La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

NGSCB : Une Introduction

Publié parCadice Vincent Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "NGSCB : Une Introduction"— Transcription de la présentation:

1 NGSCB : Une Introduction
Bernard Ourghanlian Directeur Technologie et Sécurité Microsoft France

2 Un changement de nom Le 24 janvier 2003 Microsoft a annoncé sa volonté de changer le nom de « Palladium » qui était jusqu’à présent le nom de code d’un projet interne à Microsoft « Palladium » s’appelle maintenant Next-Generation Secure Computing Base (NGSCB)

3 Sommaire Introduction et motivation Architecture Hardware
Le modèle de sécurité de NGSCB Hardware Évolutions récentes de l’architecture Applications En guise de conclusion

4 Introduction et motivation

5 Système d’exploitation
Le PC aujourd’hui Attaque P2P / Chat (avec backdoor) Application “sécurisée” Jeux Application plus sécurisée Fausse DLL système Virus Attaque Réseau Mode utilisateur Système d’exploitation Cheval de Troie Attaque Attaque Driver Driver Driver Mode noyau

6 Les buts de NGSCB Quelques façons de le dire…
« Protéger le logiciel du logiciel » « Permettre d’enrichir la sécurité par des notions d’intégrité de la machine et du logiciel » « Rendre le PC aussi sécurisé qu’il est flexible »

7 Les principes fondateurs
NGSCB n’arrêtera pas le piratage. Il n’est pas nécessaire de disposer des informations sur l’utilisateur pour permettre à NGSCB de fonctionner. NGSCB peut ne pas être capable de résister à des attaquants disposant d’un accès physique à une machine mais empêchera toute attaque de type BORE (Break Once, Run Everywhere). NGSCB permettra la mise en place de tout type de politique de sécurité et de respect de la vie privée. Les systèmes NGSCB donneront les moyens de protéger la vie privée mieux que tout système d’exploitation aujourd’hui. NGSCB sera construit à partir des plus hauts standards en matière de sécurité et de respect de la vie privée. Un PC NGSCB doit être capable de booter tout OS compatible NGSCB et d’exécuter des logiciels en provenance de tous les fournisseurs, tout comme sur les PC d’aujourd’hui. Le Trusted Computing Base (TCB) de Microsoft sera disponible (les sources) pour examen. Un PC NGSCB doit être capable d’exécuter les applications et les drivers d’aujourd’hui. Quiconque peut écrire des applications Windows pour un PC pourra écrire des applications tirant parti de NGSCB.

8 Qu’est-ce que NGSCB ? NGSCB est un ensemble de nouvelles fonctionnalités de sécurité « au sein » de Windows Autorisées grâce à un nouveau hardware Correspondant à un nouveau logiciel : Trusted Security Kernel (Nexus) et Nexus Computing Agents L’objectif est de « protéger le logiciel du logiciel » Défense contre des codes malicieux qui s’exécutent eu sein du Ring 0 Permet de mettre en service et de protéger un Trusted Computing Base (TCB) décentralisé dans le cadre de systèmes « ouverts »

9 Mécanismes : construire dynamiquement un périmètre de sécurité
Ensemble de mécanismes Isolation du logiciel (mémoire cloisonnée – établissement du TCB) Authentification du logiciel (attestation - extension du TCB) Secrets pour le logiciel (stockage scellé – persistance de l’état du TCB) Entrées et sorties sécurisées (échanges « dignes de confiance » pour l’utilisateur) Assertions de sécurité, permissions et authentification fondées sur des références (credentials) Lampson, Rivest, Abadi, etc.

10 NGSCB « vu d’avion » (1/3) App OS User Kernel Comment préserver la flexibilité et l’extensibilité qui ont tant contribué à la richesse de l’écosystème du PC, tout en fournissant à l’utilisateur final un environnement sûr ? En particulier, comment peut-on garder quoi que ce soit de secret, quand des composants du noyau enfichables contrôlent la machine ?

