LinSign : la signature électronique          en open source           David CARELLA         Expert Sécurité PKI        dca...
L’offre Sécurité                   2
Composition de l’offre Sécurité (1/3)Offre LinPKIL’offre LinPKI – composée des offres EJBCA et LinRA – constitue l’offre d...
Composition de l’offre Sécurité (2/3)EJBCA – Infrastructure de gestion de clés (PKI)EJBCA est une infrastructure de gestio...
Composition de l’offre Sécurité (3/3)LinSecure – Coffre-fort électronique pour le jeu en ligneLinSecure est un coffre-fort...
LinPKI : Exemple de fonctionnalité    Cinématique d’une signature client et serveur, avec horodatage                     L...
Signature électronique de documents                7
LinSign : Présentation (1/2)L’application LinSign fournit un service de signature électronique dedocuments depuis le poste...
LinSign : Présentation (2/2)LinSign Portal – Édition portailLinSign est utilisée dans son portail web en mode distant et c...
LinSign : Certification de sécuritéLinSign est réalisée selon sa cible de sécurité conformément au profil de protection« A...
LinSign : Licence libreLa licence libre de l’application LinSignLINAGORA a opté pour la licence AGPL v3 :           GNU Af...
LinSign : Caractéristiques fonctionnellesLinSign est configurable via un système de gestion de politiques de signaturequi ...
LinSign : Caractéristiques techniques (1/3)                               13
LinSign : Caractéristiques techniques (2/3)LinSign s’adapte à l’hétérogénéité des contextes applicatifs et desenvironnemen...
LinSign : Caractéristiques techniques (3/3)Utilisation de différents formats de signature : PDF/A, ODF Text, XAdES 1.3.2, ...
LinSign : Signature standard XAdESSignature XML-DSig détachée                                                <signature>  ...
LinSign : Environnement système et matérielMachine virtuelle Java JRE/JDK 6 Par défaut, Java JRE/JDK 6 ne supporte pas la ...
Cinématique d’une signature électronique                  18                       18
LinSign : Cinématique d’une signature électroniqueSept étapes pour signer des documents :①   Acception des mentions légale...
LinSign : Étape 0 – Splash screen   Affichage du splash screen                                20
LinSign : Étape 1 – Mentions légales①   Acception des mentions légales                                     21
LinSign : Étape 2 – Politiques de signature②   Choix de la politiques de signature                                     22
LinSign : Étape 3 – Fichiers à signer③   Sélection des fichiers à signer                                      23
LinSign : Étape 4 – Magasin de certificats④   Sélection du magasin de certificats                                     24
LinSign : Étape 5 – Clé de signature⑤   Sélection d’une clé de signature                                       25
LinSign : Étape 6 – Signature⑥   Consentement à signer (« Lu et approuvé »), puis signature                               ...
LinSign : Étape 7 – Les fichiers signés⑦   Liste des fichiers signés                                27
LinSign : Outils de vérification● Outil de vérification de signature XAdES    ● Cet outil fait partie de l’offre LinSign ;...
Merci de votre attention                                              Contact :                                LINAGORA – ...
Upcoming SlideShare
Loading in...5
×

LinSign : la signature électronique en Open Source

2,765

Published on

Présentation donnée lors du salon Solutions Linux 2011.

Animée par David CARELLA, Expert Sécurité PKI

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,765
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
71
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

