Beruflich Dokumente
Kultur Dokumente
IGC
2
Certificats : pourquoi ?
chiffrement & signatures supposent lauthenticit des cls publiques, disponibles sur un annuaire ou un serveur web
signature garantit que le message provient bien du dtenteur de la cl prive mais
A qui appartient cl prive/publique ?
Certificats : pourquoi ?
Scnario :
Alice et Marie veulent senvoyer des messages Bob = pirate
Bob modifie lannuaire ou le serveur web qui hberge les cls publiques remplace cl publique dAlice par la sienne. Bob peut mnt lire les courriers destins Alice et signer des message en se faisant passer pour Alice !! si Marie envoie message M chiffr Alice,
Marie va chiffrer M avec cl publique de Bob (croyant que cest la cl dAlice).
Chiffrement garantit que le message ne pourra tre dchiffr que par le dtenteur de la cl prive (associe la cl publique utilise lors du chiffrement) mais
A qui appartient cette cl publique ?
Bob pourra
dchiffrer les messages destins Alice avec sa cl prive, lire ainsi le courrier confidentiel dAlice.
Les signatures et les MACs ne rsolvent pas entirement le problme de lauthenticit. On introduit alors la notion de certificat !
3
Anas Abou El Kalam
Certificats : quoi ?
permet dtablir un environnement de confiance entre deux entits distantes ayant besoin de communiquer entre elles et de schanger des informations :
non-rpudiables (ncessit de signature) ou confidentielles (application de chiffrement).
certificat : vise effectuer un lien entre une personne et une bi-cl (priv/publique)
Il est dlivr par une autorit de certification (AC) Il est nominatif Il est destin un usage unique (signature OU chiffrement) Il a une dure de validit donne Il est certifi par lAC Il est rvocable
Utiliss par de nombreuses applications et protocoles SSLv3/TLSv1 (https, ldaps, IMAPS, POPS ...) VPN IPSec avec IKE Authentification de niveau 2 : EAP-TLS (802.1X) Chiffrement de volume Signature lectronique
Formats
! # $ ! # $ $ " " " " " "
Formats
$
DER (Distinguished Encoding Rules) [6] ASN.1 (Abstract Syntaxe Notation One) Reprsentation de donnes sous un format binaire autres: BER (Basic Encoding Rules) CER (Canonical E.R) exnsions usuelles : .der, .cer, .crt, .cert PEM (Privacy Enhanced Mail) format par dfaut de openssl Peut contenir cls prives, cls publiques et certificats X509. C'est du DER encod en base64 auquel sont ajoutes en-ttes en ASCII Extensions usuelles : .pem, .cer, .crt, .cert PKCS#12 (Personnal Information Exchange Syntax Standard) fait partie des sps (Public-Key Cryptography Standards) de st RSA format (binaire) d'exportation d'un certificat et/ou d'une clef prive standard pour stocker des cls prives, des cls publiques et des certificats en les protgeant en confidentialit et en intgrit (e.g., mdp) utilis par Mozilla et IE/Outlook pour importer/exporter certificat avec sa 7 Anas Abou El Kalam cl prive associe.
% %
Exportation cert Importation cert Exportation cert avec Kp Importation cer avec Kp
PKCS#12 PKCS#12
Certificats X 509
Objectif : Certifier qu'une clef publique appartient une entit identifie + dure de validit + rles et contraintes Ensemble d'informations sur l'utilisateur (qq Ko) sign structure ASN.1 public signe protge en intgrit encodage DER Typiquement : Clef publique Propritaire de la clef : utilisateur, machine, serveur, quipement rseau... qui possde la clef prive Dure de validit Information sur la signature (signataire/metteur, algorithme de signature) la signature elle-mme
% % % % % % % % % % % % % % % % % % % % % % % % %
Processus de certification :
M. Bidon gnre son bi-cl (publique/priv) Je, soussign M. Bidon, demande un certificat ... Cl publique Avec sa cl prive Signature
Documents demands par lautorit de certification : fiche dtat civil ...