11 NGSCB « vu d’avion » (2/3) La solution : subdiviser l’environnement d’exécution en ajoutant un nouveau mode au CPU App OS User Kernel Standard Trusted NCA Nexus Le CPU est soit en mode « standard » soit en mode « trusted » Les pages de la mémoire physique peuvent être marquées comme « trusted ». Les pages dites « trusted » ne peuvent être accédées que lorsque le CPU est en mode « trusted »

12 NGSCB « vu d’avion » (3/3) Les agents ont aussi besoin de laisser l’utilisateur entrer des secrets et d’afficher des secrets pour l’utilisateur User Kernel App OS Standard Trusted NCA Nexus SSC Clés Pub/Pri GPU de confiance Hub USB de Les entrées sont sécurisées par un « hub » USB de confiance pour le clavier et la souris qui permet de transporter une conversation sécurisée avec le nexus Les sorties sont sécurisées par un GPU de confiance qui transporte une conversation chiffrée avec le nexus Ceci permet une sécurité de bout en bout

13 Système d’exploitation
Architecture NGSCB « Zone de confiance » Normal Appli Agent Applicatif Jeux Attaque Agent Applicatif P2P /Chat (avec backdoor) Virus Utilisateur Noyau Attaque Système d’exploitation Cheval de Troie Noyau Sécurisé Nexus Driver Driver

14 Architecture Introduction

15 Comment fonctionne NGSCB ?
Tire parti d’améliorations CPU (nouveaux modes et nouvelles instructions) pour cloisonner une zone de mémoire protégée Un petit noyau de sécurité (le « nexus ») permet d’abstraire le hardware et de fournir l’environnement de programmation Les composants logiciels qui utilisent les secrets s’exécutent « derrière le mur » (ce sont les Nexus Computing Agents ou NCA) Les secrets sont liés à l’identité du logiciel et à la plate-forme L’interaction avec l’utilisateur est sécurisée au travers de canaux sécurisés vers la vidéo, le clavier et la souris

16 De manière plus précise
Standard-Mode (LHS) Nexus-Mode (RHS) Agent Agent Agent User User Apps. Trusted User Engine (TUE) TSP TSP TSP NCA Runtime Library Main OS Nexus Kernel USB NexusMgr.sys Driver NAL HAL Hardware Secure Input Secure Video SSC CPU Chipset

17 Qu’est-ce que le nexus fournit à ses NCA ?
Un environnement d’exécution séparé protégé pour les applications (NCA) Les NCA peuvent Etre autonomes Fournir des services aux applications L’utilisateur indique au nexus quelles NCA autorisées à s’exécuter (la politique d’exécution du nexus utilise les identités des NCA) Le nexus scelle les secrets pour tout NCA et peut « attester » de l’identité du NCA Fournit des services OS simples : threads, mémoire, IPC, E/S dignes de confiances, accès aux services de la partie gauche du schéma précédent (mode standard)

18 Qu’est-ce que fait le nexus ?
Le nexus gère l’environnement de sécurité N’importe qui peut écrire un nexus Certains hardwares restreindront le nexus qui peut s’exécuter Le BIOS/l’utilisateur local peut changer la liste de nexus autorisés Seul un nexus privilégié peut modifier la liste des nexus autorisés à s’exécuter Un logiciel quelconque ne le peut pas NGSCB est « ouvert » et « sous contrôle de l’utilisateur » à tous les niveaux

19 Les principes de conception du nexus de Microsoft (1/2)
Rester simple Garder un TCB de petite taille Affecter le moins possible l’infrastructure existante Ne pas « casser » les drivers existants Ne pas « casser » les applications existantes Ceci constitue l’un des plus grands enjeux du projet NGSCB Toutes les API Win32 ne seront pas disponibles Nous ne fournissons que les fondations de sécurité – les agents doivent rester robustes Environnement « appauvri » Fourniture d’abstractions « sûres » Pipes au lieu de shared memory

20 Les principes de conception du Nexus de Microsoft (2/2)
La plupart des entrées-sorties sont réalisées sur la gauche On protège les données en utilisant du chiffrement On utilise le système d’exploitation principal quand on le peut Seulement quand c’est « sûr » ! Les sources du nexus seront publiées NGSCB pourra exécuter tout code de tout éditeur de logiciel Mais nous installerons des restrictions par défaut pour les éléments sensibles Assez semblable à Authenticode Modulaire et architecturé en couche Pas de code tiers au sein du TCB ! On ne peut gérer le compromis entre l’ouverture et la sécurité

