• Save
Projet Pki   Etapes Clefs
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Projet Pki Etapes Clefs

on

  • 7,313 views

Ce retour d’expérience sera l’occasion d’aborder de façon pragmatique les aspects suivants : ...

Ce retour d’expérience sera l’occasion d’aborder de façon pragmatique les aspects suivants :

- La PKI : un service de commodité.
- Notions de Base.
- Identification des pré-requis (sujet, usage, séquestre, carte à puce, vitesse de révocation, publication, CPS…)
- Conception de la hiérarchie des autorités de certification (Hiérarchie, taille et durée de validité des clefs, HSM, matrice des rôles…)
- Stratégie de révocation (CRL, CDP, OCSP…)
- Stratégie d’enrôlement (automatique, autorité d’enregistrement…)

Statistics

Views

Total Views
7,313
Views on SlideShare
7,093
Embed Views
220

Actions

Likes
3
Downloads
0
Comments
1

3 Embeds 220

http://blogs.technet.com 193
http://www.slideshare.net 24
http://www.slashdocs.com 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Referencia sobre Certificados
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • 06/07/09 07:59 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Projet Pki Etapes Clefs Presentation Transcript

  • 1. Retour d'expérience « Windows Server 2008 ADCS, les étapes clefs pour réussir votre projet PKI » Arnaud JUMELET [email_address]
  • 2. Information LiveMeeting
    • Feedback
    • Questions
  • 3. Merci à
    • R.ERRA
    • D.POINTCHEVAL
    • P.BERAUD
    • C.VOISIN
    • J-Y.POUBLAN
    • S. QUASTANA
    • F.MEILLON
  • 4. Agenda Introduction Notions de bases - Cryptographie et PKI Projet PKI – Etapes clefs Questions/Réponses
  • 5.  
  • 6. Infrastructure à clé publique
    • Infrastructure « Fondations d’une construction »
    • Clé Publique
  • 7. Notre vision de la PKI
    • « It just works ! »
    • La PKI est un service de commodité au même titre que :
      • Active Directory Kerberos (Gestion des clés symétrique)
      • DHCP
      • DNS
  • 8. La PKI, un service de commodité
      • Protection de l’accès réseau
        • NAP
      • Protection de l’accès ordinateurs
        • IPSec
      • Protection de l’accès réseau sans-fil
        • 802.1x Wireless
      • Signature du code
        • Authenticode
      • Chiffrement des données
        • EFS
  • 9. La PKI, un service de commodité
      • EXCHANGE/OCS
        • Communication entre serveurs
      • MOSS
        • SSL/TLS
      • SCCM
        • Support client internet
      • SCOM
        • Support DMZ et Extranet
  • 10. Projet PKI
    • Active Directory Certificate Services
    • Charge estimée : 30 jours
    • Interlocuteur : RSSI
    • « C’est la dimension et non la PKI qui fait la complexité des projets »
  • 11. Étapes clefs
  • 12.  
  • 13. Services de sécurité
      • Confidentialité
      • Intégrité Authenticité
  • 14. Confidentialité
    • Émettre sur un canal non sécurisé
    • Archiver sur un support
    … afin qu’un tiers ne puisse en prendre connaissance.
  • 15. Intégrité
    • Garantir que l’information n'a pas subi de modification.
    • (aussi bien accidentelle, qu'intentionnelle)
  • 16. Authenticité
    • Prouver de façon interactive son identité.
    • Attacher à un message, une preuve non-interactive de son origine.
  • 17. Algorithmes Cryptographiques Algorithmes cryptographiques Asymétriques Symétriques Par bloc En continu Factorisation Logarithmes discrets
  • 18. Chiffrement symétrique
  • 19. Les systèmes symétriques
    • Faiblesses
      • Evolutivité
        • Multiplicité des clés en
        • 1000 utilisateurs = 499 500 clés
      • Sécurité limitée
        • Une clé symétrique ne chiffre que les données
        • N’offre pas le service d’authenticité (preuve de l’origine et la non répudiation)
  • 20. Chiffrement asymétrique Clé privée / Clé publique
  • 21. Les systèmes asymétriques
    • Faiblesses
      • Lenteur
