Séminaire Linagora sécurite et identité en Open Source, novembre 2009
Upcoming SlideShare
Loading in...5
×
 

Séminaire Linagora sécurite et identité en Open Source, novembre 2009

on

  • 2,449 views

Présentations données lors du séminaire de Linagora du mois de novembre, intitulé : " Outils de sécurité et identité en Open Source ! ça marche !"....

Présentations données lors du séminaire de Linagora du mois de novembre, intitulé : " Outils de sécurité et identité en Open Source ! ça marche !".
Intervenants :
- Sebastien BAHLOUL, Responsable des offres Sécurité et Identité, Linagora
- Clément OUDOT, Architecte, LINAGORA
- Sébastien LEVESQUE, Architecte logiciel Java, LINAGORA

Statistics

Views

Total Views
2,449
Views on SlideShare
2,429
Embed Views
20

Actions

Likes
0
Downloads
46
Comments
0

1 Embed 20

http://www.slideshare.net 20

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Séminaire Linagora sécurite et identité en Open Source, novembre 2009 Séminaire Linagora sécurite et identité en Open Source, novembre 2009 Presentation Transcript

  • Matinée Pour Comprendre O u tils d e s é c u r ité e t d 'id e n tité e n O p e n S o u rc e !Ç a m a rc h e ! Identité et sécurité Open Source : une réalité Sébastien BAHLOUL Responsable offre Identité & Sécurité Groupe LINAGORA sbahloul@linagora.com
  • Agenda
  • LINAGORA Mission : Logiciels et service Open Source pour réussir les grands projets du libre Création : Mai 2000 Capital : Privé Effectif: 150 employés View slide
  • LINAGORA : nos métiers View slide
  • Notre positionnement F r e e m iu m F r e e -F r e e S e r v ic e s P r o p r ié ta ir e = 5 0 à 8 0 % L ib r e = 1 0 0 % L ib r e = + o u - L ib r e = 0 % L ib r e = P r o p r ié ta ir e • M o d è le c la s s iq u e . • F a v o r is e la d if f u s io n • B u s in e s s a s U s u a l ! • M o d è le d is r u p tif d e • O n p a y e a c h a q u e f o is M a s s iv e •D é m a rc h e s c o m m e r c ia lis a tio n e t d e • U tilis a te u r s p lu s q u 'o n v e u t u tilis e r la d is tr ib u tio n d e l'in n o v a tio n o p p o r t u n is te s s o lu tio n . • F a v o r is e la d if f u s io n d if f ic ile m e n t • O f f r e e n c o n s tr u c t io n • E v a p o r t a io n f is c a le • U tilis a te u r s f a c ile m e n t «  m o n é tis a b le s  » • E n je u x d e s r e s s o u r c e s • I n n o v a t io n à l'é t r a n g e r • L e s é d ite u r s F r e e -f r e e h u m a in e s «  m o n é tis a b le s  » : q u a n d • B a la n c e d e s e x p o r ta tio n s f o n t le p a r i d e v e n d r e a u • P e r m e t d 'in je c t e r u n e o n v e u t u n e s o lu tio n p o u r d if f ic it a ir e s m a r c h é «  s o lv a b le  » g r a n d e p a r t ie d e s f o n d s e n tr e p r is e o n p a y e , s in o n u n iq u e m e n t e t a c c e p te d a n s l'e m p lo i a u n iv e a u o n u tilis e la v e r s io n lib r e q u e le m a r c h é «  n o n lo c a l s o lv a b le  » • M o in s d e L o c k e d -In p o u r le s c lie n ts • P lu s g r a n d r e s p e c t d e la p h ilis o p h ie O p e n S o u r c e • M o d è le s d e s s o lu tio n s L ib r e s e u r o p é e n n e s : • D if f ic u lté d e f in a n c e m e n t d e c e s m o d è le s
  • www.LinID.org www.linagora.com
  • Notre offre Directory Sync Access Tracking Manager Manager Manager Manager OpenLDAP Federation Manager Manager
  • Applications Bases de Partenaire (web) l’entreprise authentifié Federation Manager Utilisateur Access Directory Sync Manager Manager Manager Administrateur Annuaire OpenLDAP Tracking Manager Manager
  • Ils nous font confiance ! L’offre produit LinID vous apporte le meilleur des fonctions d’une suite de gestion d’identité et l’interopérabilité d’une solution Open Source.
  • Nos briques d’infrastructure E n je u x A lim e n ta tio n , e x tr a c tio n e t s y n c h r o n is a tio n d e s r é fé r e n tie ls e x is ta n ts a v e c l’a n n u a ir e , r é fé r e n tie l p r in c ip a l d e s id e n tité s Sync Manager Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – L in S y n c