21 Les caractéristiques et les objectifs de NGSCB
Les anciens OS fonctionnent sans modification (ou presque) Les anciens drivers fonctionnent sans modification (ou presque) Toutes les anciennes applications fonctionnent sans modification Rien n’est « cassé » si l’on n’a aucune connaissance ou notion de NGSCB Les NCA doivent être développées pour NGSCB Nous livrerons quelques agents autonomes Nous livrerons quelques agents de type service système

22 Le modèle de sécurité de NGSCB
Architecture Le modèle de sécurité de NGSCB

23 Modèle de sécurité pour NGSCB
Le modèle de menaces Identités Code Sujet Attestation Chemin sécurisé (Secure Path) Stockage scellé Authentification Respect de la vie privée

24 NGSCB : modèles de menace
Notre modèle de menaces AUCUNE attaque logicielle (seul) ne doit réussir contre les opérations réalisées dans l’espace du nexus AUCUNE attaque de type Break-Once/Break-Everywhere (BOBE) ne doit être possible Aucune attaque logicielle (seul) signifie... Ceci ne concerne pas les attaques fondées sur le microcode, macrocode, les cartes adaptateurs, etc. etc. Toute attaque lancée depuis le Web ou est de type logiciel (seul) Cette protection ne s’applique seulement qu’à la divulgation des secrets Les virus peuvent encore supprimer les fichiers chiffrés… Toutefois, il ne sera pas possible de réaliser une attaque en utilisant un intercepteur hardware « pas cher ». La principale raison pour avoir un clavier « digne de confiance » est de ne pas permettre à quelqu’un d’acheter un dongle à 25 dollars que l’on place sous votre PC pour enregistrer toutes vos frappes clavier. D’une manière générale, on ne regarde pas sous son bureau et une attaque de ce type peut être réalisée en 30 secondes par son voisin de bureau. Ceci ressemble aux attaques qui étaient pratiquées dans les années 80 pour voler les voitures à partir de lecteurs de code achetés à Taiwan. Ces attaques ont des caractéristiques DREAD plutôt inquiétantes : Difficulty = Low Reproducibility = Very easy Exploitability = Very Easy, si le dongle de l’intercepteur vient avec un programme de découverte de mot de passe. Affected users = Toute personne qui utilise un PC pour y stocker des informations importantes – la menace est reliée à la valeur de la donnée Discoverability = Very discoverable – Une fois que quelqu’un a réalisé le premier dongle intercepteur, celui-ci sera rapidement en vente sur Internet.

25 NGSCB : modèles de menace
Pas d’attaque de type BOBE signifie que Les attaques ne bénéficient pas de la possibilité d’hériter naturellement d’un facteur d’échelle Chaque Security Support Component (SSC) a des clés uniques Les données DOIVENT utiliser des clés uniques ou partiellement uniques, plutôt que des clés globales Une personne cassant une machine ne peut divulguer que les secrets envoyés à cette machine seulement Ne permet PAS à cette personne de dire à la terre entière comment « casser » le contenu Permet de borner la divulgation du contenu à la machine concernée

26 Sécurité au sein de NGSCB
Identité du code Identité du sujet Stockage scellé Authentification à distance Chemin sécurisé vers et depuis l’utilisateur Tout ceci relié ensemble de manière cohérente par une politique de sécurité système Nous faisons confiance au logiciel pour agir en notre nom Nous avons quelques outils pour nous assurer qu’il travaille selon notre intérêt Est-ce que nous savons toujours au nom de qui le logiciel agit ? Forte notion d’identité du code Nous faisons confiance au logiciel pour accéder à nos données personnelles et la plate-forme fournit peu de support pour du stockage sécurisé Toute ceci maintient la signifiance de la notion de « système ouvert » On veut maintenir privées les données privées On doit toujours être capable de savoir au nom de qui un processus est en train de travailler Ceci nécessite que l’identité du processus est bien comprise

27 Identité du code Normalement l’utilisateur se connecte au système (log-on) Avec NGSCB, le code se connecte au système (avec ou sans un utilisateur) Identité du code Le nexus est connu par son condensé Les Nexus Computing Agents (NCA) sont connus par leurs condensés Architecture en couche D’où la notion essentielle et clé de « l’identité du processus » L’identité du code qui s’exécute ne peut être falsifiée (pas de possibilité de mensonge ni de tromperie)

28 Identité du sujet Identité du sujet
Identité de l’utilisateur + Identité du code Forme la base d’un modèle de sécurité Un utilisateur authentifié donné (utilisant n’importe quel système d’authentification d’utilisateurs)… …Exécutant un code donné dont l’identité est connue (ce qui comprend le certificat de la carte mère, l’identité du nexus et l’identité du NCA)… …Est autorisé à accéder une ressource Ceci donne à l’utilisateur le contrôle sur la machine puisque la politique est définie par l’identité du sujet.