        • Plus de 100 à 1000 fois plus lents que le symétrique
      • Problème de confiance dans la clé publique
        • Authenticité de la clef publique ?
  • 22. Signature
    • Le chiffrement asymétrique étant beaucoup plus lent que le chiffrement symétrique : on signe l’empreinte !
  • 23. Certificat
  • 24. Quelle longueur choisir ?
    • 1024 bits ?
    • 2048 bits ?
    • … 4096 en asymétrique ?
  • 25. Attaques clé asymétrique - RSA
    • Prédiction : Avant 2012, RSA 1024 bits sera factorisée.
  • 26. Taille de clefs http://www.ssi.gouv.fr/site_documents/politiqueproduit/Mecanismes_cryptographiques_v1_10_standard.pdf DCSSI (cf. p22) La taille des modules RSA est un sujet souvent très polémique. L’usage courant fait que l’utilisation de modules de 1024 bits est en général considéré comme suffisant pour garantir une sécurité pratique, même si les analyses effectuées par les plus grands spécialistes du domaine s’accordent sur l’idée que de tels modules n’apportent pas une sécurité suffisante , ou tout du moins comparable à celle que l’on exige des autres mécanismes cryptographiques. … Par conséquent, nous considérons que l’emploi de modules de 1024 bits constitue une prise de risque incompatible avec les critères du niveau de robustesse cryptographique standard.
  • 27.  
  • 28. La PKI, à quoi ça sert ?
    • Règle le problème de l’authenticité de la clef publique.
    • Relie des clef publiques à un nom.
    • Relie des clefs publiques à des usages.
  • 29. Rôle de la PKI
  • 30. L’objet principal : le certificat X509v3 Signature numérique Extensions optionnelles ID unique de l’objet ID unique de l’émetteur Information sur la clé publique de l’objet Objet Période de validité Émetteur Signature (info) Numéro de série Numéro de version Clé publique de l’autorité Identificateur de la clé publique de l’objet Utilisations possibles de la clé. ( Key Usage et Ext. Key ) Liste de distribution des CRL ( CRL Distribution Point ) …
  • 31. Composantes d’une PKI
    • Autorité de certification
      • Délivre et révoque les certificats
    • Autorité d’enregistrement
      • Service d’enregistrement
      • Entité d’extrémité
      • Porteur et utilisateur de certificats
    • Service de séquestre et recouvrement
    • Services de publication des certificats et des CRL
    • Référentiel de certificats (annuaire)
  • 32. Cycle de vie du certificat
    • Création
    • Révocation
      • Suspension
      • Circuit départ
    • Expiration
    • Renouvellement
  • 33. Révocation
    • Aucun système de révocation ne fonctionne hors-ligne.
    • Le service de révocation est l’élément critique de la PKI.
    • CRL ou OCSP
  • 34.  
  • 35. Étapes clefs
  • 36. Workshop
    • Une journée de présentation
    • Vocabulaire : « être sur de parler le même langage »
  • 37. Étapes clefs
  • 38. Architecture logique
    • Les porteurs de certificats
    • Certification Practice Statement (CPS) information
      • Choix et réservation de l’OID
    • Stockage des clefs privées
      • Choix du CSP des autorités de certification
      • Choix du CSP pour les porteurs de certificat.
    • Définition du modèle hiérarchique des autorités de certifications
    • Emplacement géographique
  • 39. Les porteurs de certificat
  • 40. Certification Practice Statement (CPS)
    • Adopter une PC
      • Rédiger une PC spécifique
      • Se faire assister d’un cabinet de conseil sur les aspects juridiques
    • L’identifier avec un OID
      • Enregistrement AFNOR
      • La CPS est une stratégie de certificat et, du fait de son unicité, elle requiert un OID (Object Identifier) unique
    • Mettre au point une page HTML « DPC »
      • Document succinct à destination des utilisateurs des certificat
      • Se faire assister d’un cabinet de conseil sur les aspects juridiques
    • Référencer l’OID de la PC et la DPC dans l’extension certificatePolicies
