e e Alg. Hash. OID Identificateur 3DES-CBC 1.2.840.113549.3.7 DES-EDE3-CBC RSA 1.2.840.113549.1.1.1 RSAEncryption RSA MD5 1.2.840.113549.1.1.4 md5withRSAEncryption RSA SHA-1 1.2.840.113549.1.1.5 sha1withRSAEncryption DSA 1.2.840.10040.4.1 id-dsa DSA SHA-1 1.2.840.10040.4.3 id-dsawithSha1 DSA SHA-1.320 1.3.14.3.2 id-dsawithSha1.320 ECDSA SHA-1 1.2.840.10045.1 ecdsawithSha1 S´bastien VARRETTE e Architectures PKI
  • 20. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Le mod`le PKIX e S´bastien VARRETTE e Architectures PKI
  • 21. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Authentification d’entit´s ` partir de certificats e a Fait l’objet d’une norme : FIPS-196 Notations utilis´es dans FIPS-196 : e A Nom qui identifie Alice B Nom qui identifie Bob Signx (M) La signature du message M avec la cl´ priv´e de X e e Rx Un challenge al´atoire produit par X e CertX Le certificat de X X ·Y La concat´nation de X et de Y e TokenID Identificateur de Token. Il pr´cise les informations e identifiant le token, le type de protocole... qui faciliteront le traitement du Token. TokenXY Un token envoy´ de X vers Y e TokenXYi Le i-`me token envoy´ de X vers Y e e [Z ] Pr´cise que le champs Z est optionnel e S´bastien VARRETTE e Architectures PKI
  • 22. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Authentification d’entit´s ` partir de certificats (2) e a [Demande d’authentification] 1° 2° [TokenID] || TokenBA 1 Alice Bob 3° [TokenID] || CertA TokenAB || 4° [TokenID] || Cert B || TokenBA 2 S´bastien VARRETTE e Architectures PKI
  • 23. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Authentification d’entit´s ` partir de certificats (3) e a Alice envoie ` Bob une demande d’authentification a Bob g´n`re Rb et envoit ` Alice : e e a TokenBA1 = Rb Alice g´n`re Ra et envoit avec son certificat : e e TokenAB = Ra · Rb · B · Signa (Ra · Rb · B) Bob v´rifie le certificat d’Alice. e il peut ensuite v´rifier les informations de TokenAB e Apr`s v´rification, Alice est authentifi´e aupr`s de Bob. e e e e Bob envoit avec son certificat : TokenBA2 = Rb · Ra · A · Signb (Rb · Ra · A) Alice proc`de de la mˆme mani`re pour authentifier Bob. e e e A la fin, il y a authentification mutuelle. S´bastien VARRETTE e Architectures PKI
  • 24. Principe g´n´ral e e El´ments d’une infrastructure PKI e Le mod`le PKIX e Architectures hi´rarchiques reposant sur X509 e Authentification d’entit´s ` partir de certificats e a Architectures non hi´rarchiques : PGP e Application pratique : OpenSSL Politique de s´curit´ et contre-mesures e e Application pratique : OpenSSL Cr´ation d’un r´pertoire pour les certificats e e mkdir certificates ; cd certificates Creation du certificat pour le CA : Utiliser le script CA.sh /usr/lib/ssl/misc/CA.sh -newca Cr´ation du certificat serveur/personne : e openssl req -new -nodes -keyout newreq.pem -out newreq.pem -days 365 Signature du certificat du serveur par le CA /usr/lib/ssl/misc/CA.sh -sign S´bastien VARRETTE e Architectures PKI
  • 25. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Mod`le de confiance PGP e Utilisateur ¤ ¤ ¤ ¢ ¢ ¢ ¥ ¥ ¥ £ £ £ ¤ ¤ ¤ ¢ ¢ ¢ ¥ ¥ ¥ £ £ £ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¤ ¥ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ¢ £ ? ? ? ? Est signé par ? Signataire inconnu Signataire de confiance       ¡ ¡ ¡       ¡ ¡ ¡ Signataire à confiance partielle       ¡ ¡ ¡ Clef jugée digne de confiance   ¡   ¡   ¡   ¡   ¡   ¡ S´bastien VARRETTE e Architectures PKI
  • 26. Principe g´n´ral e e El´ments d’une infrastructure PKI e Architectures hi´rarchiques reposant sur X509 e Architectures non hi´rarchiques : PGP e Politique de s´curit´ et contre-mesures e e Notion de politique de s´curit´ e e D´finit la strat´gie globale et r´pondre aux menaces. e e e En particulier, il est fondamental de d´crire : e Qui est responsable de quoi (mise en œuvre, ex´cution, audit, e tests, etc.). Quelle est la politique de s´curit´ de base du r´seau e e e d’ordinateurs. Pourquoi chacun doit faire ce qu’il fait. S´bastien VARRETTE e Architectures PKI