Smart Card Logon / Biométrie / PKINIT / Match on Card

2,371 views
2,221 views

Published on

Une présentation sur l'intégration de la technologie PKINIT et la Biométrie Match on Card

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,371
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
47
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smart Card Logon / Biométrie / PKINIT / Match on Card

  1. 1. Biométrie & Protection des données en entreprise 22 mai 2008 e-Xpert Solutions S.A.
  2. 2. “ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ” Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
  3. 3. Biométrie dans un environnement Microsoft Philippe Logean / Sylvain Maret e-Xpert Solutions SA
  4. 4. Pourquoi mettre en œuvre la biométrie avec Microsoft ? <ul><li>Intégration de PKINIT et de l’utilisation des certificats numérique couplée à la biométrique </li></ul><ul><li>Bref rappel sur le protocole Kerberos </li></ul><ul><li>Crack d’un mot de passe Kerberos </li></ul><ul><li>Protocole PKINIT (Smart Card Logon) </li></ul><ul><li>Validation Online d’une identité numérique </li></ul><ul><ul><li>Protocole OCSP </li></ul></ul>
  5. 5. Authentification d’un utilisateur avec Kerberos
  6. 6. Principe de l’attaque avec ARP Spoofing Réseau « switché » KDC Client Microsoft Attaque ARP Attaque ARP Kerberos Kerberos Routage Renifleur
  7. 7. Démonstration: Crack d’un mot de passe Microsoft Kerberos
  8. 8. Exemple d’architecture avec RSA Security
  9. 9. Authentification d’un utilisateur avec PKINIT
  10. 10. Authentification d’un utilisateur avec PKINIT (suite) <ul><li>1. Saisie des empreintes dans Winlogon lors de l’insertion de la carte à puce dans le lecteur . Transmis au SSP Kerberos </li></ul><ul><li>2. Appel au driver d’ Athena . Envoi des minutie biométrique pour accéder aux données contenues dans la carte à puce </li></ul><ul><li>3. Récupération du certificat utilisateur par le SSP </li></ul><ul><li>4. Génération, par le SSP, d’un authentifieur contenant un Timestamp . Transmis au CSP </li></ul><ul><li>5. Signature de l’authentifieur par le CSP (réalisé dans la carte à puce) </li></ul>
  11. 11. Authentification d’un utilisateur avec PKINIT (suite) <ul><li>6. Signature retournée au SSP </li></ul><ul><li>7. Requête AS ( Authentication Service ) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature </li></ul><ul><li>8. Vérification de la validité du certificat ( Certification Path , CRL, trust CA). Vérification de la signature. Recherche des informations de l’utilisateur (user@domain) </li></ul><ul><li>9. Récupération des informations utilisateur (user SID ( Security Identifier ), group SID) pour construire le TGT </li></ul><ul><li>10. Réponse AS contenant le TGT. Chiffré avec la clé publique du client et signée par le KDC </li></ul><ul><li>[ ( ( TGT )TGS_key + C-T_key + KCA_Cert )Rdm_key + ( Rdm_key )U_pub_key ]Sign_KCA_priv_key </li></ul>
  12. 12. Démonstration: Microsoft Smart Card Logon (PKINIT)
  13. 13. Validation online d’une identité numérique (OCSP) KDC / AD Microsoft RSA® Validation Manager OCSP request Valide Pas valide Inconnu Client OCSP
  14. 14. Démonstration OCSP
  15. 15. e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité. 

×