29 Attestation Technologie d’attestation
L’identité du Security Support Component (SSC) est signée par l’OEM Le nexus peut être authentifié au moyen d’un processus de chiffrement en coopérant avec le hardware (le condensé du nexus est signé par le SSC) Le nexus peut fournir un service similaire aux agents L’attestation concerné l’identité L’utilisateur décide s’il « aime » un nexus L’utilisateur décide s’il « aime » un agent

30 Chemin sécurisé vers l’utilisateur
Sécurise le canal d’entrée Clavier Souris Sécurise le canal de sortie Vidéo Sécurise la fenêtre d’entrée Trusted User interface Engine (TUE)

31 Maintenir les données privées –Stockage scellé
Permet à une configuration logicielle de maintenir des secrets pendant une durée significative Chiffre les données Retourne les données déchiffrées si et seulement si l’identité du code correspond Fait correspondre les secrets au logiciel (identité du code) Fait correspondre les secrets au logiciel + utilisateur (identité du sujet) Technologie de chiffrement Le nexus peut sceller des secrets à lui-même Respect de la vie privée et confidentialité On peut faire correspondre un secret à l’identité du sujet L’utilisateur a un contrôle plus étroit de la machine qu’avant C’est un contrôle d’accès de type ACL. Cette ACL n’a qu’une seule entrée.

32 Calcul de l’identité du code
L’identité du code est un concept clé Valeur stockée dans un registre hardware L’identité du nexus est enregistrée par le SSC Positionné pendant le « boot » du nexus Ne peut pas être positionné de manière arbitraire Au niveau du hardware l’identité du logiciel est un simple hash Une valeur stockée dans un registre Il existera des abstractions un peu plus « compréhensibles » et gérables au niveau logiciel

33 Authentification du code
Le but Le loader sait ce qu’il charge – l’identité du code La politique système définie l’ensemble des identités de sujets (user-id, code-id) qui peuvent être chargées Le code n’a pas besoin d’être signé pour s’exécuter sur le système Exemple de code signé Signature normale du code N’importe qui peut signer Pas d’autorité centrale La signature est vérifiée par le système Semblable au calcul du condensé du nexus par le hardware mais plus flexible L’identité du code est le condensé. Vous pouvez vouloir signer le code pour permettre la mise en place de politiques.

34 Respect de la vie privée
NGSCB est un élément permettant de réaliser des avancées significatives en matière de respect de la vie privée Mais… Le SSC contient des clés uniques Donc… On a besoin de protéger les utilisateurs / restreindre l’utilisation des données permettant d’identifier la machine « Virtualiser » la clé

35 Accès du hardware à la clé publique
Approche en couche : Le hardware (HW) doit être sous tension Le HW peut être mis hors tension Le HW ne peut donner la clé qu’à un logiciel digne de confiance (seul l’utilisateur a le droit de changer cela) Le nexus de Microsoft : Ne fournit les clés/certificats HW qu’à des tiers certifiés/dignes de confiance Identity Service Providers Ces tiers émettent des clés de second niveau Identity Keys

36 Modèles de respect de la vie privée
Ne rien dire à personne Fonctionne localement ; pas de confiance distribuée Identity Service Provider Utilise un tiers pour la preuve de l’identité Preuve Directe (DP – Direct Proof) Prouve l’identité directement sans révéler une information unique L’utilisateur décide laquelle de ces politiques il préfère – il peut les utiliser toutes ou certaines en combinaison

37 Identity Service Provider
Un service basé sur le Web qui valide l’identité Vous permettez à NGSCB de réaliser une attestation de votre plate-forme hardware pour le service en question En retour, ce service vous donne une clé que vous pouvez montrer à des tiers pour attester d’une identité Quelle identité dépend du service et des besoins Si l’on utilise un tel modèle d’ISP, le nexus de Microsoft Ne communiquera la clé/le certificat hardware qu’à des tiers certifiés et dignes de confiance Identity Service Providers Ces tiers, à leur tour, émettent des clés de second niveau Clés d’identité (Identity Keys)

