La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Assurer la confidentialité de vos documents Stephane Saunier TSP Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Assurer la confidentialité de vos documents Stephane Saunier TSP Sécurité Microsoft France."— Transcription de la présentation:

1 Assurer la confidentialité de vos documents Stephane Saunier TSP Sécurité Microsoft France

2 La problématique

3 Quelques faits L information numérique est devenu une composante vitale de l entreprise. Elle na de valeur que si elle est utilisée et partagée. La technologie et la mobilité ont énormément étendus le périmètre dusage de cette information. La taille des entreprises ne permet plus de se reposer sur la seule confiance entre collègues. Les erreurs de manipulation sont fréquentes

4 Le département de la justice américaine estimait en 2004 a 250 Millions de dollar le cout de fuites d information en entreprise Perte d avantage complétif La perte d information coute a l entreprise La fuite de certain mails du haut management peuvent être embarrassant. Cela peut générer une perte de crédibilité pour la société et faire descendre les revenus. Dans certain domaine (bancaire et financier par exemple) une perte d information confidentiel peut générer des procès couteux Perte financiere Image & Credibilite Legal

5 Alors que faire ? Peut on utiliser un schéma de protection classique ?

6 Access Control List Accepté Refusé Utilisateurs Fil e Périmètre:Pare-feu Contrôle daccès classique (ACL) Basé sur une protection de périmètre… … contrôle de laccès, et non de lusage

7 Ou basé sur la confiance …

8 Les bases de la DRM Alors que faire ? Peut on utiliser un schéma de protection classique ? … Non Il faudrait pouvoir Définir des droits d utilisations Les rendre solidaire aux données a protéger Rendre les données inaccessibles hors de control d un agent logiciel réglementant l usage. … Il faudrait que tout cela soit transparent

9 DRM / REL

10 Language dexpressions de droit (REL) Chaque « expression de droits » peut spécifier une combinaison de règles telle que : quels droits sont disponible, pour qui, Combien de fois, Pendant quelle période de temps, sous quelles conditions daccès, pour quel montant, à lintérieur de quel territoire, et avec quelles obligations, etc.

11 Les RELs aujourdhui Les langages dexpression de droits sont généralement fondés sur XML On peut considérer quaujourdhui, il existe deux grandes familles de standards publics de REL : celle fondée sur ODRL (Open Digital Rights Languages) celle fondée sur XrML (eXtensible Rights Markup Language) Sans compter les deux « standards propriétaires » que sont AAC/FairPlay dApple (iPod/iTunes) Connect/ATRAC de Sony

12 DRM pour lentreprise et DRM pour les médias Gestion de droits numériques en entreprise (IRM) DRM pour les médias (Windows Media DRM) ContenuEntreprise Documents, , pages web, etc. Commercial content Musique, films, TV, etc. Authentificati on Fondée sur lidentité Fondée sur la machine Politique/Règ les Politique de lentreprise Confidentialité Cycle de vie des documents Conformité Règles business AchatLocationSouscription

13 Que sont RMS et IRM? Rights Management Services (RMS) est une plateforme pour la mise en place de solution de DRM en entreprise telle que décrite précédemment. Supporte le développement de solutions tierces riches au dessus de RMS à laide du Software Development Kit (SDK) RMS IRM est un développement que MS Office a effectué sur le socle RMS.

14 Caractéristiques des droit IRM Définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre dautres actions avec les données (possibilité dutiliser des listes de distribution contenues dans Active Directory) Fixer une date dexpiration sur des messages électroniques ou des documents… … à une date donnée … tous les n jours, en exigeant lacquisition dune nouvelle licence Les droits peuvent s appliquer a l aide de Templates

15 Architecture

16 Les composants RMS Client RMS Lockbox Client API RMS Server Certification Licensing Templates Active Directory Authentication Service Discovery Group Membership SQL Server Configuration data Logging Applications Clientes & Serveurs compatibles RMS