% %
Autorit de certification
10
Certificats : exemple
Structure du certificat X.509v3 (1996)
Version du certificat Numro de srie du certificat Algo.de signature de lAC Nom de lAC ayant dlivr le certificat Priode de validit Nom du propritaire du certificat Cl publique Algo. utiliser avec la cl publique Identification de lAC (opt) Identification du propritaire (opt) Extensions (opt) Signature de lAC
Certificats : exemple
11
12
Certificats : exemple
Certificats : exemple
13
14
Certificats : vrification
Vrification certificat
Cycle de vie
Autorit de certification : ACBob Prnom: Bob Nom: Dupond Email: bob.dupond@entreprise.fr Date de validit: Du 01/10/93 au
01/10/94
Hachage
Empreinte 1
Egalit ?
Cl publique de lautorit de certification
Si oui
Dchiffrement
Empreinte 2
15
16
Etapes
17
18
0"
&1
Lutilisateur
Il utilise le certificat
Il vrifie que lidentit indique par le certificat est bien son interlocuteur Il vrifie que le certificat nest pas rvoqu (en consultant des listes de certificats rvoqus - CRL) Il vrifie que lutilisation quil veut faire du certificat est conforme son usage (chiffrement, signature, ) authentifie et vrifie lintgrit du certificat laide de la cl publique de lAC
& ' ( &1 & & 3 45 & ' ( &1 & & 3 45 6 6 # # # # # # # # !" $ % ) 0) % 0 ! $ !" $ % ) 0) % 0 ! $ 2 2
B
&
&
&
&
&
&
"
%)
%$
IP
QR
FH
19
20
En janvier 2001, Verisign a dlivr deux certificats la socit Microsoft mais le porteur du certificat ntait pas affili Microsoft http://www.amug.org/~glguerin/opinion/revocati on.html Verisign, suite un audit de scurit (6 semaines aprs), annonce que les deux certificats sont rvoqus Microsoft publie un patch pour ne plus accepter ces certificats
Anas Abou El Kalam
21
22
Autres composants
Autorit d'horodatage (TA Timestamping Authority) RFC 3161 Fournit un service de datation certifie Empche les signatures antidates Mme pour un certificat rvoqu, une signature antrieure la rvocation reste valide
Infrastructure de confiance
Consultation, modification
Autorit d enregistrement
Service de squestre Conservation des clefs prives de chiffrement Scuris!! Gnrateur de bi-clef (KGS, Key Generator System) contraintes cryptographique et de performance Centralis vs dcentralis Lautorit dapprobation des politiques spcifie rgles selon lesquelles lAC est autorise dlivrer des certs Autorit dattributs dlivre des sous-certificats temporaires (comme par exemple des dlgation de signature)
Rpertoire
Consultation
Utilisateur
23
24
Chaque AC publie priodiquement une liste des certificats rvoqus (CRL) Cette liste pouvant tre volumineuse, on procde
En publiant des delta (modifications incrmentales) En dcoupant la CRL en partition. Chaque certificat contient un pointeur vers la partition o il devrait se trouver
Note : tous les logiciels ne mettent pas en uvre lentiret de ces tapes !!!
25
26
27
28
La confiance est dplace vers lautorit de certification Des autorits peuvent en certifier dautres : on aboutit une chane de certification
la racine, on a forcment un certificat racine auto-certifi si on ne fait pas confiance cette autorit racine, toute la chane de certification ne sert rien gnralement, il sagit dune organisation trs rpute
Cls
Autorit A
30
AC
AC AC AC AC
AC
AC
AC
Arborescente
Maillage
Anas Abou El Kalam
En toile 31
Anas Abou El Kalam
32
Politique de certification
ensemble de rgles identifi par un nom, qui fournit un renseignement sur la possibilit d'utiliser un certificat pour une communaut particulire ou des applications ayant des besoins de scurit communs Spcifie les conditions de dlivrance d'un certificat Les limitations appliques en fonction de son usage de sa validit de son renouvellement La PC doit tre connue et accepte par tous les utilisateurs Un certificat doit contenir un identificateur de sa PC Peut tre dpose auprs d'un organisme international
Politique de certification
qu'est ce qui peut tre scuris par ces certificats Niveau de protection des clefs prives Types de mesures prises pour valider l'identit d'une personne demandant un certificat Responsabilits du propritaire en cas de compromission de la clef prive RFC 2196 - Site Security Handbook ISO/IEC 17799:2000 Code of practice for information security management Scurit physique, organisationnelle, du personnel, contre les sinistres,
33
34
nonc des pratiques de certification effectivement mises en oeuvre par une autorit de certification pour mettre et grer des certificats.
