View
116
Download
1
Category
Preview:
DESCRIPTION
eigEcole d'ingénieurs - hes Genève6 - Public Key Infrastructure (PKI) & Authentification forte dans un domaine Windows 2000Philippe Logean Ecole d’Ingénieurs de Genève Laboratoire de transmission de donnéesLaboratoire de transmission de données EIG/HES-SOPh. Logean21 novembre 20021Vue généraleEIGDomain Controller CA KEON Client W2k Server W2k IP phoneLaboratoire de transmission de données EIG/HES-SO Ph. LogeanEIVDFirewall VPN internet ISP ISP ADSL NAT Firewall VPN Domain Con
Citation preview
1Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
6 6 -- Public Key Infrastructure (PKI)Public Key Infrastructure (PKI)
&&
Authentification forte dans un Authentification forte dans un domaine Windows 2000domaine Windows 2000
Philippe Logean
Ecole d’Ingénieurs de Genève
Laboratoire de transmission de données
e i g Ecole d'ingénieurs - hes Genève
2Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Vue généraleVue générale
CAOpen
FirewallVPN
internet
ServerW2k/Linux
ClientW2k/Linux
EIVD
ClientW2k
ClientW2k
NAT
ISPISP
ADSL
EIGFirewall
VPNDomain
Controller
IP phone
CAKEON
ServerW2k
ClientW2k
DomainController
IP phone
Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Public Key Infrastructure (PKI)Public Key Infrastructure (PKI)
4Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Chiffrement symétriqueChiffrement symétrique
La même clé est utilisée au chiffrement et au déchiffrement
Mom’sMom’sSecretSecretAppleApplePiePieRecipeRecipe
sXk$%sXk$%Sikow@Sikow@@dilIF*@dilIF*lix%kTlix%kT
SymmetricSymmetricKeyKey
Mom’sMom’sSecretSecretAppleApplePiePieRecipeRecipe
SymmetricSymmetricKeyKeyAlice Bob
5Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Chiffrement asymétriqueChiffrement asymétrique
Ce qui est chiffré avec la clé X ne peut être déchiffré qu’avec la clé Y.
• X = clé publique• Y = clé privé
Mom’sMom’sSecretSecretAppleApplePiePieRecipeRecipe
Mom’sMom’sSecretSecretAppleApplePiePieRecipeRecipe
YYKeyKey
XXKeyKey
sXk$%sXk$%Sikow@Sikow@@dilIF*@dilIF*lix%kTlix%kT
Alice Bob
6Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Public Key Infrastructure (PKI)Public Key Infrastructure (PKI)
• Une infrastructure à clé publique (Public Key Infrastructure) crée un espace de confiance qui permet de gérer tous les aspects de sécurité : authentification des utilisateurs et des entités techniques, confidentialité -intégrité des données et non-répudiation des transactions
• Elle est constituée par des services de génération et de diffusion des certificats numériques (sorte de carte d’identité virtuelle) et des clés nécessaires au chiffrement et au déchiffrement
7Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Trusted AuthorityTrusted Authority
• Tiers garant, tiers de confiance
• Alice et Bob sans Charly !
TrustedAuthority
Alice BobCharly
Direct Trust
Implicit Trust
Direct Trust
8Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Certificate Authority (CA)Certificate Authority (CA)
Pri
Pub
PriPub
CertificateAuthority
Pri Alice Bob
CertificateDatabase
Pub
9Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Certificat numérique Certificat numérique -- DDéémomo……
10Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Certificat numérique (suite)Certificat numérique (suite)
• Un certificat est un fichier d'un millier d'octets qui prouve un lien entre une entité et sa clé publique.
• Entité = individu, hardware (router, server), software process (Java applet), fichier, …
• Il contient en clair, son identité, sa clé publique, le format, le numéro de série du certificat, la période de validité, le type d'algorithme.
11Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Certificate Revocation List (CRL)Certificate Revocation List (CRL)
Liste des certificats révoqués
Publiée et signée par la CA
Certificats révoqués = invalides et inutilisables
Causes:• Compromission de la clé privée• Compromission du propriétaire
Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Authentification forte dans un Authentification forte dans un domaine Windows 2000domaine Windows 2000
13Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Authentification forteAuthentification forte
Facteurs d’authentification :
• Something you know (mot de passe, PIN, …)
• Something you have (token, carte à puce, …)
• Something you are (empreinte, iris de l’œil, …)à procédés biométriques
Authentification forte si au moins 2 types différents sontutilisés : token + PIN, biométrie + smartcard, …
14Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Authentification forte Authentification forte -- DDéémomo……
CAOpen
FirewallVPN
internet
ServerW2k/Linux
ClientW2k/Linux
EIVD
ClientW2k
ClientW2k
NAT
ISPISP
ADSL
EIGFirewall
VPNDomain
Controller
IP phone
CAKEON
ServerW2k
ClientW2k
DomainController
IP phone
15Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Configuration testéeConfiguration testée
DC / KDC
Domain Client
Domain Admin
CA Keon
CertificateEnrollment
andRevocation
PolicyDistribution,Certificate
Publication,etc.
Security Policy
Domain Logon
Active Directory
eToken
16Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Intégration de la CA KeonIntégration de la CA Keon
• Communication entre AD et CA à LDAP
• Autoriser les certificats délivrés par la CA Keon pour l’authentification dans le domaine Win2k (trust)
• Délivrer un certificat au DC à Signature des réponses PKINIT
• Générer des certificats utilisateurs contenant les extensions propriétaires nécessaire à Authentification dans le domaine
17Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Structure PKIStructure PKI
ClientWin2k
DCActive Directory
DC Certificate
Issuer: ca2.telecomeigSubject: dc1.telecomeig
eToken
User Certificate
Issuer: ca1.telecomeigSubject: Alice
CA Keon
TelecomeigRootCA
Subject: ca1.telecomeig
Self-signed
ca1.telecomeig(Vectra25)
dc1.telecomeig(Vectra24)
host.telecomeig
eToken
18Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Extensions propriétaires Extensions propriétaires -- DDéémomo……
19Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Authentification d’un utilisateurAuthentification d’un utilisateur
Poste Client
SSP Kerberos
AS request- User Certificate- Authenticator + Signature
AS response - TGT+ Session Key + KDC Certificate
User Certificate
Issuer: ca2.telecomeigSubject: Alice
1.
2.
4.
3.
5.
CSP
Driver eToken
WinlogonGINALSA
2.
3. 5.
6.
7.
10.
Private Key
CSP Tracer
Analyseur USB
KDC
AS
TGS
Active Directory
User InfoUser@domain
DC Certificate
Issuer: ca2.telecomeigSubject: dc1.telecomeig
8. 9.
GINA: Cryptographic Identification and Authentication
LSA: Local Security Authority
SSP: Security Support Provider
CSP: Cryptographic Service Provider
20Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Authentification d’un utilisateur (suite)Authentification d’un utilisateur (suite)
1. Saisie du PIN dans Winlogon lors de la connexion de l’eToken. Transmis au SSP Kerberos
2. Appel au driver de l’eToken. Envoi du PIN pour accéder aux données contenues dans l’ eToken
3. Récupération du certificat utilisateur par le SSP
4. Génération, par le SSP, d’un authentifieur contenant un Timestamp. Transmis au CSP
5. Signature de l’authentifieur par le CSP (réalisé dans l’eToken ou sur le poste client)
21Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
Authentification d’un utilisateur (suite)Authentification d’un utilisateur (suite)6. Signature retournée au SSP
7. Requête AS (Authentication Service) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature
8. Vérification de la validité du certificat (Certification Path, CRL, trust CA). Vérification de la signature. Recherche des informations de l’utilisateur (user@domain)
9. Récupération des informations utilisateur (user SID (Security Identifier), group SID) pour construire le TGT
10. Réponse AS contenant le TGT. Chiffré avec la clé publique du client et signée par le KDC
22Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
ConclusionConclusion
• Authentification par certificat (PKINIT, CRL, …) permet d’atteindre un haut niveau de sécurité
• Degré de sécurité dépendant du type de token
• Sécurité = Information aux utilisateurs
Problèmes rencontrés :• Manque d’information pour l’intégration de la CA Keon
dans AD
23Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002
QuestionsQuestions
Recommended