• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
LinSign : la signature électronique en Open Source
 

LinSign : la signature électronique en Open Source

on

  • 2,497 views

Présentation donnée lors du salon Solutions Linux 2011.

Présentation donnée lors du salon Solutions Linux 2011.

Animée par David CARELLA, Expert Sécurité PKI

Statistics

Views

Total Views
2,497
Views on SlideShare
2,431
Embed Views
66

Actions

Likes
1
Downloads
36
Comments
0

2 Embeds 66

http://www.linagora.com 48
http://linagora.com 18

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source Presentation Transcript

    • LinSign : la signature électronique en open source David CARELLA Expert Sécurité PKI dcarella@linagora.com WWW.LINAGORA.COM
    • L’offre Sécurité 2
    • Composition de l’offre Sécurité (1/3)Offre LinPKIL’offre LinPKI – composée des offres EJBCA et LinRA – constitue l’offre de sécuritéde Linagora. Par sa modularité et sa complétude, elle répond à la plupart desbesoins en matière de confiance numérique en termes d’infrastructure de sécuritéSI.Produit LinSignLinSign – application de signature électronique de documents – se décline en3 éditions : LinSign Standalone, LinSign Portal, LinSign API.LinSign est en cours de certification CSPN auprès de l’ANSSI.Produit entièrement conçu et développé par LINGORA.Produit LinShareLinShare est une application de partage de fichiers sécurisé, qui comporteégalement un coffre-fort électronique.LinShare se distingue par sa simplicité d’utilisation et son extensibilité avec lesplugins suivants : module de signature LinSign, plugin « Send & Share » pourThunderbird et Outlook.Produit entièrement conçu et développé par LINGORA. 3
    • Composition de l’offre Sécurité (2/3)EJBCA – Infrastructure de gestion de clés (PKI)EJBCA est une infrastructure de gestion de clés (en anglais, PKI : Public KeyInfrastructure) complète, interopérable et intégrable avec tout SI.EJBCA permet de gérer des autorités de certification (AC) via les principaux HSM(Hardware Security Modules) du marché.EJBCA peut également être combinée avec un système de gestion de cartes à puce –CMS : Card Management System –, pour constituer la solution idéale de productiond’identités électroniques.LinRA – Autorité d’enregistrementLinRA fournit une autorité d’enregistrement web (en anglais, RA : RegistrationAuthority) évoluée et simple d’utilisation qui rendra vos utilisateurs autonomes pour lagestion de leurs certificats numériques : génération, retrait, révocation,recouvrement, etc. 4
    • Composition de l’offre Sécurité (3/3)LinSecure – Coffre-fort électronique pour le jeu en ligneLinSecure est un coffre-fort électronique pour les applications de jeu en ligne. Cetteapplication est conçue et réalisée par Linagora.LinSecure – conforme ARJEL (Autorité de régulation du jeu en ligne) – est cours decertification CSPN (Certification de sécurité de premier niveau) auprès de l’ANSSI(Agence nationale de sécurité des systèmes d’information).SignServer – Notarisation électroniqueSignServer est une application serveur de notarisation électronique qui permet designer et horodater des documents électroniques.SignServer est le complément idéal à LinSign pour fournir une solutiond’administration de la preuve électronique. 5
    • LinPKI : Exemple de fonctionnalité Cinématique d’une signature client et serveur, avec horodatage LinPKI LinPKI LinPKI LinPKI Archivage Signature Validation Signature Horodatage des documentsUn Utilisateur L’utilisateur signe Le service de Le serveur de Horodatage desdépose un le document avec validation vérifie le signature ajoute des signaturesdocument son certificat via le certificat numérique éléments de signature :électronique composant de du client qui a signé le éléments de validation, signature de document horodatage, contre ou LinSign co-signature. 6 6