38 Identity Service Provider
Avantages Architecture Client/serveur Gérable Réutilisable L’utilisation est contrôlée par l’utilisateur A de bonne capacité d’évolution Fonctionne bien dans les entreprises Désavantages Peut engendrer un problème légal en Europe Nécessite que l’utilisateur ait confiance dans un tiers Révèle les clés à un tiers Ce n’est pas le plus haut niveau de respect de la vie privée possible

39 Preuve directe Zero Knowledge Proof (ZK) Direct Proof (DP)
Prouve que le système a la connaissance de quelque chose d’important Ne révèle pas l’élément précis de cette connaissance Direct Proof (DP) Une preuve ZK qui prouve l’association entre un SSC et la clé d’attestation d’identité de l’application (AIK – Attestation Identity Key) Ne révèle pas l’identité d’un SSC spécifique

40 Le processus de preuve directe
Dans une preuve directe, la plateforme atteste de son identité en prouvant qu’il a une « connaissance » unique qu’il est le seul à pouvoir « savoir » L’utilisateur autorise NGSCB à attester de cela Peut être utilisé dans un modèle P2P Les deux plates-formes se valident mutuellement Ceci établit une session qui utilise une identité L’identité en question dépend du service et des besoins En utilisant le modèle DP le nexus de Microsoft ne révélera jamais la clé/certificat du hardware à qui que ce soit

41 Preuve directe Avantages
Aucune information permettant d’identifier le hardware ne quitte jamais la machine L’utilisateur n’a jamais à faire confiance à un tiers Ne pose pas de problème juridique en Europe L’utilisation est contrôlée par l’utilisateur Protection forte de la vie privée en réseau Désavantages N’a pas une bonne capacité d’évolution Difficile à gérer N’adresse pas directement certains scénarios Pas de validation par un tiers Processus de révocation et de renouvellement très malcommode

42 Applications sécurisées et respect de la vie privée
NGSCB permet un meilleur respect de la vie privée Protection des informations personnelles L’utilisateur peut décider à quel identité de code il veut divulguer des informations personnelles à travers le mécanisme d’attestation de l’entité distante La sécurisation du canal d’entrées-sorties rend plus difficile d’écrire des intercepteurs (clavier et graphique) On ne peut voler les disques et s’en aller avec des secrets

43 Résumé du modèle de sécurité
Le modèle de sécurité L’identité du code est la base de la sécurité L’identité du code est enraciné dans le hardware Permissions sur la base de l’identité du code L’utilisateur décide quelles sont les permissions données à un code d’identité donnée Respect de la vie privée L’utilisateur décidé à quelle identité de code les secrets peuvent être divulgués

44 Hardware

45 Les composants de la plateforme NGSCB
Processeur Contrôleur mémoire/Chipset Coprocesseur de sécurité/de chiffrement Compléments Clavier, souris Sortie vidéo Autres périphériques (biométrie, etc.) Certificats

46 Processeur Fournit les éléments nécessaires pour une protection de la mémoire avec une granularité au niveau de la page (« mémoire cloisonnée ») Trusted Mode et Normal Mode Certains privilèges kernel peuvent être supprimés du ring-0 Trusted mode Accès à toute la mémoire Contrôle complet du processeur Normal mode Certains pages sont inaccessibles, read-only, etc. Les changements de mode sensibles pour la sécurité (etc.) génèrent une « faute »

47 SSC : Security Support Component
Penser à « une carte à puce soudée sur la carte mère » Bon marché, à périmètre fixe Contient Au moins une clé AES et une paire de clés RSA En réalité, il pourra contenir deux ou trois clés AES et deux ou trois paires de clés RSA Ces clés AES & les clés privées RSA ne quittent jamais le chip Des registres : le PCR (platform configuration register) qui contient le condensé du nexus en cours d’exécution Le nexus n’a pas besoin d’être chargé lors du boot ; il peut être chargé plus tard Tout ce dont a besoin NGSCB est le condensé du nexus Ceci peut survenir à n’importe quel moment après le boot de la machine ; donc, quand on boote le nexus on hache le nexus et on place la valeur de ce hash dans le PCR

