T0034 Arrows
Sminaire Scurit 2009
Michel Maudet Directeur Gnrale Adjoint Yannick Quenec'hdu
Responsable ple scurit
Qui sommes nous ?
LINAGORA, socit spcialise en Logiciel Libre, est le leader
franais de ce march
Leader dans l'dition de logiciels Open Source
Plus de 160 experts votre service
Leader dans l'dition de logiciels Open Source
Plus de 500 clients dont plus de 60% de trs grands comptes
Un rseau important de partenaires
Un fort soutien au Libre
Implantation
San Francisco
Bruxelles
Paris
Toulouse
Lyon
Marseille
Une couverture nationale (Paris, Lyon, Toulouse, Marseille) et
des implantations internationales (Belgique et USA San
Francisco)
Nos produits
LINAGORA dite ses propres logiciels Open Source et propose une
gamme de services professionnels pour russir les grands projets du
Libre
L'activit d'dition Open Source s'articule autour de 4 offres
innovantes : LinPKI : Suite applicative de scurit
OBM : Outils de messagerie et de gestion collaborative
LinID : Gestion et de Fdration des identits
LinSM : Solution de service de Management
L'OSSA, l'offre logicielle propre au libre
Une gamme de services complte partir d'un guichet unique pour
scuriser votre SI composantes Open Source. La mission de l'OSSA est
de vous fournir une expertise personnalise sur vos logiciels
libres.Avec un engagement de rsultats, une quipe d'experts vous
assiste pour :La rsolution des anomalies rencontres
L'intgration des correctifs aux communauts concernes des
paramtrages complexes
L'administration des logiciels supports
Leur intgration dans votre SI
Services professionnels
Cette offre produit est complte par une gamme de services
professionnels et de formations visant accompagner les grands
utilisateurs de logiciels libres dans le projet de transformation
de leur SI.
Service management / Supervision / Gestion de parc BI/ PGIWeb/
portail/ Ged/ Gestion de contenusScurit / IdentitEmbarqu Poste de
travailInfrastructure / Base de donnesTravail collaboratif
Chiffres cls
LINAGORA SA au capital social de 2.257.140 Euros
Chiffres cls
Quelques rfrences
Sommaire de notre sminaire
La suite applicative de scurit du groupe LINAGORA
Certificat Prsentation de l'offre de gestion des certificats
numriques
Signature Prsentation des composants de signature
Partage LinShare, l'application de partage de fichiers
Retours d'expriences La PKI en self service la Socit Gnrale
Le projet de signature de la rgion de Wallonie : EsignBox
L'offre LinPKI
Les certificats
L'cosystme LinPKI
LinRA Prsentation
LinRA est une autorit d'enregistrement (Registration
Authority)
Elle permet de grer le cycle de vie des certificats
Elle est accessible aux utilisateurs, en version Self-service de
certificat
Elle est accessible aux administrateurs pour des oprations
simples d'administrations (Reporting, rvocation, recouvrement de
clefs)
Elle est conue de manire gnrique pour voluer selon les besoins
en terme de scurit, de cinmatique, de gestion de formulaire,
d'intgration graphique
Elle intgre un composant de squestre et de recouvrement
Les diffrences
LinRA se diffrencie des autres solutions de PKI sur les points
suivants: Solution distribue en Open Source
Processus automatique didentification des utilisateurs dans
lenvironnement de la PKI
Simplicit des interfaces et des fonctions pour les utilisateurs
non initis au PKI
Refonte des composants Windows pour faciliter lintgration des
certificats dans les environnements Microsoft
Moteur de cinmatique graphique pour adapter les cinmatiques aux
besoins des entreprises
Outils dintgration des gestionnaires didentits pour la gestion
des droits sur lentit denrlement (SSO, IAM, etc.)
Provisonning didentits depuis des rfrentiels de donnes
Interface personnalisable (texte, feuille de style, images,
etc.)
LinRA en action
EJBCA
EJBCA c'est quoi ?
EJBCA est une PKI (Public Key infrastructure) ou IGC
(Infrastructure de gestion de cls) sous licence OpenSource (LGPL)
dveloppe en Java/J2EE. Dveloppe par la socit PrimeKey et rejoint en
2005 par Linagora.