RFC 2527 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile propose un plan pour les DPC Introduction General provisions Identification and authentication Physical, Procedural and Personel Security controls Technical Security controls Certificate and Certificate Revocation List Profiles Specification Administration Ces documents sont ncessaires pour dterminer si l'autorit de certification d'une organisation peut tre juge de confiance
Dtaille les moyens mise en oeuvre pour atteindre le niveau de scurit dcrit dans le PC comment est valide l'identit des demandeurs de certificat les utilisations prvues et dfinies dans les certificats montant maximum des transactions protges par ces certificats cot des certificats procdure d'audit juridiction / lois applicables
Des DPC diffrentes peuvent rpondre une mme PC Une mme DPC peut tre utilise pour deux PC diffrentes conforme la PC la plus exigeante
35
36
37
38
charges (crypto, dlais, supports, etc.) ! Dfinition/rdaction de la Politique de Certification Formalisation des facteurs de changements internes
court terme : organisation moyen et long terme : impact sur les applications
tablir la valeur de linformation et analyser les risques associs Plan daffaires et dcision de lancement du projet Retour sur investissement direct ou indirect Planification du projet
Anas Abou El Kalam
39
40
Mise en oeuvre
Plan de dveloppement
Mise en place de lquipe projet
Matrise douvrage: Directeur de projet, chef de projet, juristes, ... responsable des TI (exploitation), marketing, etc.. Matrise doeuvre: unique ou multiple
de publication, etc..
Fournisseur dun support des secrets: carte puce, token USB Fournisseur dun systme de validation des de applications
Suivi de projet
Planification : tches, Gantt, dlais, ressources, budgets, etc.. Suivi oprationnel: comits/runions davancement, tableaux de bord Livraison des produits (services): recettes unitaires Travaux dinfrastructure physique (si interne) Formation (oprateurs et utilisateurs finals) Contrle qualit
Plan de recette
Anas Abou El Kalam
41
42
Mise en oeuvre
Mise en place dun pilote
Choix des acteurs impliqus Mise en place dun support tlphonique (centre dappel, web) Suivi de mise en oeuvre : retour dexpriences sur le pilote et adaptation
Surveillance et pilotage
Procdures dalertes Gestion des incidents Plan de secours / recouvrement
43
44
Audit
Critiques
Aprs une priode d'euphorie (commerciale) les IGC ont essuy beaucoup de critiques au dbut des annes 2000 Compilation of Resources Regarding Difficulty With PKI: What you are not being told about PKI , B. Schneier, G. Ellisson The fundamental inadequacies of conventional PKI , R. Clarke Only mostly dead : PKI, Why a security plateform never took off , S. Berinato
Contrle DCSSI au titre de larticle 9 de de la loi du 30 mars 01 labellisation au titre dautres rfrentiels
FNTC (Fdration Nationale des Tiers de Confiance) WebTrust pour autorits de certification ISO 17799 (norme internationale concernant la scurit, 12/00)
PKI is dead. Mercifully. PKI arrived as a gimpy pony in the first place, and by now we are pretty tired of beating a dead horse.