48 SSC : Security Support Component
Doit être proche du chipset (c’est-à-dire pas dans une véritable carte à puce) car il est impliqué dans l’initialisation du nexus Le SSC est supporté depuis la version 1.2 du TPM de TCPA (maintenant TCG)

49 La chaîne de certificats
NGSCB s’appuie sur une chaîne de signatures numériques pour valider l’intégrité de la plate-forme Une plate-forme NGSCB inclura les signatures de la plupart ou de la totalité des acteurs de la phase de production, notamment Un tiers de confiance, certifiant le fabricant du SSC Le fabricant du SSC, certifiant que le SSC est digne de confiance L’assembleur de la carte mère, certifiant l’assemblage du SSC sur une carte mère autorisée Le fabricant OEM du système, certifiant que la chaîne d’assemblage de la carte mère est intacte Ces certificats seront ajoutés à la plate-forme via du matériel sécurisé (lui-même probablement fondé sur NGSCB) Les tiers auront ainsi la certitude d’avoir affaire à un véritable système NGSCB dans lequel ils peuvent avoir toute confiance, et non à une imitation

50 NGSCB et confidentialité
NGSCB présente l’avantage de séparer l’authentification et l’identification en deux processus totalement distincts La chaîne de certificats établit l’authenticité de la plate-forme vis-à-vis des tiers sans qu’il soit possible d’identifier la plate-forme ou l’utilisateur spécifique Le tiers a toute latitude pour accorder sa confiance à une plate-forme authentifiée Si le propriétaire de la plate-forme accepte de fournir des données d’identification au tiers, celui-ci est authentifié par la plate-forme sécurisée Tout le processus repose sur un principe de confiance anonyme

51 Évolutions récentes de l’architecture
NGSCB Évolutions récentes de l’architecture

52 Restructurer : Pourquoi ?
NGSCB sera plus exposé aux attaques que n’importe quel logiciel que Microsoft ait jamais écrit Les attaques de NGSCB proviendront de logiciels en mode kernel L’accès aux sources du nexus permettra aux attaquants potentiels de rechercher d’éventuels exploits Microsoft est devenu une cible « naturelle »

53 La restructuration de NGSCB
Réduire le caractère critique des bogues Suivre les critères communs Minimiser au maximum le TCB Développer en couche Nous avons pris conseil auprès d’experts Lipner, Lampson, Aucsmith, … Amélioration de la flexibilité Possibilité de hosting VPC et d’autres architectures de type « machine virtuelle » Amélioration de la flexibilité de la livraison Focaliser la priorité des ressources sur le code critique en terme de sécurité

54 Où nous en étions… Agent TSP Shadow Processes NCAStub NCAStub Shadow
LHS RHS Shadow Processes NCAStub NCAStub Shadow Processes Ring 3 Ring 0 Main OS NexusMgr Drivers Nexus Hardware

55 Où nous en étions en fait…
LHS RHS Agent TSP Shadow Processes NCAStub NCAStub Shadow Processes Ring 3 Ring 0 Main OS NexusMgr Drivers Nexus HW1 HW2 HW3 CPU MEM DEV TPM

56 Introduction d’un Inner Nexus
LHS RHS Agent 1 TSP Word Shadow Processes NCAStub NCAStub Longhorn Shadow Processes Ring 3 Ring 0 Main OS NexusMgr Drivers Outer Nexus Outer Nexus VPC Inner Nexus HW1 HW2 HW3 CPU MEM DEV TPM

57 Applications

58 Applications Gestion du système Applications hautement sécurisées
Amorçage sécurisé Administration Installation, changement de version et gestion de mise à jour Login, gestion des clés / mots de passe, dispositif de chiffrement Contrôle de la santé d’une machine, y compris le contrôle de virus Applications hautement sécurisées Banques, transactions sécurisées Gestion de l’information privée Ressources partagées Kiosques Utilisation d’applications d’entreprise (par les hommes et par les machines)

