Public Key Infrastructure (PKI) & Authentification forte dans un domaine Windows 2000

1Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002

6 6 -- Public Key Infrastructure (PKI)Public Key Infrastructure (PKI)

&&

Authentification forte dans un Authentification forte dans un domaine Windows 2000domaine Windows 2000

Philippe Logean

Ecole d’Ingénieurs de Genève

Laboratoire de transmission de données

e i g Ecole d'ingénieurs - hes Genève


Vue généraleVue générale

CAOpen

FirewallVPN

internet

ServerW2k/Linux

ClientW2k/Linux

EIVD

ClientW2k

ClientW2k

NAT

ISPISP

ADSL

EIGFirewall

VPNDomain

Controller

IP phone

CAKEON

ServerW2k

ClientW2k

DomainController

IP phone

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002

Public Key Infrastructure (PKI)Public Key Infrastructure (PKI)


Chiffrement symétriqueChiffrement symétrique

La même clé est utilisée au chiffrement et au déchiffrement

Mom’sMom’sSecretSecretAppleApplePiePieRecipeRecipe

sXk$%sXk$%Sikow@Sikow@@dilIF*@dilIF*lix%kTlix%kT

SymmetricSymmetricKeyKey


SymmetricSymmetricKeyKeyAlice Bob


Chiffrement asymétriqueChiffrement asymétrique

Ce qui est chiffré avec la clé X ne peut être déchiffré qu’avec la clé Y.

• X = clé publique• Y = clé privé



YYKeyKey

XXKeyKey

sXk$%sXk$%Sikow@Sikow@@dilIF*@dilIF*lix%kTlix%kT

Alice Bob


Public Key Infrastructure (PKI)Public Key Infrastructure (PKI)

• Une infrastructure à clé publique (Public Key Infrastructure) crée un espace de confiance qui permet de gérer tous les aspects de sécurité : authentification des utilisateurs et des entités techniques, confidentialité -intégrité des données et non-répudiation des transactions

• Elle est constituée par des services de génération et de diffusion des certificats numériques (sorte de carte d’identité virtuelle) et des clés nécessaires au chiffrement et au déchiffrement


Trusted AuthorityTrusted Authority

• Tiers garant, tiers de confiance

• Alice et Bob sans Charly !

TrustedAuthority

Alice BobCharly

Direct Trust

Implicit Trust

Direct Trust


Certificate Authority (CA)Certificate Authority (CA)

Pri

Pub

PriPub

CertificateAuthority

Pri Alice Bob

CertificateDatabase

Pub


Certificat numérique Certificat numérique -- DDéémomo……


Certificat numérique (suite)Certificat numérique (suite)

• Un certificat est un fichier d'un millier d'octets qui prouve un lien entre une entité et sa clé publique.

• Entité = individu, hardware (router, server), software process (Java applet), fichier, …

• Il contient en clair, son identité, sa clé publique, le format, le numéro de série du certificat, la période de validité, le type d'algorithme.


Certificate Revocation List (CRL)Certificate Revocation List (CRL)

Liste des certificats révoqués

Publiée et signée par la CA

Certificats révoqués = invalides et inutilisables

Causes:• Compromission de la clé privée• Compromission du propriétaire

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002

Authentification forte dans un Authentification forte dans un domaine Windows 2000domaine Windows 2000


Authentification forteAuthentification forte

Facteurs d’authentification :

• Something you know (mot de passe, PIN, …)

• Something you have (token, carte à puce, …)

• Something you are (empreinte, iris de l’œil, …)à procédés biométriques

Authentification forte si au moins 2 types différents sontutilisés : token + PIN, biométrie + smartcard, …


Authentification forte Authentification forte -- DDéémomo……

CAOpen

FirewallVPN

internet

ServerW2k/Linux

ClientW2k/Linux

EIVD

ClientW2k

ClientW2k

NAT

ISPISP

ADSL

EIGFirewall

VPNDomain

Controller

IP phone

CAKEON

ServerW2k

ClientW2k

DomainController

IP phone


Configuration testéeConfiguration testée

DC / KDC

Domain Client

Domain Admin

CA Keon

CertificateEnrollment

andRevocation

PolicyDistribution,Certificate

Publication,etc.

Security Policy

Domain Logon

Active Directory

eToken


Intégration de la CA KeonIntégration de la CA Keon

• Communication entre AD et CA à LDAP

• Autoriser les certificats délivrés par la CA Keon pour l’authentification dans le domaine Win2k (trust)

• Délivrer un certificat au DC à Signature des réponses PKINIT

• Générer des certificats utilisateurs contenant les extensions propriétaires nécessaire à Authentification dans le domaine


Structure PKIStructure PKI

ClientWin2k

DCActive Directory

DC Certificate

Issuer: ca2.telecomeigSubject: dc1.telecomeig

eToken

User Certificate

Issuer: ca1.telecomeigSubject: Alice

CA Keon

TelecomeigRootCA

Subject: ca1.telecomeig

Self-signed

ca1.telecomeig(Vectra25)

dc1.telecomeig(Vectra24)

host.telecomeig

eToken


Extensions propriétaires Extensions propriétaires -- DDéémomo……


Authentification d’un utilisateurAuthentification d’un utilisateur

Poste Client

SSP Kerberos

AS request- User Certificate- Authenticator + Signature

AS response - TGT+ Session Key + KDC Certificate

User Certificate

Issuer: ca2.telecomeigSubject: Alice

1.

2.

4.

3.

5.

CSP

Driver eToken

WinlogonGINALSA

2.

3. 5.

6.

7.

10.

Private Key

CSP Tracer

Analyseur USB

KDC

AS

TGS

Active Directory

User InfoUser@domain

DC Certificate

Issuer: ca2.telecomeigSubject: dc1.telecomeig

8. 9.

GINA: Cryptographic Identification and Authentication

LSA: Local Security Authority

SSP: Security Support Provider

CSP: Cryptographic Service Provider


Authentification d’un utilisateur (suite)Authentification d’un utilisateur (suite)

1. Saisie du PIN dans Winlogon lors de la connexion de l’eToken. Transmis au SSP Kerberos

2. Appel au driver de l’eToken. Envoi du PIN pour accéder aux données contenues dans l’ eToken

3. Récupération du certificat utilisateur par le SSP

4. Génération, par le SSP, d’un authentifieur contenant un Timestamp. Transmis au CSP

5. Signature de l’authentifieur par le CSP (réalisé dans l’eToken ou sur le poste client)


Authentification d’un utilisateur (suite)Authentification d’un utilisateur (suite)6. Signature retournée au SSP

7. Requête AS (Authentication Service) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature

8. Vérification de la validité du certificat (Certification Path, CRL, trust CA). Vérification de la signature. Recherche des informations de l’utilisateur (user@domain)

9. Récupération des informations utilisateur (user SID (Security Identifier), group SID) pour construire le TGT

10. Réponse AS contenant le TGT. Chiffré avec la clé publique du client et signée par le KDC


ConclusionConclusion

• Authentification par certificat (PKINIT, CRL, …) permet d’atteindre un haut niveau de sécurité

• Degré de sécurité dépendant du type de token

• Sécurité = Information aux utilisateurs

Problèmes rencontrés :• Manque d’information pour l’intégration de la CA Keon

dans AD


QuestionsQuestions

Documents

Public Key Infrastructure (PKI) & Authentification forte dans un domaine Windows 2000