EJBCA bien plus qu'une PKI
EJBCA fournit la fois les fonctions classiques que lon retrouve
dans la plupart des PKI du march. En supplment, elle fournit
galement un serveur OCSP, un serveur dhorodatage et un serveur de
signature. Chaque composant peut tre dploy de manire autonome ou
intgre dans EJBCA.
EJBCA un gnrateur de vos besoins
EJBCA a t construit comme un gnrateur, pour permettre de rpondre
rapidement et sans dveloppement complmentaire aux contraintes lies
aux certificats ou au SI de lentreprise. Le gnrateur permet de crer
des profils de certificat, des formats de requte, de personnaliser
des cartes puce ou de dongle USB.
Architecture fonctionnelle
La diffrence
Premire solution de PKI au monde en terme de diffusion Plus de
45 000 tlchargements annuels
Plus de 6000 rfrences connues
Permet de s'adapter sans dveloppement complmentaire tous les
contextes fonctionnelsVia ses profils de certificats, d'entits et
de Token
Le moteur de Workflow de LinRA
Respect des standards et des normes X509v3 et CRL
IETF : CMP (Certificate Management Protocol) Interoprabilit
entre PKI
W3C : Web Service et XKMS (XML Key Management Service)
Indpendance en terme de systmes d'exploitation,
Support des plus grandes bases de donnes et des serveurs
d'applications
HTMF
Le gestionnaire de support cryptographique permet de grer le
cycle de vie complet de cartes puces ou Token dans une socit ou
organisation.
ToLiMA est la premire application compose de modules qui utilise
le standard HTMF Hard Token Management FrameWork pour la gestion
des imprimantes de cartes puces.
Les fonctionnalits non exhaustives de la suite applicative
ToLiMa sont : mission de carte : temporaire, ordinaire, projet
Dblocage de code PIN sans exposer le code PUK pour les
utilisateurs et les administrateurs
Rvocation de carte
Renouvellement de carte
Activation et dsactivation de carte
Il est aussi possible dmettre et de bloquer des cartes sur la
base dun systme dapprobation.
Personnalisation graphique et lectronique
Architecture
Les diffrences
Analyseur automatique de carte, permet denclencher
automatiquement des scnarios lors de linsertion de carte puce. Les
diffrences essentiellement entre ToLIMa et les autres CMS du march,
porte sur 5 grands aspects:
Solution totalement Open Source ;
Respect des standards HTMF ;
Gestion automatise du cycle de vie des certificats ;
Gestionnaire de Workflow ;
Indpendant des systmes dexploitation ;
Ne ncessite aucun dploiement sur les postes des usagers.
?
Vous avez des Questions??
?
Notre offre
Signature
Notre offre de signature
Archivage
LinSign
Le client de signature a pour objectif de permettre la signature
depuis le poste du clientCe composant est conu dans un esprit de
gnricit et de modularit vis--vis des applications. il peut-tre mis
en uvre de 3 faons diffrentesService : Il sagit de mettre en place
ce composant en tant que service commun exploit et autonome. Ce
composant est alors vu comme un service global dfini par ses
interfaces publiques (WebService)
Produit : ce composant est utilis comme un produit prt
l'emploi.
Bote outils : Il sagit pour un projet applicatif de pouvoir
sapproprier ce composant en intgrant, voire en les adaptant ses
propres besoins dans le cadre du dveloppement dune
lapplication.
Ce dispositif de signature fonctionne selon plusieurs modes:En
mode connect sur les navigateurs standards du march.
En mode autonome sur un systme dexploitation ou des clients
lourds, tels que OpenOffice.
En mode service embarqu dans des applications mtiers.
Architecture
Les modules de LinSign
Le coeur de LinSign
Les diffrences
Solution Open Source
Support de la signature Xades (Signature lgale) et XML-Dsign,
prochainement CADES
Dveloppement par composant (Pas de modification du coeur)Permet
d'ajouter de nouveaux formats de signature
Permet le support de nouveaux navigateurs
Permet d'ajouter de nouvelles fonctionnalits
Indpendant des systmes d'exploitation
Intgration dans les clients lourds, en mode autonome ou dans des
applications Web
LinCheck
Application de vrification de signature
Permet de vrifier :la conformit d'une signature
La validit d'un certificatSmantique
Statut
Usage
Dialogue en mode REST et Web Service
Vrification des formats :Xades T, C, X, X-L et XMLDsign)
PDF
Horodatage
SignServer
SignServer est un serveur de signature modulaire distribu sous
licence OpenSource. Il est dvelopp en Java/J2EE. SignServer est le
premier serveur de signature industriel distribu sous licence
OpenSource
Il permet de grer la signature par lot, pour apposer par
exemple, un cachet serveur sur la signature d'un utilisateur
SignerServer est un serveur de signature multi-protocoles,
cest--dire quil peut-tre utilis comme :Serveur dhorodatage
(RFC3161),
Serveur de signature XML (Xades T, C, X, X-L et XMLDsign),
Serveur pour la signature des passeports de nouvelle gnration
(MRTD Machine Readable Travel Documents),
Pour la signature de document OpenOffice et PDF.