59 Un scénario en entreprise
Connexion à distance Application Application Presentation Presentation Session Session Transport Transport Network Network Datalink Datalink Physical Physical How VPN can be made more secure Application habituelle d’aujourd’hui : vulnérable VPN : adéquat pour la couche réseau et en dessous ; tout ce qui est au-dessus est vulnérable Application NGSCB : étend la passerelle au-delà de ce que permet le VPN ; maintenant toutes les couches sont protégées

60 Applications Applications collaboratives Contrôle d’accès décentralisé
Jeux multi-joueurs Négociations Enchères Contrôle d’accès décentralisé Web Services Authentification et autorisation inter-domaines DRM Pour l’entreprise Pour la vie privée du consommateur Identité, données relatives à la santé et aux finances personnelles Contenu numérique pour le marché de masse Livres, films, audio, vidéo

61 Collaboration sécurisée
Exemples sécurisé Création et partage sécurité de documents Messagerie instantanée sécurisée Signature numérique sécurisée – « what you see is what you sign » Comment cela fonctionne-t-il ? Utilisation d’une gestion de droits numériques fondée sur la protection par le hardware des secrets pour protéger et contrôler l’accès aux données Utilisation du chemin sécurisé de/vers l’utilisateur afin de le protéger contre l’espionnage ou l’usurpation Utilisation d’un APN pour permettre une sécurisation des messages de bout en bout

62 Signature numérique sécurisée
NOTE : pour faciliter l’explication, ceci n’est pas l’interface véritable

63 En guise de conclusion

64 Résumé (1/2) NGSCB est un environnement d’exécution sécurisé fondé sur de nouvelles propriétés du hardware Les processus NGSCB sont isolés les uns des autres par le hardware Les processus NGSCB peuvent stocker et retrouver les secrets de manière sécurisée (en fonction de leur valeur de hachage) Le nexus fournit un environnement d’exécution et des services de sécurité et de chiffrements aux agents qui sont hébergés Le hardware fournis des services de chiffrement au nexus De même, le nexus fournit ces mêmes services aux agents qui s’exécutent au-dessus de lui

65 Résumé (2/2) NGSCB fournit quatre fonctionnalités clé :
Isolation forte des processus Protection des secrets Chemin sécurisé de et vers l’utilisateur Attestation Les trois premières de ces fonctionnalités permettent de se protéger contre du code malicieux (virus, chevaux de troie, etc.) L’attestation permet de prouver à des entités distantes des faits à propos des logiciels, des utilisateurs, des machines, des services, etc. que ces entités distantes pourront croire en confiance

66 Questions ?

67 Direction Technique et Sécurité
© 2004 Microsoft France Direction Technique et Sécurité

68 NGSCB Ressources

69 Ressources et prochaines étapes
Étudiez le SDK NGSCB fait partie du SDK de Longhorn Demandez à votre fournisseur de matériel et de logiciel quel composant compatible NGSCB il a l’intention de fournir Visitez notre site et lire les livres blancs et spécifications Site Web Microsoft France Livre Blanc FAQ

70 Resources et prochaines étapes
Envoyez vos questions Abonnez-vous à la newsletter d’information Envoyez un mail vide à

Télécharger ppt "NGSCB : Une Introduction"

Présentations similaires

Sécurité informatique

Sécurité informatique
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
PC / Traitement numérique / Contrôle Environnement logiciel

PC / Traitement numérique / Contrôle Environnement logiciel
Module 5 : Implémentation de l'impression

Module 5 : Implémentation de l'impression
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES

ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août 2007 www.cornil.com.

1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
Botnet, défense en profondeur

Botnet, défense en profondeur
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
La Gestion de la Configuration

La Gestion de la Configuration
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Personnalisation des sites SharePoint avec SharePoint Designer 2007

Personnalisation des sites SharePoint avec SharePoint Designer 2007
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Présentation de l’Architecture Windows NT

Présentation de l’Architecture Windows NT
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Cours Présenté par …………..

Cours Présenté par …………..
Systèmes d’exploitation

Systèmes d’exploitation
Bases et Principes de la Virtualisation. Votre infrastructure informatique ressemble-t-elle à cela ? 2.

Bases et Principes de la Virtualisation. Votre infrastructure informatique ressemble-t-elle à cela ? 2.
Sécurité Informatique

Sécurité Informatique
La méthodologie………………………………………………………….. p3 Les résultats

La méthodologie………………………………………………………….. p3 Les résultats

Présentations similaires

Annonces Google