17 Flux de publication RMSAuteurDestinataire Serveur RMS SQL Server Active Directory Lauteur définit un ensemble de droits dutilisation et de règles pour son fichier. lapplication crée une licence de publication (PL) et chiffre le fichier. 3.Lauteur distribue le fichier. 4.Le destinataire ouvre le fichier, lapplication appelle le serveur RMS qui vérifie que lutilisateur est valide (RAC) et fournit une licence dutilisation (UL). 5.Lapplication effectue le rendu du fichier et fait respecter les droits. 1.Lauteur reçoit des certificats (SPC/RAC/CLC) la première fois quil protège des informations. 1

18 Application Lapplication hôte est responsable du respect des droits accordés à lutilisateur. Client RM Le client contient toute la logique pour interagir avec le serveur, pour publier de nouvelles licences et gérer le stockage des licences Architecture côté client Lockbox La lockbox (boîte à clé) contient les clés, réalise les opérations cryptographiques, et fournit des défenses contre les modifications (ex : anti debug)

19 Information protégée a Droits et ayants droits (adresses ) Clé de session Chiffré avec clé publique serveur Licence publication Contenu du fichier (Texte, Images, méta data, etc…) Licences utilisation Clé de session Droits pour l'ayant droit Chiffré avec la clé publique de l'ayant droit Création lors de la protection du fichier Ajouté au fichier lors de l'ouverture par les ayants droits Chiffré avec clé de session, typiquement DES56 ou AES128 (AES128 pour Office 2003) Chiffré avec clé publique serveur Chiffré avec la clé publique de l'ayant droit Les EUL (Outlook 2003) sont stockées sur le disque, et non avec les messages

20 Rendu HTML de documents protégés Entête de document et métadonnées Licence de publication et Licence dutilisation Document chiffré (data stream ou MIME part) Rendu HTML chiffré (data stream ou MIME part) Pied de document Le document est protégé par des droits numériques et un rendu HTML, lui- même protégé, est créé RMA extrait le contenu HTML du fichier au format Office RMA récupère une Licence dutilisation et offre à lutilisateur les droits qui lui ont été accordés. Ne peut pas être utilisé pour éditer le contenu Lutilisateur crée un document Office 2003

21 FonctionnalitéIRM S/MIME signatur e S/MIME chiffrement ACLsEFS Identification de lémetteur Permissions par utililsateur Contrôle de la lecture non autorisée Chiffrement des contenus Expiration temporelle de laccès au contenu Expiration liée à lusage du contenu Contrôle de la possibilité de lire, transmettre, sauvegarder modifier ou imprimer un contenu 1 1 Elargir la protection au delà du périmètre initial de publication Les ACLs peuvent être positionnées sur: modification, écriture ou lecture seule. 2. Pour un fichier copié ou déplacé, le chiffrement EFS est maintenu uniquement si le support de destination est au format NTFS et si le répertoire de destination est identifié comme devant être chiffré. IRM/RMS: solution complémentaire…

22 Ce que IRM ne fait pas… …restreindre lutilisation des MP3 …être à lépreuve du piratage …protéger contre les attaques analogiques

23 Les limites…

24 Installation Utilisation

25 Pré-requis RMS Active Directory Windows 2000 ou Windows 2003 Utilisé pour lauthentification, la gestion des groupes (group expansion), et la découverte des services Windows Server 2003 Toute version (Web, Standard, Enterprise Edition, Datacenter) IIS 6.0, ASP.NET, & MSMQ installés Compatibilité Windows 98, Windows Me, Windows 2000 SP3, Windows XP SP1 ou supérieur

26 Pré-requis RMS (suite) Base de données Pour stocker la configuration, certification, et le logging SQL Server 2000 ou compatible indispensable MSDE supportés en SP1 Applications compatibles RMS Microsoft Office 2003 & le Rights Management Add- On pour Internet Explorer (disponibles) Microsoft Exchange 2003 nest pas indispensable, mais les utilisateurs doivent disposer dune adresse de messagerie