  • Nos briques d’infrastructure E n je u x W e b S S O c o n s t r u it s u r A p a c h e , p r o fita n t d e l’e n s e m b le d e la m o d u la r ité d e s m o d u le s d ’a u t h e n t if ic a tio n e t d e la s c a la b ilité d ’A p a c h e e n R e v e r s e P r o x y, in té g r a tio n n o n -in tr u s iv e d e s Access a p p lic a t io n s v ia e n tê te H T T P e t n o n A P I, Manager c o m p lé tio n a u to m a tiq u e d e fo r m u la ir e s , c o m b in a is o n d e s m é t h o d e s d ’a u th e n tific a tio n . Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – L in ID A c c e s s M a n a g e r
  • Nos services E n je u x P la te fo r m e p o u r le s u tilis a te u r s d e g e s tio n d u c o n te n u d ’a n n u a ir e , a v e c m o d u le s d e p u b lic a tio n , r e c h e r c h e s e t o r g a n ig r a m m e s Directory Manager Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – In te r L D A P
  • Nos services E n je u x P la te fo r m e d e g e s tio n d e c o n te n u e t d ’a d m in is tr a tio n d ’a n n u a ir e , in té g r a n t d e s m o d u le s d e d é lé g a tio n e t d e r e c h e r c h e OpenLDAP Manager Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – L in ID O p e n L D A P M a n a g e r
  • Nos services E n je u x O u v e r tu r e d e s a p p lic a tio n s in te r n e s a u x p a r te n a ir e s e x té r ie u r s p a r le s p r o to c o le s s ta n d a r d s d e fé d é r a tio n d ’id e n tité s (ID -F F, Federation ID -W S F, S A M L 2 ), fo u r n is s e u r d ’id e n tité s Manager e t d ’a ttr ib u ts e n W e b -S e r v ic e . Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s - F e d e r ID & L e m o n S A M L
  • www.LinPKI.org www.linagora.com
  • Coffre-fort Messagerie Transferts Authentificatio électronique sécurisée sécurisés n forte SignServer Signature et horodatage électronique Usine à certificats Autorité de (support physiques / logiciel) certification
  • La PKI (Public Key Infrastructure) Autorité de Clef publique Certificat certification Autorité d’enregistrement Clef privée Stockage du certificat Utilisateur
  • Ils nous font confiance ! De par le positionnement unique de son offre, la progression de sa part de marché et la solidité du Groupe LINAGORA, LinPKI a aujourd’hui les moyens de ses ambitions : s’imposer au niveau mondial !
  • Nos briques d’infrastructure E n je u x L e c œ u r d 'u n e in fr a s tr u c tu r e d e c o n fia n c e q u i m a n a g e l'in té g r a lité d e s id e n tité s n u m é r iq u e s . Autorité de certification Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – A u to r ité d e c e r tific a tio n : lin R A
  • Nos briques d’infrastructure E n je u x G è r e le c y c le d e v ie c o m p le t d e s c e r tific a ts d a n s le S I, c a p a b le d e g é n é r e r d e s c e r tific a ts s u r to u t ty p e d e s u p p o r t Usine à certificats Q u e lq u e s c o n c u r r e n ts Com C o m p o s a n ts te c h n o lo g iq u e s – U s in e à c e r tific a ts : E J B C A
  • Nos briques d’infrastructure E n je u x P e r m e t la s ig n a tu r e a u n o m d 'u n s e r v e u r o u d e to u te l'o r g a n is a tio n e t p r e n d e n c h a r g e le s fo n c tio n s d 'h o r o d a ta g e e n a p p o s a n t SignServer u n e h e u r e fia b le s u r le s d o n n é e s et horodatage Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – L in S ig n S e r v e r
  • Nos services E n je u x C o m b in é e à n o tr e o ffr e d e g e s tio n d e s id e n tité s (L in ID ), c e tte s o lu tio n p e r m e t la g e s tio n d 'u n a c c è s p a r fa ite m e n t s é c u r is é Authentification p o u r v o s s e r v ic e s c r itiq u e s o u v e r s forte l'e x té r ie u r. Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – G e s tio n d e s id e n tité s : L in ID