    • Signature électronique de documents 7
    • LinSign : Présentation (1/2)L’application LinSign fournit un service de signature électronique dedocuments depuis le poste client.LinSign est conçu dans un esprit de généricité et de modularité vis-à-vis desapplications. Elle peut être mise en œuvre de plusieurs façons regroupées en troiséditions.LinSign Standalone – Édition client autonomeLinSign est utilisée comme un produit prêt à être utilisé sur le poste client. C’est unesorte de « boîte noire » existante sous plusieurs packagings, permettant plusieursmodes de déploiement :① Installationhors connexion② Déploiementpar Java Web Start③ Exécution commeapplet, via un portail 8
    • LinSign : Présentation (2/2)LinSign Portal – Édition portailLinSign est utilisée dans son portail web en mode distant et connecté, avec lesnavigateurs standards du marché.LinSign API – Édition librairie à intégrerLa librairie LinSign API peut être intégrée dans toutesapplications basées sur les frameworks web Tapestry, JSF,Seam et JSP.Ainsi, un projet applicatif métier peut s’approprier LinSign enl’intégrant, voire en l’adaptant à ses propres besoins dans lecadre du développement d’une l’application (e.g. LinShare). 9
    • LinSign : Certification de sécuritéLinSign est réalisée selon sa cible de sécurité conformément au profil de protection« Application de création de signature électronique » des Critères Communs.Certification CSPN (Certification de Sécurité de Premier Niveau)Dans un premier temps, LinSign sera évaluée et certifiée dans le cadre de laCSPN (reconnue au niveau national, en France).Cette certification est en cours (2011).Contraintes sur SHA-256 et édition client autonome (Standalone).Certification Critères Communs (futur)Dans un second temps, LinSign sera évaluée et certifié dans le cadre desCritères Communs, au niveau EAL3+ (reconnus au niveau international).Ces critères ont été pris en compte dès le début de la réalisation de LinSign.En revanche, cette certification elle-même fera l’objet d’un projet futur. 10
    • LinSign : Licence libreLa licence libre de l’application LinSignLINAGORA a opté pour la licence AGPL v3 : GNU Affero General Public License, version 3Caractéristiques de la licence AGPL v3 :● Elle est dérivée de la Licence publique générale GNU GPL,● Elle couvre les interactions avec des produits propriétaires à travers un réseau comme Internet,● La version 3 est compatible avec la version 3 de la GPL. 11
    • LinSign : Caractéristiques fonctionnellesLinSign est configurable via un système de gestion de politiques de signaturequi lui permet de :– s’adapter à de nombreux formats de documents à signer et de signature,– supporter de nombreux divers types de magasins de certificats,– garantir l’invariance de la sémantique des documents à signer.Gestion des politiques de signature :– type de certificat X.509v3 (qualifié ou pas, usage de la clé, etc.) ;– chaîne de certification : liste des AC acceptées ;– politique de signature acceptée (identifiant OID) ;– formats des éléments à signer (PDF, ODF Text, etc.) ;– formats de la signature (PDF, XAdES, etc.) ;– types de token (carte à puce, navigateurs web, etc.) ;– types de signature (co-signature et contre-signature) [futur] ;– paramètres techniques (algorithmes de signature et des condensés, etc.).Invariance de la sémantique des documents :– support du format PDF/A (ISO 19005), contrôle de l’invariance, etc. 12
    • LinSign : Caractéristiques techniques (1/3) 13
