Ce retour d’expérience sera l’occasion d’aborder de façon pragmatique les aspects suivants :
- La PKI : un service de commodité.
- Notions de Base.
- Identification des pré-requis (sujet, usage, séquestre, carte à puce, vitesse de révocation, publication, CPS…)
- Conception de la hiérarchie des autorités de certification (Hiérarchie, taille et durée de validité des clefs, HSM, matrice des rôles…)
- Stratégie de révocation (CRL, CDP, OCSP…)
- Stratégie d’enrôlement (automatique, autorité d’enregistrement…)
26. Taille de clefs http://www.ssi.gouv.fr/site_documents/politiqueproduit/Mecanismes_cryptographiques_v1_10_standard.pdf DCSSI (cf. p22) La taille des modules RSA est un sujet souvent très polémique. L’usage courant fait que l’utilisation de modules de 1024 bits est en général considéré comme suffisant pour garantir une sécurité pratique, même si les analyses effectuées par les plus grands spécialistes du domaine s’accordent sur l’idée que de tels modules n’apportent pas une sécurité suffisante , ou tout du moins comparable à celle que l’on exige des autres mécanismes cryptographiques. … Par conséquent, nous considérons que l’emploi de modules de 1024 bits constitue une prise de risque incompatible avec les critères du niveau de robustesse cryptographique standard.
30. L’objet principal : le certificat X509v3 Signature numérique Extensions optionnelles ID unique de l’objet ID unique de l’émetteur Information sur la clé publique de l’objet Objet Période de validité Émetteur Signature (info) Numéro de série Numéro de version Clé publique de l’autorité Identificateur de la clé publique de l’objet Utilisations possibles de la clé. ( Key Usage et Ext. Key ) Liste de distribution des CRL ( CRL Distribution Point ) …
45. Modèle hiérarchique AC racine Hors ligne autonome 4096 bits 20 ans AC émettrice INTRANET Membre du domaine 2048 bits 5 ans AC émettrice EXTRANET Membre du domaine 2048 bits 5 ans AC émettrice TECHNIQUE Membre du domaine 2048 bits 5 ans
49. Demande ouverture flux réseau Nom de la règle Nom du flux Protocole Port Local Port Distant Remote Address DNS (TCP-OUT) Active Directory - Core Networking TCP Any 53 Domain Controllers DNS (UDP-OUT) Active Directory - Core Networking UDP Any 53 Domain Controllers Kerberos (TCP-OUT) Active Directory - Core Networking TCP Any 88 Domain Controllers Kerberos (UDP-OUT) Active Directory - Core Networking UDP Any 88 Domain Controllers NTP Active Directory - Core Networking UDP Any 123 Domain Controllers RPC-EndPointMapper-Out Active Directory - Core Networking TCP Any 135 Domain Controllers NB-Name-Out Active Directory - Core Networking UDP Any 137 Domain Controllers NB-Datagram-Out Active Directory - Core Networking UDP Any 138 Domain Controllers NB-Session-Out Active Directory - Core Networking TCP Any 139 Domain Controllers LDAP Active Directory - Core Networking TCP Any 389 Domain Controllers LDAP Discovery (LDAP Ping) Active Directory - Core Networking UDP Any 389 Domain Controllers SMB-Out Active Directory - Core Networking TCP Any 445 Domain Controllers Group Policy (NP-OUT) Active Directory - Core Networking TCP Any 445 Domain Controllers Kerberos Password Change Active Directory - Core Networking TCP Any 464 Domain Controllers LDAP / SSL Active Directory - Core Networking TCP Any 636 Domain Controllers Global Catalog Active Directory - Core Networking TCP Any 3268 Domain Controllers Global Catalog / SSL Active Directory - Core Networking TCP Any 3269 Domain Controllers RPC (DCOM-OUT) Active Directory - Core Networking TCP Any 1024 - 65535 Domain Controllers NB-Name-Out Web Servers - Publishing CRL UDP Any 137 Poste Administration NB-Datagram-Out Web Servers - Publishing CRL UDP Any 138 Poste Administration NB-Session-Out Web Servers - Publishing CRL TCP Any 139 Poste Administration SMB-Out Web Servers - Publishing CRL TCP Any 445 Poste Administration MOM-TCP-OUT MOM - Monitoring TCP Any 1270 MOM2005 MOM-UDP-OUT MOM - Monitoring UDP Any 1270 MOM2005 Echo Request - ICMPv4-out Ping - ICMP ICMPV4 N/A N/A Any