  • Nos services E n je u x R é p o n d r e à v o s b e s o in s p o u r g a r a n tir l'id e n tité e t la q u a lité d u s ig n a ta ir e a in s i q u e l'in a lté r a b ilité e t la c o n fid e n tia lité d u Messagerie m essage sécurisée Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – P K I: L in P K I – M e s s a g e r ie : O B M
  • Nos services E n je u x P e r m e t à u n u tilis a te u r d e s ig n e r to u s ty p e s d e données. N o tr e s o lu t io n e s t en cours de certification d e p r e m ie r n iv e a u p a r la Ag ence Nationale de la Signature S écurité des S ys tèmes d'Information, e t s e r a électronique a in s i la première vraie alternative c e r tifié e a u x s o lu tio n s p r o p r ié t a ir e s . de co u rs En i o nQ u e lq u e s c o n c u r r e n ts t i fi cat c er ! C o m p o s a n ts te c h n o lo g iq u e s – S ig n a tu r e : L in S ig n
  • Nos services E n je u x P e r m e t a u x u tilis a te u r s d 'o r g a n is e r, g é r e r e t a r c h iv e r le s d o c u m e n ts s e n s ib le s d e l'o r g a n is a tio n Coffre-fort électronique Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – P K I: L in P K i – S to c k a g e s é c u r is é : L in S h a r e
  • Nos services E n je u x U n e s o lu tio n s im p le e t c o m p lè te p o u r s é c u r is é le s é c h a n g e s a u s e in d e l'e n tr e p r is e a in s i q u 'a v e c l'e x té r ie u r. Transferts sécurisés Q u e lq u e s c o n c u r r e n ts C o m p o s a n ts te c h n o lo g iq u e s – P K I: L in P K I – P a r ta g e s d e fic h ie r s : L in S h a r e
  • Matinée Pour Comprendre « O u tils d e S é c u r ité e t d 'Id e n tité e n O p e n S o u rc e !Ç a m a rc h e » SSO et authentification forte Clément OUDOT Architecte Groupe LINAGORA coudot@linagora.com
  • Sommaire 28 ● Concepts et définition du WebSSO ● LinID Access Manager / LemonLDAP::NG ● Authentification forte appliquée au WebSSO
  • 29 Définition du WebSSO
  • Définition du WebSSO 30 ● SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique ». ● Le SSO regroupe plusieurs fonctionnalités : – Couple identifiant/mot de passe unique – Transmission transparente des informations de session aux applications – Gestion des profils applicatifs, c'est-à-dire qui accède à quoi
  • SSO par agent 31
  • SSO par délégation 32
  • SSO par mandataire inverse 33
  • Le protocole HTTP 34 G E T h ttp ://w w w .lin a g o r a .c o m H T T P /1 .1 A c c e p t: te x t/h tm l U s e r -A g e n t: M o z illa /5 .0 (X 1 1 ; U ; L in u x i6 8 6 ; f r ; r v :1 .7 .6 ) H T T P /1 .1 2 0 0 O K D a te : T h u , 1 3 M a r 2 0 0 8 1 5 :0 5 :2 9 G M T S e rv e r: A p a c h e C o n te n t-L e n g th : 2 6 4 C o n te n t-T y p e : te x t/h t m l; c h a r s e t= is o -8 8 5 9 -1 <?x m l v e r s io n = "1 .0 " e n c o d in g = "is o -8 8 5 9 -1 " ?> <!D O C T Y P E h tm l P U B L IC "-//W 3 C //D T D X H T M L 1 .0 T r a n s itio n a l//E N " "h ttp ://w w w .w 3 .o r g /T R /x h tm l1 /D T D /x h tm l1 -tr a n s itio n a l.d t d "> <h tm l x m ln s = "h ttp ://w w w .w 3 .o r g /1 9 9 9 /x h tm l" la n g = "f r " x m l:la n g = "f r " d ir = "ltr "> <h e a d > <title >L in a g o r a , in te g r a te u r d e r e f e r e n c e s u r le m a r c h e d e s lo g ic ie ls lib r e s </t it le > .... </h tm l>
  • 35 LinID Access Manager / LemonLDAP::NG
  • Positionnement LinID Access Manager 36
  • LinID Access Manager 37 Principe – Reverse proxy en rupture de flux – ou Agent local Support – Des fonctions de SSO sur n'importe quelle application HTTP – Sécurisation des flux Web Services inter-applicatifs – Méthode ou combinaison de méthodes d'authentification Intégration des applications – Intégration non-intrusive (entête HTTP) – Support de la complétion automatique de formulaires