    • LinSign : Caractéristiques techniques (2/3)LinSign s’adapte à l’hétérogénéité des contextes applicatifs et desenvironnements clients : ● Windows, Macintosh, GNU/Linux, Unix ; ● Navigateurs web : Firefox, Internet Explorer, Safari ; ● Java JEE (serveurs de servlets).Utilisation de certificats X.509 v3 : ● Validation du certificat : ● AC de confiance, date de validité, usage de clé, etc.Formats des documents à signer : ● PDF et PDF/A, ● OpenDocument Format Text, ● Texte pur, ● HTML, ● XML, ● Courriel. 14
    • LinSign : Caractéristiques techniques (3/3)Utilisation de différents formats de signature : PDF/A, ODF Text, XAdES 1.3.2, XML-DSig, CMS/PKCS #7, S/MIME ; Roadmap 2011 : PAdES, CAdES, S/MIME.Utilise différents supports pour la signature : Les cartes à puce IAS ECC : Gemalto, Oberthur, Sagem ; Les tokens USB cryptographiques : Aladdin ; Les magasins des navigateurs web : Mozilla NSS (Firefox), Microsoft CryptoAPI (Internet Explorer), Mac OS Keychain (Safari) ; Fichiers PKCS #12 ; Fichiers Java KeyStore (JKS).Algorithmes cryptographiques supportés : Algorithme asymétrique : RSA (PKCS #1), clés : 1024 et 2048 bits ; Fonctions de hachage : SHA-1, SHA-256. 15
    • LinSign : Signature standard XAdESSignature XML-DSig détachée <signature> <reference> a.pdf <reference> </signature> zipSignature au format XAdES ETSI TS 101 903 v1.3.2 (2006-03) Signature XAdES Propriétés XAdES signées : Signature XML-DSig (SigningTime) (SigningCertificate) Signed Signa- Key Signed Unsigned (SignaturePolicyIdentifier) Info ture Info properties properties (SignatureProductionPlace)? (SignerRole)? 16
    • LinSign : Environnement système et matérielMachine virtuelle Java JRE/JDK 6 Par défaut, Java JRE/JDK 6 ne supporte pas la signature XML SHA-256 avec Microsoft Windows. Le JDK [SunMSCapi] n’implémente pas : – la signature au format brut ; – la signature pour le SHA-256. Sous GNU/Linux, le framework swing ne gère que l’environnement de bureau Gnome. → Pour compenser ces manques, des palliatifs ont été implémentés.Interface standard PKCS #11 Entièrement configurable : par exemple avec la carte cryptographique Oberthur ID-One IAS ECC (compatible avec la carte du citoyen européen et les standards de signature électronique. Cette carte est certifiée Critères Communs EAL4+ pour la signature électronique).Navigateur web Firefox Accès au magasin sur tous les systèmes d’exploitation (Windows, GNU/Linux, Mac OS, etc.) via la librairie Mozilla NSS. 17
    • Cinématique d’une signature électronique 18 18
    • LinSign : Cinématique d’une signature électroniqueSept étapes pour signer des documents :① Acception des mentions légales ;② Choix de la politiques de signature ;③ Sélection des fichiers à signer ;④ Sélection du magasin de certificats ;⑤ Sélection d’une clé de signature ;⑥ Consentement à signer (« Lu et approuvé »), puis signature ;⑦ Liste des fichiers signés. 19
    • LinSign : Étape 0 – Splash screen Affichage du splash screen 20
    • LinSign : Étape 1 – Mentions légales① Acception des mentions légales 21
    • LinSign : Étape 2 – Politiques de signature② Choix de la politiques de signature 22
    • LinSign : Étape 3 – Fichiers à signer③ Sélection des fichiers à signer 23
    • LinSign : Étape 4 – Magasin de certificats④ Sélection du magasin de certificats 24
    • LinSign : Étape 5 – Clé de signature⑤ Sélection d’une clé de signature 25
    • LinSign : Étape 6 – Signature⑥ Consentement à signer (« Lu et approuvé »), puis signature 26
    • LinSign : Étape 7 – Les fichiers signés⑦ Liste des fichiers signés 27
    • LinSign : Outils de vérification● Outil de vérification de signature XAdES ● Cet outil fait partie de l’offre LinSign ; ● Permet de faire une vérification technique d’une signature électronique au format XAdES ; 28
    • Merci de votre attention Contact : LINAGORA – Siège social 80, rue Roque de Fillol 92800 PUTEAUX FRANCE Tél. : 0 810 251 251 (tarif local) Fax : +33 (0)1 46 96 63 64 Courriel : info@linagora.com Web : www.linagora.com WWW.LINAGORA.COM