    • Note : Une CPS appliqué au niveau d’une autorité de certification est valable sur l’AC ainsi que sur les AC subordonnées dans la hiérarchie.
  • 41. Stockage de la clef privée
    • Carte à puce ?
    • Token USB ?
    • Boitier HSM ?
    • Sur disque ?
  • 42. Révocation des certificats
    • Publication de la CRL via HTTP
      • Prévoir un (des) seveur(s) Web à haute disponibilité
    • Publication de la CRL de base via LDAP (AD)
      • Incompatible avec une utilisation externe
    • Ordre des URLs de la CDP est important
    • Utiliser les chemins et conventions de nommage qui ne révèlent pas la structure interne du réseau
  • 43. Intervalle de publication CRL
  • 44. Mécanismes de Publication CRL pour le Root CA
  • 45. Modèle hiérarchique AC racine Hors ligne autonome 4096 bits 20 ans AC émettrice INTRANET Membre du domaine 2048 bits 5 ans AC émettrice EXTRANET Membre du domaine 2048 bits 5 ans AC émettrice TECHNIQUE Membre du domaine 2048 bits 5 ans
  • 46. Emplacement géographique
  • 47. Étapes clefs
  • 48. Intégration Active Directory
    • Version du schéma
    • « CN=Public Key Services »
      • CN=AIA
      • CN=CDP 
      • CN=Certificate Templates 
      • CN=Certification Authorities 
      • CN=Enrollment Services 
      • CN=KRA
      • CN=OID
    • Délégation des droits sur les conteneurs.
    • Stratégies de groupe - GPO
  • 49. Demande ouverture flux réseau Nom de la règle Nom du flux Protocole Port Local Port Distant Remote Address DNS (TCP-OUT) Active Directory - Core Networking TCP Any 53 Domain Controllers DNS (UDP-OUT) Active Directory - Core Networking UDP Any 53 Domain Controllers Kerberos (TCP-OUT) Active Directory - Core Networking TCP Any 88 Domain Controllers Kerberos (UDP-OUT) Active Directory - Core Networking UDP Any 88 Domain Controllers NTP Active Directory - Core Networking UDP Any 123 Domain Controllers RPC-EndPointMapper-Out Active Directory - Core Networking TCP Any 135 Domain Controllers NB-Name-Out Active Directory - Core Networking UDP Any 137 Domain Controllers NB-Datagram-Out Active Directory - Core Networking UDP Any 138 Domain Controllers NB-Session-Out Active Directory - Core Networking TCP Any 139 Domain Controllers LDAP Active Directory - Core Networking TCP Any 389 Domain Controllers LDAP Discovery (LDAP Ping) Active Directory - Core Networking UDP Any 389 Domain Controllers SMB-Out Active Directory - Core Networking TCP Any 445 Domain Controllers Group Policy (NP-OUT) Active Directory - Core Networking TCP Any 445 Domain Controllers Kerberos Password Change Active Directory - Core Networking TCP Any 464 Domain Controllers LDAP / SSL Active Directory - Core Networking TCP Any 636 Domain Controllers Global Catalog Active Directory - Core Networking TCP Any 3268 Domain Controllers Global Catalog / SSL Active Directory - Core Networking TCP Any 3269 Domain Controllers RPC (DCOM-OUT) Active Directory - Core Networking TCP Any 1024 - 65535 Domain Controllers NB-Name-Out Web Servers - Publishing CRL UDP Any 137 Poste Administration NB-Datagram-Out Web Servers - Publishing CRL UDP Any 138 Poste Administration NB-Session-Out Web Servers - Publishing CRL TCP Any 139 Poste Administration SMB-Out Web Servers - Publishing CRL TCP Any 445 Poste Administration MOM-TCP-OUT MOM - Monitoring TCP Any 1270 MOM2005 MOM-UDP-OUT MOM - Monitoring UDP Any 1270 MOM2005 Echo Request - ICMPv4-out Ping - ICMP ICMPV4 N/A N/A Any
  • 50. Cérémonie des clefs
    • Installation de la PKI en présence de témoins.
    • Ancre la confiance.
  • 51. Étapes clefs
  • 52. Administration
    • Supervision
    • Sauvegarde
    • Gestion des patches
    • Matrice des rôles/ Rôles d’administration
  • 53. Matrice des rôles
  • 54.  
  • 55.  
  • 56. Bibliographie
    • Jacques STERN, La Science du secret
    • Niels FERGUSON, Bruce SCHNEIER Cryptographie en pratique
  • 57. Windows Server 2008 / PKI and Certificate <PUBLICITE> </PUBLICITE>