  • Caractéristiques détaillées 38 ● SSO sur les applications Web (support du protocole HTTP) ● Disponibilité : – Linux (Debian, Ubuntu, Redhat, Fedora, ...) – Indépendant de l'architecture (x86 32/64, PPC, ...) ● Support du module d'authentification de tout système supportant Apache et notamment : – SSO avec l'authentification des postes intégrés dans un domaine NT/AD – LDAP, X509v3, Radius, Kerberos, CPS – Compatibilité avec d'autres solutions de SSO (CAS, SiteMinder via Apache) ● Compatibilité du module d'autorisation : – Annuaires LDAP – Bases SQL – Web Services ● Stockage des informations : backend fichier, LDAP
  • LinID Access Manager 39
  • LinID AM et LemonLDAP::NG 40 ● LemonLDAP::NG est un logiciel libre, disponible chez OW2 http://lemonldap.ow2.org ● La version ::NG a été écrite par Xavier Guimard, de la Gendarmerie Nationale ● LINAGORA est contributeur officiel de la solution et possède des développeurs actifs ● LINAGORA distribue LemonLDAP::NG sous le nom LinID Access Manager, sans ajout de modules propriétaires : tout est libre !
  • Principes 41 ● Le principe général est d'utiliser un annuaire LDAP pour : – authentifier l'utilisateur (vérification du mot de passe) – effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur) – approvisionner les applications (par transmissions des attributs LDAP dans les en-têtes HTTP) ● Les dernières versions permettent de s'affranchir totalement de l'annuaire si besoin (par exemple pour une gestion SSL uniquement)
  • Fonctionnement général 42
  • Portail d'authentification 43
  • Réinitialisation du mot de passe 44
  • Menu des applications 45
  • Gestion des sessions 46 ● Utilisation de n'importe quel module Apache::Session pour le stockage (File, DBI, LDAP, Memcached, ...) ● Inscription du numéro de session dans un cookie temporaire (non écrit sur disque) avec le choix : – Cookie non-sécurisé – Cookie sécurisé (HTTPS uniquement) – Double cookie ● Durée de vie des sessions configurable
  • Règles d'accès 47 ● Les règles d'accès sont des expressions Perl ● Elles peuvent être appliquées sur tout ou partie d'une application protégée (utilisation d'expressions régulières sur les URL) ● Tous les attributs exportés lors de l'authentification sont disponibles dans les règles ● Un système de macros permet de stocker des valeurs calculées en session
  • Règles d'accès 48 ● Accès pour tous les utilisateurs authentifiés : – Default => accept ● Accès pour le groupe « admin » : – Default => $groups =~ /admin/ ● Interception du logout de l'application – ^/logout.php => logout_sso
  • Hôtes virtuels 49 ● La distinction des applications est basée sur la notion d'hôtes virtuels ● Les hôtes virtuels peuvent être répartis sur plusieurs serveurs Apache ● Chaque hôte virtuel possède : – Des règles d'accès – Des en-têtes HTTP ● Les en-têtes HTTP contiennent également des expressions Perl
  • Applications nativement 50 compatibles
  • Autres applications compatibles 51 ● Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ... ● Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ... ● Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ... ● Applications compatibles SiteMinder
  • Utilisation de LDAP possible pour le stockage de la configuration et des Nouveautés de la version 0.9.4 5 2 sessions ● Réécriture complète des fonctions SOAP : le portail est directement un point d'accès SOAP ● Système de notifications ● Nouvelles fonctions disponibles dans les règles d'accès pour vérifier les dates, les jours et les heures de connexion autorisés ● L'adresse du portail peut être dynamique ● Séparation des modules d'authentification, de données utilisateur et de mots de passe ● Gestion complète de la politique des mots de passe LDAP ● Configuration simplifiée du cross-domain
  • Feuille de route 53 ● Refonte de l'interface d'administration ● Validation du formulaire d'authentification pour les applications fermées ● Portefeuille de comptes pour les applications fermées ● Support SAML2 complet (fournisseur d'identités et fournisseur de service)