27 1. Installer les services IIS, MSMQ, ASP.NET 2. Installer le serveur RMS 3. Activer le serveur RMS Machines clientes Serveur RMS (configuration simple mono-serveur) Services hébergés par Microsoft Partie publique de la paire de clefs Crée et signe le SLC Server Licensor Certificate (SLC) signé Installation initiale dun environnement RMS Actions administrateur

28 Installation du server

29 Activation du Serveur Serveur RMS MSN Server Enrollment Server 1) Génération Bi Clé 2) requête de Certification clé publique 5) Réponse a la demande de certification 3) Clé public dans SLC Clé privée CA Microsoft 4) Signature du certificat Server Licensor Certificate Certificate

30 HWID hash Rights Account Certificate (RAC) -User Private Key, chiffré avec la clef publique machine -User Public Key 1. Installer les services IIS, MSMQ, ASP.NET 2. Installer le serveur RMS 3. Activer le serveur RMS Machines clientes Serveur RMS (configuration simple mono-serveur) Services hébergés par Microsoft Partie publique de la paire de clefs Crée et signe le SLC Server Licensor Certificate (SLC) signé Installation de la partie cliente RMS Installation dapplications compatibles RMS (e.g. Word, Outlook…) Activation du client RMS Service dactivation Authentification utilisateur & premier usage de RMS Certification: Vérification du SID auprès de AD Crée + log une paire de clefs utilisateur Installation initiale & provisioning dun environnement RMS Demande de CLC (Client Licensor Certificate) RAC Validation du RAC Crée une paire de clefs Cliente Client Licensor Certificate (CLC) -CLC clef privée, chiffré avec la clef publique RAC -CLC Clef publique et copie du SLC Publication ou consommation EN LIGNE Publication HORS ligne Actions administrateur Création dune paire de clefs Machine ( Machine Certificate) Machine certificate Authentication credentials

31 Utilisation

32

33

34

35

36 RMS et SharePoint

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60 RMS Website: RMS Blog: RMS TechNet Virtual Lab: Microsoft Security: Microsoft ITs RMS deployment: mswp.mspx mswp.mspx RMS SDK on MSDN: us/dnanchor/html/rm_sdks_overview.asphttp://msdn.microsoft.com/library/en- us/dnanchor/html/rm_sdks_overview.asp Resources

61 Pour aller plus loin … Hands-on Lab JMS 2006 Rights Management Services (RMS) Vous permettre de tester l installation, l utilisation de la solution sur des machines virtuelles

62 Microsoft France 18, avenue du Québec Courtaboeuf Cedex

63 Document / Message Droits (XrmL) Contenu Chiffre API RMS Client SOAP sur SSL IIS + ASP.NET IE Extension RMA Applicatif IRM IE Office 2003 Pro Web Service RMS Certification Administration Licensing Doc Chiffre + License de publication Doc Déchiffré + License d utilisation Détection Protection DRM Client RMS AD Authentification Logging – Séquestre clés Serveur RMS SQL Obtention licences Certification Client CLCSPCRAC

64 Certificat machine Chaîne de certification 4 certificats dans le fichier CERT- Machine.drm « Machine » Machine Activation Server Microsoft DRM Production Machine Activation Server CA Microsoft DRM Production CA Microsoft DRM Production Root Microsoft Machine-Unique-Identifier Machine-Certificate Clé 512 https://activation.drm.microsoft.com https://activation.drm.microsoft.com MS-DRM-Server Server-Licensor-Certificate Clé 1024, RIGHT=Issue https://activation.drm.microsoft.com https://activation.drm.microsoft.com DRM-Certificate-Authority DRM-CA-Certificate Clé 1024, RIGHT=Issue DRM-Certificate-Authority DRM-CA-Certificate Clé 2048, RIGHT=Issue DRM-Certificate- Authority Clé 2048