LinSign : la signature électronique en Open Source

  1. 1. LinSign : la signature électronique en open source David CARELLA Expert Sécurité PKI dcarella@linagora.com WWW.LINAGORA.COM
  2. 2. L’offre Sécurité 2
  3. 3. Composition de l’offre Sécurité (1/3)Offre LinPKIL’offre LinPKI – composée des offres EJBCA et LinRA – constitue l’offre de sécuritéde Linagora. Par sa modularité et sa complétude, elle répond à la plupart desbesoins en matière de confiance numérique en termes d’infrastructure de sécuritéSI.Produit LinSignLinSign – application de signature électronique de documents – se décline en3 éditions : LinSign Standalone, LinSign Portal, LinSign API.LinSign est en cours de certification CSPN auprès de l’ANSSI.Produit entièrement conçu et développé par LINGORA.Produit LinShareLinShare est une application de partage de fichiers sécurisé, qui comporteégalement un coffre-fort électronique.LinShare se distingue par sa simplicité d’utilisation et son extensibilité avec lesplugins suivants : module de signature LinSign, plugin « Send & Share » pourThunderbird et Outlook.Produit entièrement conçu et développé par LINGORA. 3
  4. 4. Composition de l’offre Sécurité (2/3)EJBCA – Infrastructure de gestion de clés (PKI)EJBCA est une infrastructure de gestion de clés (en anglais, PKI : Public KeyInfrastructure) complète, interopérable et intégrable avec tout SI.EJBCA permet de gérer des autorités de certification (AC) via les principaux HSM(Hardware Security Modules) du marché.EJBCA peut également être combinée avec un système de gestion de cartes à puce –CMS : Card Management System –, pour constituer la solution idéale de productiond’identités électroniques.LinRA – Autorité d’enregistrementLinRA fournit une autorité d’enregistrement web (en anglais, RA : RegistrationAuthority) évoluée et simple d’utilisation qui rendra vos utilisateurs autonomes pour lagestion de leurs certificats numériques : génération, retrait, révocation,recouvrement, etc. 4
  5. 5. Composition de l’offre Sécurité (3/3)LinSecure – Coffre-fort électronique pour le jeu en ligneLinSecure est un coffre-fort électronique pour les applications de jeu en ligne. Cetteapplication est conçue et réalisée par Linagora.LinSecure – conforme ARJEL (Autorité de régulation du jeu en ligne) – est cours decertification CSPN (Certification de sécurité de premier niveau) auprès de l’ANSSI(Agence nationale de sécurité des systèmes d’information).SignServer – Notarisation électroniqueSignServer est une application serveur de notarisation électronique qui permet designer et horodater des documents électroniques.SignServer est le complément idéal à LinSign pour fournir une solutiond’administration de la preuve électronique. 5
  6. 6. LinPKI : Exemple de fonctionnalité Cinématique d’une signature client et serveur, avec horodatage LinPKI LinPKI LinPKI LinPKI Archivage Signature Validation Signature Horodatage des documentsUn Utilisateur L’utilisateur signe Le service de Le serveur de Horodatage desdépose un le document avec validation vérifie le signature ajoute des signaturesdocument son certificat via le certificat numérique éléments de signature :électronique composant de du client qui a signé le éléments de validation, signature de document horodatage, contre ou LinSign co-signature. 6 6
  7. 7. Signature électronique de documents 7
  8. 8. LinSign : Présentation (1/2)L’application LinSign fournit un service de signature électronique dedocuments depuis le poste client.LinSign est conçu dans un esprit de généricité et de modularité vis-à-vis desapplications. Elle peut être mise en œuvre de plusieurs façons regroupées en troiséditions.LinSign Standalone – Édition client autonomeLinSign est utilisée comme un produit prêt à être utilisé sur le poste client. C’est unesorte de « boîte noire » existante sous plusieurs packagings, permettant plusieursmodes de déploiement :① Installationhors connexion② Déploiementpar Java Web Start③ Exécution commeapplet, via un portail 8
  9. 9. LinSign : Présentation (2/2)LinSign Portal – Édition portailLinSign est utilisée dans son portail web en mode distant et connecté, avec lesnavigateurs standards du marché.LinSign API – Édition librairie à intégrerLa librairie LinSign API peut être intégrée dans toutesapplications basées sur les frameworks web Tapestry, JSF,Seam et JSP.Ainsi, un projet applicatif métier peut s’approprier LinSign enl’intégrant, voire en l’adaptant à ses propres besoins dans lecadre du développement d’une l’application (e.g. LinShare). 9
  10. 10. LinSign : Certification de sécuritéLinSign est réalisée selon sa cible de sécurité conformément au profil de protection« Application de création de signature électronique » des Critères Communs.Certification CSPN (Certification de Sécurité de Premier Niveau)Dans un premier temps, LinSign sera évaluée et certifiée dans le cadre de laCSPN (reconnue au niveau national, en France).Cette certification est en cours (2011).Contraintes sur SHA-256 et édition client autonome (Standalone).Certification Critères Communs (futur)Dans un second temps, LinSign sera évaluée et certifié dans le cadre desCritères Communs, au niveau EAL3+ (reconnus au niveau international).Ces critères ont été pris en compte dès le début de la réalisation de LinSign.En revanche, cette certification elle-même fera l’objet d’un projet futur. 10
