PKI par la Pratique

Solutions à la clef

Agenda

le cheminement vers PKI & la citadelle électronique Calcul du risque Architecture classique et modèle de

citadelle électronique Les nouveaux enjeux Les outils à disposition PKI, éléments constituants Les applications PKI


Agenda (suite)

Démonstrations Comment obtenir un certificat Application messagerie Signature de document


Agenda (suite)

Conséquences structurelles et organisationnelles de PKI Politique de sécurité, CP, CPS Infrastructure technique Exploitation et Ressources humaines


La sécurité informatique ?

Mise en place d’une politique de sécurité Stratégie à mettre en place pour protéger

votre système d’information Des technologie pour faire tendre le risque

vers zéro

La sécurité n’est pas un produit mais un processus permanent !


Comment diminuer le risque ?

Risque = Coûts * Menaces * Vulnérabilités

$


Quel montant faut il investir ?

Risque

Coûts

Risquesacceptés


Evolution des risques dans le temps ?

Risque

TempsRisquesacceptésaujourd’hui

Risquesde demain



le cheminement vers PKI & la citadelle électronique


Modèle de sécurité classique

Approche « produit » Des solutions spécifiques, des cellules

isolées Antivirus Firewall Systèmes de détection d’intrusion Authentification périphérique


Les inconvénients du modèle classique

Des solutions très spécifiques Un manque de cohérence et de

cohésion L’approche en coquille d’oeuf

Des remparts Des applications (le noyau) vulnérables


Schématiquement…

Firewall, IDS, etc.

Ressources internes


Les enjeux pour le futur

Fortifier le cœur des infrastructures Améliorer la cohérence Amener la confiance dans les

transactions électroniques Simplicité d’utilisation Définir une norme suivie par les

constructeurs & éditeurs


La citadelle électronique

Modèle de sécurité émergent Approche en couches ou en strates Chaque couche hérite du niveau

inférieur Les applications et les biens gravitent

autour d’un noyau de sécurité


Approche en couche

1) Architecture 2) Protocoles réseaux 3) Systèmes d’exploitations 4) Applications


Architecture

Sécurisation des accès bâtiments Segmentation & Cloisonnement IP Segmentation & Cloisonnement physique Choix d’environnement (Switch, hub, etc) Mise en place de Firewall Configuration de routeur (ACL) Etc.


Protocoles réseaux

TCP/IP, IPSec, L2TP, PPTP, etc. Anti SYNFlooding Anti spoofing « Kernel » réseau à sécuriser Etc.


Systèmes d’exploitation

Sécurisation des OS Restriction des services Mise en place de FIA Détection d’intrusion sur les OS Sauvegarde régulière Authentification forte Sécurisation de l’administration Logging & Monitoring


Applications

Chaque application est sécurisée Cryptage des données sensibles

Cartes de crédits Base d’utilisateurs

Cloisonnement des bases de données Authentification forte des accès Cryptage des communications (SSL) Signature électronique


Schématiquement…

Architecture

Protocoles réseaux

O.S.

Applications


Pour répondre à ce challenge ?

Une démarche La politique de sécurité

Des services de sécurité Authentification Confidentialité Intégrité Non répudiation Disponibilité Autorisation


Et des technologies…

Firewall IDS Analyse de contenu FIA AntiVirus VPN PKI…


PKI…

Au cœur de la citadelle Offre les mécanismes de sécurité aux

applications Mécanismes & Outils exploités dans

plusieurs strates Permet de construire des relations de

confiance


Principes de bases

Une mécanique cryptographique éprouvée et standardisée

Une approche orientée utilisateur Mot-clef: certificat numérique ou

« passeport » numérique Notion de confiance au niveau

électronique


Les applications PKI

Sécurisation de la messagerie VPN, Accès distants Portail Web, e-commerce Transactions électroniques Publications électroniques Single Sign On Etc.


Sécurisation de la messagerie

Cryptage des messages Intégrité des messages Signature et non répudation Application PKI « ready » Standards

S/MIME PGP


Accès distants (VPN)

Accès aux ressources d’entreprise Sécurisation des communications Technologies utilisées

IPSEC SSL ou SSH

Utilisation des certificats Cartes à puce Token USB


Portail Web, e-commerce

Technologie SSL Authentification mutuelle Signature des transactions

eTrading

Gestion des privilèges CyberAdministration, guichet virtuel, etc.