65 Certificat utilisateur - RAC Chaîne de certification 5 certificats dans le fichier GIC-xxx.drm « Machine » Machine Activation Server Microsoft DRM Production Machine Activation Server CA Group-Identity Group-Identity-Credential Clé 1024 https://certification.drm.microsoft.com https://certification.drm.microsoft.com MS-DRM-Server Server-Licensor-Certificate Clé 1024, RIGHT=Issue https://certification.drm.microsoft.com https://certification.drm.microsoft.com DRM-Certificate-Authority DRM-CA-Certificate Clé 1024, RIGHT=Issue Microsoft DRM Production CA Microsoft DRM Production Root DRM-Certificate- Authority Clé 2048 DRM-Certificate-Authority DRM-CA-Certificate Clé 2048, RIGHT=Issue Microsoft DRM Server Enrollment Service Microsoft DRM Production Server Enrollment CA CorpRights https://corprights/_wmcs/Certification https://corprights/_wmcs/Certification https://corprights.microsoft.com/_wmcs/Certification MS-DRM-Server Server-Licensor-Certificate Clé 1024, RIGHT=Issue https://corprights/_wmcs/Certification https://corprights.microsoft.com/_wmcs/Certification https://corprights/_wmcs/Certification microsoft.com Microsoft

66 Vision en profondeur

67 How does RMS work?

68

69 2.L application fait un appel au Client RMS pour créer une nouvelle session 1.Lutilisateur tente de publier ou consommer un contenu

70 2.L application fait un appel au Client RMS pour créer une nouvelle session Activation de la machine 3.Le Client RMS commence sa procédure dinitialisation…

71 Activation de la machine a.Le client RMS génère une paire de clés RSA 1024-bit b.La clé privée est sécurisée par les Crypto APIs. c.La clé publique est stockée dans le security processor certificate (SPC) d.Le SPC est signe par le client RMS

72 Activation de la machine a.Le client RMS génère une paire de clés RSA 1024-bit b.La clé privée est sécurisée par les Crypto APIs. c.La clé publique est stockée dans le security processor certificate (SPC) d.Le SPC est signe par le client RMS

73 SPC Certification du compte

74 SPC a.RMS Client initie une demande de certification au RMS Server en envoyant le SPC b.L utilisateur est authentifié DOMAIN\username SID d.Ladresse est récupérée de lAD DOMAIN\username SID e.Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS SID Certification du compte SPC c.Le server valide le SPC

75 Certification du compte SPC f.La clé privée de l utilisateur est chiffrée avec la clé publique de la machine DOMAIN\username SID a.RMS Client initie une demande de certification au RMS Server en envoyant le SPC b.L utilisateur est authentifié d.Ladresse est récupérée de lAD e.Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS c.Le server valide le SPC

76 RAC Certification du compte SPC g.Le RAC est crée, l de lutilisateur et la clé publique y sont ajoute h.Le server signes le RAC f. La clé privée de l utilisateur est chiffrée avec la clé publique de la machine DOMAIN\username SID

77 SPC RAC Certification du compte i.RAC est retourné au client Lutilisateur a maintenant un RAC quil peut utiliser pour consommer du contenu Pour publier, lutilisateur a encore besoin d un Client Licensor Certificate (CLC). g.Le RAC est crée, l de lutilisateur et la clé publique y sont ajoute h.Le server signes le RAC f. La clé privée de l utilisateur est chiffrée avec la clé publique de la machine

78 RAC Enrôlement du client a.Le Client RMS contacte le serveur pour s enrôler en fournissant son RAC c.Il génère une paire de clé RSA 1024-bit pour la CLC d.La clé privée est chiffrée avec la clé publique du RAC SPCRAC b.Le serveur valide le RAC

79 CLC RAC Enrôlement du client e.La CLC est crée permettant a l utilisateur de publier de linformation SPCRAC f.Des informations serveurs telles que l URL et la clé publique du serveur sont ajoutées a la CLC a.Le Client RMS contacte le serveur pour s enrôler en fournissant son RAC c.Il génère une paire de clé RSA 1024-bit pour la CLC d.La clé privée est chiffrée avec la clé publique du RAC b.Le serveur valide le RAC