En complment du serveur de signature, SignServer offre les
fonctionnalits:Service de validation des certificats numriques
Moteur pour crer des scnarios dautorisation et de validation
Gestion de groupe de clefs symtriques et asymtriques
?
Vous avez des Questions??
?
Partage
Notre offre de partage scuris
Partage
LinShare
Use&Share
Application de partageDe fichiers orientsweb
Spcialement conue pour faciliter l'intgration au seindes
entreprises par une interface intuitive, zro formation et une
ergonomie simple prendre en main
Client LinShare pour l'intgration sur les postes clients
Permet une intgration avecLinShare via des applications lourdes
telles quOutlook et Thunderbird.
LinShare
LinShare permet de :Dposer des fichiers dans son espace (coffre
fort)
Partager de fichiers avec des collaborateurs internes ou
externes
Grer les partages
Scuriser les changes
Assurer la traabilit des changes
De fournir un historique et un reporting des actions
Et plus encore....
Les diffrences
Solution en mode OnSite et Online
Ergonomie trs simple ne ncessite pas de formation
Cinmatique de partage simple et rapide
Conduite de changement rduite au minimum
Permet la signature lgale de document
Chiffrement des fichiers
Intgration avec les anti-virus
Partage avec des utilisateurs sans compte sur l'application
Solution Open Source
Et encore plein de surprises...
LinShare en action
Use&Share
Use&Share est le client LinShare pour les postes de
travail
Peut-tre dploy de manire transparente via un navigateur Web
Dialogue avec LinShare en mode REST
Support des systmes d'exploitation : Linux, Apple, Windows
S'intgre de manire transparente dans les clients lourds tels
quOutlook et ThunderBird
Bientt dans OpenOffice et Word.
?
Vous avez des Questions??
?
Projet client
Retour d'exprience
Socit Gnrale
Le projet :Phase 1 :Internalisation des PKI du groupe sur une
seule instance
Phase 2 : Dlivrance de 120 000 certificats de chiffrement
Distribution en mode guichet (self-service)
Authentification des utilisateurs par rapport un annuaire
LDAP
Rcupration des informations utilisateurs lors de
l'identification en mode SSO (Socit Gnrale) sur le guichet
Simplification de l'intgration des certificats dans
l'environnement Windows
Le projet
Activit :Phase 1 :Dfinition de l'architecture technique de la
nouvelle infrastructure de PKI
Migration des PKI existantes vers la PKI EJBCA
Script d'intgration des certificats existants
Phase 2 :Spcifications fonctionnelles et techniques du projet de
dveloppement
Dveloppement d'un self service de certificat
Intgration SSO Socit Gnrale dans le self-service
Intgration annuaire LDAP Socit Gnrale dans le self-service
Forte contrainte concernant l'ergonomie de l'application
MthodesProjet en mthode Agile : SCRUM
Spcifications UML
Charge1200 jours de projet
Architecture fonctionnelle du guichet
Architecture technique du projet
Rsultat
Projet ralis selon le planning prvisionnel
Trs bon retour sur la mthode de projet Agile, ScrumRecette
client chaque itration
Travail important sur l'ergonomie de l'application
Dveloppement du projet LinRA et mise en Open Source du
rsultat
Dveloppement de composant d'intgration de certificat dans
l'environnement Windows, Outlook et carte puce avec une ergonomie
simplifie. Mise en Open Source du dveloppement
Migration de deux produits de PKI vers EJBCA Activit de 20
jours
?
Vous avez des Questions??
?
Merci de votre attentionNous contacter :Yannick Quenec'hdu et
Michel [email protected]
Nos sites :www.linagora.comwww.linpki.orgwww.linshare.org
Page