  • 54 Authentification forte
  • Authentification forte 55 ● LemonLDAP::NG sait exploiter le module SSL d'Apache ● Ce module assure la vérification du certificat client (révocation, clés, etc.) ● Un composant du certificat est utilisé comme clé de recherche sur l'annuaire LDAP ● Il est aussi possible de désactiver la recherche LDAP pour obtenir un SSO basé uniquement sur les certificats SSL
  • Matinée Pour Comprendre LinS ig n La signature électronique en Open Source. C'est possible ! LinSign Sébastien LEVESQUE Architecte logiciel Java Groupe LINAGORA slevesque@linagora.com
  • Sommaire 57 ● L'offre de sécurité LinPki. ● LinSign. – Caractéristiques fonctionnelles. – Caractéristiques techniques. – CSPN. ● Démonstration (édition standalone).
  • L’offre sécurité LinPKI 58 L’offre de signature électronique LinSign s’inscrit dans une offre globale de sécurité, appelée Offre sécurité LinPKI. LinPKI est une plate-forme applicative qui permet l’établissement d’éléments de preuve ayant une valeur probante reconnue et pérenne, en conformité avec la règlementation européenne et française relative à la signature électronique. Projet de recherche et développement financé par : L’OSEO LINAGORA L’ANSSI (DCSSI)
  • L’offre sécurité LinPKI 59 L inP K I e s t u n e s u ite a p p lic a t iv e d e S e r v e u r d e s ig n a tu r e m u lt i-u s a g e s é c u r it é p o u r m e tt r e e n œ u v r e la d ’h o r o d a t a g e in d u s t r ie l s ig n a tu r e e t le c h iff r e m e n t à b a s e d e c e r t ific a t n u m é r iq u e S ig n S e r v e r C o ff r e -fo r t e t p a r t a g e d e A p p lic a t io n c lie n t d e f ic h ie r s s é c u r is é LinShare LinPKI LinPKI s ig n a t u r e é le c t r o n iq u e LinSign LinCheck A p p lic a t io n c lie n t d e s ig n a tu r e S e r v ic e d e v a lid a tio n d e c e r t if ic a ts é le c tr o n iq u e e n te m p s ré e l (c e r t if ic a t io n C S P N e n c o u r s )
  • LinPKI : Exemple de fonctionnalité 60 LinPKI LinPKI LinPKI LinPKI A r c h iv a g e Signature Validation Signature Horodatage des d o c u m e n ts U n U tilis a te u r L ’u tilis a te u r L e s e r v ic e d e L e s e rv e u r d e H o r o d a ta g e d e s dépose un s ig n e le v a lid a tio n v é r if ie le s ig n a tu r e a jo u te d e s s ig n a tu r e s docum ent docum ent avec c e r tif ic a t n u m é r iq u e é lé m e n ts d e é le c tr o n iq u e s o n c e r tif ic a t v ia d u c lie n t q u i a s ig n é s ig n a tu r e  : é lé m e n ts le c o m p o s a n t d e le d o c u m e n t d e v a lid a tio n , s ig n a tu r e d e h o r o d a ta g e , c o n tr e L in S ig n o u c o -s ig n a tu r e .
  • LinPKI : Architecture fonctionnelle 61
  • LinSign : Présentation 62 L’application LinSign fournit un service de signature électronique de documents depuis le poste client LinSign est conçu dans un esprit de généricité et de modularité vis-à- vis des applications. Elle peut être mise en œuvre de plusieurs façons. Produit : LinSign est utilisée comme un produit prêt à être installé (sorte de « boîte noire »). Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier LinSign en intégrant le composant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application (e.g. LinShare).
  • LinSign : Présentation 63 LinSign, l’application de signature existe selon plusieurs éditions: – édition client-serveur (Portal) : en mode distant et connecté sur les navigateurs standards du marché. Intégration avec les frameworks web Tapestry, JSF, Seam, JSP. – édition client seul (Client) : en mode autonome sur un système d’exploitation, mais mise à disposition via un réseau, – édition client autonome (Standalone) : en mode autonome sur un système d’exploitation ou des clients lourds, – édition librairie/boîte à outils (API) : en mode service embarqué dans des applications métiers.