2002 will be the year that PKI dies , G. Schultz Les IGC : Faut-il temprer les enthousiasmes? S. Aumont
45
46
Critiques
Critres de validit d'un certificat Proprits d'un certificat valide : Certificat mis par une AC qui on fait confiance Avec un usage du certificat dfini et adapt l'application Possdant des dates d'utilisation valides Et n'tant pas rvoqu
Critiques
Problme de confiance: Une IGC implique la confiance dans des AC Certains clients arrivent avec une liste de AC prdfinie Mais que faut il comprendre lorsqu'une CA est dite digne de confiance ? Qui a accord une CA le pouvoir d'attribuer de telles preuves d'identit ? L'utilisateur doit valider le certificat : Certains critres sont dlicats apprhender Extensions X.509, PC, DPC... les certificats nous protgent uniquement contre les partenaires avec lesquels le client refuse de travailler. Vu leur nombre, ces AC ont forcement des PC diffrentes Diffrence non prise en compte dans les clients : aucune pondration Installation d'AC par inadvertance est possible Attaque du stockage de ces AC Exercice : Essayez de supprimer une AC dans mozilla
Nombre de vrifications sont de la responsabilit du client Problme d'implmentation: Tout certificat mis par une AC laquelle ont fait confiance est pris en compte par le client Tout certificat mis par une sous-AC d'une AC laquelle ont fait confiance est pris en compte par le client si les options de certificat sont correctes Tous les usages dfinis dans le certificat sont considrs comme valables mme s'ils sont incohrents
47
48
Critiques
Critiques
Le principe d'une CRL Principe de fonctionnement : Ds que l'on sait sa clef compromise (vole, perdue physiquement, ...) on la met sur une CRL Approche : tant qu'on est pas sr qu'un certificat est compromis ... on peut s'en servir
Diminution de la fentre de vulnrabilit Dpend de 3 facteurs La capacit dtecter la compromission d'une clef La ractivit de l'IGC La diffusion de la rvocation et sa prise en compte par les applications Mises jour rgulires de CRL
Problme de confiance: le secret de la clef secrte la scurit des clefs logicielles dpend de la scurit des machines qui les stockent Elles sont chiffres! Oui mais le mot de passe lui-mme peut tre vol Des attaques par dictionnaire La plupart des logiciels n'imposent pas de rgle de constitution En gnral, non chiffre pour les clefs associes un service Utilisation de cartes cryptographiques carte puce ou token USB pour les utilisateurs HSM (Hardware Security Module) pour les serveurs Les clefs peuvent tre gnres par la carte aucun moment la clef prive ne sort de la carte seuls la clef publique et les rsultats des calculs cryptographiques sont fournis par la carte
49
50
Critiques
Difficults d'exploitation d'une IGC En gnral, engagement (trs) long terme Conformit la PC application de la DPC Notamment des rgles organisationnelles Recouvrement de clef collaboratif la difficult de changement du certificat d'un AC racine validit trs longue ex : RSA Security Inc : 2001-> 2026 Choisir une longueur de clef suffisante Faire voluer la PC et la DPC
Vulnrabilits
La faon dont Konqueror manipule les certificats lectroniques permet un attaquant distant de mener une attaque de type "Man in the Middle". Konqueror est un outil dvelopp pour l'environnement graphique KDE, qui fait la fois office de navigateur web et de gestionnaire de fichiers. Konqueror possde sa propre implmentation de SSL. SSL utilise des certificats. pour authentifier un correspondant, Konqueror se base sur l'@ IP fournie par le certificat et non pas sur le nom de la machine.
Un attaquant peut donc se placer entre deux personnes dsirant communiquer et intercepter de faon transparente les donnes changes.
51
52
Biblio
1. Cryptographie Applique, Bruce Schneier (Wiley), 1996, ISBN 0-471-59756-2 (ISBN 2-84180-036-9 en VF) 2. MISC 15, septembre/octobre 2004, dossier Authentification 3. ITU-T Recommendation X.208, Specification of Abstract Syntax Notation One 4. http://asn1.elibel.tm.fr/fr/utilisations/rfc.htm 5. http://sourceforge.net/projects/asn1c/ 6. ITU-T Recommendation X.690, ASN.1 : Encoding Rules 7. MISC 13, mai/juin 2004, dossier PKI 8. http://www.securityfocus.com/infocus/1810 9. RFC 3280 Internet X.509 PKI Certificate and Certificate Revocation List profile 10.RFC 10.RFC 3161 - Internet X.509 Public Key Infrastructure, Time-Stamp Protocol (TSP) 11.RFC 11.RFC 3647 - Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices Framework 12.PC2 12.PC2 Procdures et Politiques de Certification de Cls . DCSSI
Conclusion
Intgrit Empreinte digitale MAC Signature digitale Signature digitale + certificat Authenticit Non rpudiation
53
rpudiation) du certificat.
Anas Abou El Kalam
54
Rfrences (authentification)
Application : S-MIME, PGP, Sbox, OTP Prsentation Session : SHTTP Transport : SSL, TLS Rseau : authentification IP (IPsec) Liaison : CHAP, PAP Liaison physique : Bluetooth SSL, TLS, SHTTP IpSec Botier de chiffrement
Algorithmes
The MD5 Message Digest Algorithm de R. Rivest - RFC 1321 Secure Hashing Standard - FIPS 180-1 Handbook of applied cryptography de A. Menezes, P. van Oorschot et S. Vanstone
55
56