  11. 11. LinSign : Licence libreLa licence libre de l’application LinSignLINAGORA a opté pour la licence AGPL v3 : GNU Affero General Public License, version 3Caractéristiques de la licence AGPL v3 :● Elle est dérivée de la Licence publique générale GNU GPL,● Elle couvre les interactions avec des produits propriétaires à travers un réseau comme Internet,● La version 3 est compatible avec la version 3 de la GPL. 11
  12. 12. LinSign : Caractéristiques fonctionnellesLinSign est configurable via un système de gestion de politiques de signaturequi lui permet de :– s’adapter à de nombreux formats de documents à signer et de signature,– supporter de nombreux divers types de magasins de certificats,– garantir l’invariance de la sémantique des documents à signer.Gestion des politiques de signature :– type de certificat X.509v3 (qualifié ou pas, usage de la clé, etc.) ;– chaîne de certification : liste des AC acceptées ;– politique de signature acceptée (identifiant OID) ;– formats des éléments à signer (PDF, ODF Text, etc.) ;– formats de la signature (PDF, XAdES, etc.) ;– types de token (carte à puce, navigateurs web, etc.) ;– types de signature (co-signature et contre-signature) [futur] ;– paramètres techniques (algorithmes de signature et des condensés, etc.).Invariance de la sémantique des documents :– support du format PDF/A (ISO 19005), contrôle de l’invariance, etc. 12
  13. 13. LinSign : Caractéristiques techniques (1/3) 13
  14. 14. LinSign : Caractéristiques techniques (2/3)LinSign s’adapte à l’hétérogénéité des contextes applicatifs et desenvironnements clients : ● Windows, Macintosh, GNU/Linux, Unix ; ● Navigateurs web : Firefox, Internet Explorer, Safari ; ● Java JEE (serveurs de servlets).Utilisation de certificats X.509 v3 : ● Validation du certificat : ● AC de confiance, date de validité, usage de clé, etc.Formats des documents à signer : ● PDF et PDF/A, ● OpenDocument Format Text, ● Texte pur, ● HTML, ● XML, ● Courriel. 14
  15. 15. LinSign : Caractéristiques techniques (3/3)Utilisation de différents formats de signature : PDF/A, ODF Text, XAdES 1.3.2, XML-DSig, CMS/PKCS #7, S/MIME ; Roadmap 2011 : PAdES, CAdES, S/MIME.Utilise différents supports pour la signature : Les cartes à puce IAS ECC : Gemalto, Oberthur, Sagem ; Les tokens USB cryptographiques : Aladdin ; Les magasins des navigateurs web : Mozilla NSS (Firefox), Microsoft CryptoAPI (Internet Explorer), Mac OS Keychain (Safari) ; Fichiers PKCS #12 ; Fichiers Java KeyStore (JKS).Algorithmes cryptographiques supportés : Algorithme asymétrique : RSA (PKCS #1), clés : 1024 et 2048 bits ; Fonctions de hachage : SHA-1, SHA-256. 15
  16. 16. LinSign : Signature standard XAdESSignature XML-DSig détachée <signature> <reference> a.pdf <reference> </signature> zipSignature au format XAdES ETSI TS 101 903 v1.3.2 (2006-03) Signature XAdES Propriétés XAdES signées : Signature XML-DSig (SigningTime) (SigningCertificate) Signed Signa- Key Signed Unsigned (SignaturePolicyIdentifier) Info ture Info properties properties (SignatureProductionPlace)? (SignerRole)? 16
  17. 17. LinSign : Environnement système et matérielMachine virtuelle Java JRE/JDK 6 Par défaut, Java JRE/JDK 6 ne supporte pas la signature XML SHA-256 avec Microsoft Windows. Le JDK [SunMSCapi] n’implémente pas : – la signature au format brut ; – la signature pour le SHA-256. Sous GNU/Linux, le framework swing ne gère que l’environnement de bureau Gnome. → Pour compenser ces manques, des palliatifs ont été implémentés.Interface standard PKCS #11 Entièrement configurable : par exemple avec la carte cryptographique Oberthur ID-One IAS ECC (compatible avec la carte du citoyen européen et les standards de signature électronique. Cette carte est certifiée Critères Communs EAL4+ pour la signature électronique).Navigateur web Firefox Accès au magasin sur tous les systèmes d’exploitation (Windows, GNU/Linux, Mac OS, etc.) via la librairie Mozilla NSS. 17
  18. 18. Cinématique d’une signature électronique 18 18
  19. 19. LinSign : Cinématique d’une signature électroniqueSept étapes pour signer des documents :① Acception des mentions légales ;② Choix de la politiques de signature ;③ Sélection des fichiers à signer ;④ Sélection du magasin de certificats ;⑤ Sélection d’une clé de signature ;⑥ Consentement à signer (« Lu et approuvé »), puis signature ;⑦ Liste des fichiers signés. 19
  20. 20. LinSign : Étape 0 – Splash screen Affichage du splash screen 20
  21. 21. LinSign : Étape 1 – Mentions légales① Acception des mentions légales 21
  22. 22. LinSign : Étape 2 – Politiques de signature② Choix de la politiques de signature 22
  23. 23. LinSign : Étape 3 – Fichiers à signer③ Sélection des fichiers à signer 23
  24. 24. LinSign : Étape 4 – Magasin de certificats④ Sélection du magasin de certificats 24
  25. 25. LinSign : Étape 5 – Clé de signature⑤ Sélection d’une clé de signature 25
  26. 26. LinSign : Étape 6 – Signature⑥ Consentement à signer (« Lu et approuvé »), puis signature 26
  27. 27. LinSign : Étape 7 – Les fichiers signés⑦ Liste des fichiers signés 27
  28. 28. LinSign : Outils de vérification● Outil de vérification de signature XAdES ● Cet outil fait partie de l’offre LinSign ; ● Permet de faire une vérification technique d’une signature électronique au format XAdES ; 28
  29. 29. Merci de votre attention Contact : LINAGORA – Siège social 80, rue Roque de Fillol 92800 PUTEAUX FRANCE Tél. : 0 810 251 251 (tarif local) Fax : +33 (0)1 46 96 63 64 Courriel : info@linagora.com Web : www.linagora.com WWW.LINAGORA.COM
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×