  • LinSign : Certification de sécurité 64 LinSign est réalisée selon sa cible de sécurité conformément au profil de protection « Application de création de signature électronique » des Critères Communs. Certification CSPN (Certification de Sécurité de Premier Niveau) Dans un premier temps, LinSign sera évaluée et certifiée dans le cadre de la CSPN (reconnue au niveau national, en France). Cette certification est en cours 04/11/2009. Contraintes sur SHA-256 et édition client autonome (standalone). Certification Critères Communs (futur) Dans un second temps, LinSign sera évaluée et certifié dans le cadre des Critères Communs, au niveau EAL3+ (reconnus au niveau international).
  • LinSign : Licence 65 La Licence libre de l’application LinSign LINAGORA a opté pour une licence OSL (Open Software License) 3.0 Écrite par un avocat américain, Lawrence Rosen, la licence est labellisée open source par l’OSI depuis 2002 et est l'une des licences libres les mieux rédigées ; Une licence copyleft qui assure la pérennité de son évolution ; Une licence modulaire qui permet les interactions étroites avec d'autres briques logicielles ; Une licence encadrant les utilisations classiques comme pour les fournisseurs de services (ASP, etc.).
  • LinSign : Caractéristiques fonctionnelles 66 Gestion des politiques de signature : – type de certificat X.509v3 (qualifié ou pas, usage de la clé, etc.) – chaîne de certification : AC acceptées – politique acceptée (identifiant OID) – formats des éléments à signer : PDF, ODT, XML, HTML, etc. – formats de la signature : PDF/A, XAdES, XML-DSign, PKCS #7 ... – types de token (PKCS #11, PKCS #12, JKS, navigateurs web) – référence au document de signature – algorithmes de signature : RSA (PKCS #1) – algorithmes du condensé : SHA-1, SHA-256 LinSign est configurable via un système de gestion de politiques de signature.
  • LinSign : Caractéristiques fonctionnelles 67
  • LinSign : Caractéristiques techniques 68 LinSign s’adapte à l’hétérogénéité des contextes applicatifs et des environnements clients : Windows, Macintosh, GNU/Linux, Unix Navigateurs web : IE 6 et supérieurs, Mozilla Firefox et Safari Java JEE (serveurs de servlets…) Utilisation de certificats X.509 v3 Validation du certificat : AC de confiance, date de validité, usage de clé, etc. Utilisation de différents formats de signature : PDF/A, ODF Text, XAdES 1.3.2, XML-DSig, CMS/PKCS #7, S/MIME ; Utilise différents supports pour la signature : Les cartes à puce et tokens USB : Gemalto, Oberthur, Sagem, Aladin ; Les magasins des navigateurs web : Mozilla NSS (Firefox), Microsoft CryptoAPI (Internet Explorer), Mac OS Keychain (Safari) ; Fichiers PKCS #12 ; Fichiers Java KeyStore (JKS).
  • LinSign : édition standalone CSPN 69 Signature XML DSIG détachée <s ig n a tu r e > <r e fe r e n c e > a .p d f <r e fe r e n c e > </s ig n a tu r e > z ip Signature au format Xades ETSI TS 101 903 V1.3.2 (2006-03) S ig na ture X a des X a des pro priétés s ig nées : S ig na ture X M L D S I G (S ig ning T im e) S ig n e d S ig n a tu r e K e y in fo S ig n e d U n s ig n e d (S ig ning C ertific a te) in f o p r o p e r tie s p r o p e r tie s (S ig na tureP o lic yI dentifier) (S ig na tureP roduc tio nP la c e)? (S ig nerR o le)?
  • LinSign : édition standalone CSPN 0 7 JRE/JDK 6 – par défaut, ne supporte pas la signature XML SHA-256 – avec Microsoft Windows Le JDK [SunMSCapi] n'implémente pas: ● la signature au format brut. ● la signature pour le SHA-256. – le swing ne gère que l'environnement de bureau Gnome. PKCS11 – entièrement configurable : oberthur ID-one IAS ECC (compatible avec la carte européenne du Citoyen et des standards de signature électronique. La carte est en fin de certification EAL4+ pour la signature électronique). Firefox – Accès au magasin sur toutes les plateformes (windows, linux, mac...) via NSS.