Tendance: Editeurs de serveurs d’applications convergent vers PKI


Transactions & publications électroniques

Récépissés digitaux Concept de preuve Non répudiation des documents délivrés

Autorité de transaction Tiers pour validation des transactions

« Document authority » Partage de documents sécurisés


Single Sign On

Amélioration de la sécurité Gestion centralisée des utilisateurs Utilisation des certificats pour

l’authentification Applications PKI « Ready » ou module

d’intégration Utilisation des PAC


L’acteur Microsoft

Ouverture sur PKI Nouvelle méthode d’authentification

Kerberos V5

Support des cartes à puce Encrypted File System (EFS) Intégration avec Active Directory Support de la biométrie


Kerberos

Système d’authentification et de gestion des privilèges

Utilise des tickets (credentials) Permet l’authentification mutuelle Système de Single Sign On


Kerberos et PKI

Extension pour l’authentification par PKI PKINIT Support des cartes à puce (smart card

logon)


L’infrastructure et ses éléments

Certificats Annuaires Autorité de certification (CA) Autorité d’enregistrement (RA) Autorité de validation (VA) Archivage


Autorité de certification (CA)

L’entité qui délivre les certificats Le tiers de confiance L’entité qui publie les certificats dans un

annuaire L’entité qui génère les listes de

révocation


Autorité de souscription (RA)

Bureau d’enregistrement Reçoit les requêtes de certification Obéit à la structure granulaire

de l’entreprise Identification du requérant


Autorité de validation (VA)

Service on-line Contrôle de validité des certificats Réponse: valide/invalide/inconnue Plus efficace que les CRLs

Minimise le trafique Etat en temps réel


Annuaires

Structure hiérarchisée de type x.500 Liste des liens entre utilisateurs et

certificats Peut contenir des listes de révocation

(CRL)


Archivage

Stockage à long terme des clés de chiffrement

Key recovery Perte des clés Vol Etc.

Procédure de récupération des clés Pas de stockage des clés de signature

Non répudiation



Démonstrations


Démonstrations

Obtention d’un certificat Utilisation dans le cadre de la

messagerie Signature de documents


Démo #1: obtention d’un certificat


User enrolls for certificate

http://www

http://www

User mailed retrieval PIN

User retrieves certificate

http://www

http://www

Admin Approves request

http://www

http://www

User mailed ack.

Admin mailed notification

User

SecurityOfficer

LDAPCertificate

installed

RA

CA

Démo #1: obtention d’un certificat


Démo #2: application messagerie


Démo #2: application messagerie

PC A

VisualisationEt/ou

Modification

PC B

Mail serveur


Démo #3: Signature de document


Démo #3: Signature de document

PC APC B

Serveur de données

Réseaux

Internes



Conséquences structurelles et organisationnelles de PKI


PKI internes et organisation

Mots clefs: Politique de sécurité, CP, CPS Exploitation et Ressources humaines Formation Audit Infrastructure technique


« Certificate Policy » (CP)

Stratégie organisationnelle sur papier Reprend la politique de sécurité Objectifs: respecter les buts

commerciaux, les contraintes légales et la culture d’entreprise

Haut niveau hiérarchique Auditer la mise en œuvre du PKI Auditer l’exploitation du PKI


Certificate Policy II

Document statique dans le temps Nécessaire mais pas suffisant…

Mécanismes? Procédures?

Nécessité d’un document lié à la mise en œuvre d’une PKI


Certificate Practices Statement (CPS)

Décrit les mécanismes et procédures à mettre en œuvre pour exécuter la CP Spécifie l’implémentation d’un CA Mode d’identification auprès du RA Taille des clefs Structure et temps de vie des certificats Détails liés à la révocation Etc.


CPS II

Définition de l’architecture de sécurité Accès physique au CA, RA, etc. Processus de backup Normes cryptographiques (FIPS, etc.) Implication des divers couches de la

citadelle

Document qui évolue avec les technologies


En Résumé

CP Document stratégique Objectifs liés au secteur d’activité Stable dans le temps

CPS Construction d’une PKI suivant la CP Implémentation des standards Lié aux technologies Définition des procédures d’exploitation

RFC 2527: Format standard


Ressources humaines

Types de profiles impliqués Haut management (CP) Juristes (aspects légaux) Security officers (CP, CPS) Ingénieur sécurité Ingénieur système (exploitation) Equipe bureautique (application, formation

& Help Desk) Auditeur (CP, CPS)


Quelques liens

http://www.cert.org http://csrc.nist.gov/ http://www.sans.org http://online.securityfocus.com/ http://www.linuxsecurity.com/ http://www.securitysearch.net/ http://www.esecurityonline.com/



Questions?



Pour plus d’informations

e-Xpert Solutions SASylvain Maret

Route de Pré-Marais 29CH-1233 Bernex / Genève

+41 22 727 05 [email protected]

PKI par la Pratique

Technology

Transcript of PKI par la Pratique