  • LinSign : Démonstration édition standalone 1 7 6 étapes pour signer des documents:  Politiques de signature disponibles.  Sélection des fichiers.  Liste des magasins disponibles.  Sélection d'une clef de signature.  « lu et approuvé », signer.  Fichiers signés.
  • LinSign : Démonstration édition standalone 2 7
  • Matinée Pour Comprendre LinS hare LinShare Offre de partage de fichiers sécurisé Sébastien LEVESQUE Architecte logiciel Java Groupe LINAGORA slevesque@linagora.com
  • Agenda 74 ● Genèse de LinShare ● Présentation de LinShare ● Démonstration de LinShare ● Présentation du plugin pour Microsoft Outlook
  • Genèse de LinShare 75 A n c ie n o u til d e p a r ta g e d e L in a g o r a ● Outil de partage simple développé en PHP en 2004 ● Demande de la part de l'INSERM en 2008 d'un outil de transfert de fichiers en mode sécurisé ● 1ère version disponible en juin 2009 ● Octobre 2009 : publication sous licence libre
  • Présentation de LinShare 76 LinShare permet de : ● Déposer des fichiers dans son coffre fort électronique ● Partager des fichiers avec des collaborateurs internes ou externes ● Gérer les partages ● Sécuriser les échanges ● La traçabilité des échanges ● Historique et reporting des actions ● Intégration et communication avec des applications externes (Outlook, Thunderbird)
  • Dépôt de fichiers 77 Dépôt/suppression et mise à jour de fichiers. Fonction de coffre-fort électronique Ajout d’information sur un fichier : commentaires, tags
  • Partage de fichiers/dossiers 78 Mise en place de partage vers des collaborateurs internes ou externes Partage par fichiers ou par dossiers Association de groupes ou d’utilisateurs à un partage Partage simple ou sécurisé
  • Gestion des utilisateurs 79 Création de compte invité pour des dépôts temporaires Gestion des comptes (création, suppression, recherche...) Gestion des groupes Import d’utilisateurs et de groupes depuis un annuaire, base de données, Active Directory
  • Cryptographie 80 ● Disponible dans la version Open Source dès publication de LinSign début 2010 ● Signature électronique de documents (format XAdES, standard européen) ● Chiffrement par certificat ou par mot de passe ● Authentification : SSO, Certificats, Active Directory, OpenLDAP ● Partage sécurisé par mot de passe temporaire ● Gestion de la politique des mots de passe (longueur, renouvellement, droit de modification, etc.)
  • Historique 81 Traçabilité : – Utilisateurs (historique des actions) – Administrateurs (audit/reporting/statistique)
  • Utilisation et partage 82 API Rest et Web Service pour communiquer avec des composants externes. Plugin pour Outlook et Thunderbird.
  • Autres fonctionnalités 83 ● Accusé de téléchargement – Simple par courriel – Signé au format PDF ● Filtre MIME de fichiers ● Gestion des quotas utilisateurs ● Temps de dépôt de données en relation avec la taille des fichiers ● Compression de données lors de partages multiples
  • Administration de LinShare 84
  • Technique et licence 85 ● Techniques : – Application développée en Java JEE – Indépendant des bases de données (PostgreSQL, MySQL, Oracle, etc.) – Indépendant des systèmes d’exploitation (Windows, GNU/Linux, Sun, etc.) – Nécessite au minimum Tomcat ou un serveur d’applications (JBoss, GlashFish, etc.) – Intègre le module linSign pour la signature (édition portail). ● Licence libre (open source) : GNU Affero General Public License, version 3 ● Version communautaire disponible : http://forge.linpki.org/projects/show/linshare
  • LinShare en action ! 86 Essayer vous même via http://demo.linpki.org/linShare/
  • Plugin outlook : accéder aux options 87 L a b a r r e d 'o u tils lin S h a r e d a n s M ic r o s o ft O u tlo o k 2 0 0 3 : é c r itu r e d u m e s s a g e
  • Plugin outlook : configuration 88
  • Plugin outlook : authentification 89
  • Plugin outlook : sélection des fichiers 90
  • Plugin outlook : upload vers le serveur 91
  • Plugin outlook : le mail sans les pièces jointes 92
  • Plugin outlook : le mail du serveur LinShare 93