80 CLC Enrôlement du client g.Le serveur signe la CLC SPCRAC CLC h.La CLC est retournée au client Le client est maintenant prêt a publier et consommer du contenu. f.Des informations serveurs telles que l URL et la clé publique du serveur sont ajoutées a la CLC

81 Publication a.Lutilisateur crée du contenu avec une application compatible RMS. c.L application appelle la couche RMS cliente pour publication. b.L utilisateur précise le destinataire, les droits et les condition de publication. read, print expire après 30 jours. CLCSPCRAC

82 c.Lapplication appelle la couche RMS cliente pour publication. PLPublication read, print expire après 30 jours. d.RMS Client génère une clés de chiffrement 128-bit AES. e.… chiffre le contenu. f.Puis crée une licence de publication (PL) CLCSPCRAC

83 CLCSPCRAC f.Puis crée une licence de publication (PL) PLPublication g.Les droits et la clé de chiffrement sont chiffrés par la clé publique du serveur inclue dans la CLC read, print expire apres 30 jours h.LURL du serveur est ajoutée a la PL i.La PL est signée par la CLC. read, print expire après 30 jours

84 Publication i.La PL est signée par la CLC J. Le client retourne la PL a lapplication. k.Lapplication peut maintenant combiner la PL avec le contenu. PL read, print expire apres 30 jours PL read, print expire apres 30 jours La contenu peut maintenant être distribué. CLCSPCRAC

85 Le contenu peut maintenant être distribuée CLCSPCRACPublication PL read, print expires 30 days Le document est distribue aux destinataires comme nimporte quel document. Imaginons que la machine du destinataire est déjà initialisée. Le destinataire a besoin dune licence pour accéder au document. CLCSPCRAC

86 a.Le destinataire ouvre le document dans une application compatible RMS. Acquisition de licence b.Lapplication appel la couche RMS Client pour obtenir une licence d utilisation. PL read, print expires 30 days c.RMS Client envoie la PL et la RAC au serveur RMS. RAC d.Le serveur valides la RAC et la PL e.Les données de la PL sont déchiffrée. PL read, print expires 30 days read, print expires 30 days CLCSPCRAC

87 UL read, print expires 30 days Acquisition de licence f.Si le contenu a été publie pour un group, le serveur vérifie l adhérence au groupe dans lAD. PL read, print expires 30 days g.Si l identité dans la RAC correspond a la PL, le serveur commence a construire une licence d utilisation. e.Les données de la PL sont déchiffrées. h.Les droits sont écrit dans l UL. CLCSPCRAC read, print expires 30 days read, print expire après 30 jours read, print expire après 30 jours

88 RAC UL read, print expires 30 days Acquisition de licence i.La clé de chiffrement du contenu est chiffre par la RAC. PL read, print expires 30 days j.Puis ajoute a lUL h.Les droits sont écrit dans lUL j.LUL est retournée au client k.LUL est signée par le serveur CLCSPCRAC

89 Acquisition de licence PL read, print expires 30 days CLCSPCRAC Le destinataire peut maintenant consommer le contenu UL read, print expires 30 days i.La clé de chiffrement du contenu est chiffre par la RAC. j.Puis ajoute a lUL h.Les droits sont écrit dans lUL j.LUL est retournée au client k.LUL est signée par le serveur

90 UL read, print expires 30 days Access au contenu PL read, print expires 30 days SPCRACCLC SPCUL read, print expires 30 days RAC

91 Access au contenu SPCUL read, print expire apres 30 jours RAC b.RMS Client utilise le certificat du security processor pour déchiffrer la clé privée du RAC. a.Lapplication appel la couche RMS Client pour déchiffrer le contenu. c.La clé privée du RAC déchiffre la clé de chiffrement du contenu.

92 Access au contenu SPCUL read, print expire apres 30 jours RAC d.Le client RMS déchiffre le contenu. c.La clé privée du RAC déchiffre la clé de chiffrement du contenu. e.Lapplication affiche le contenu et applique les restrictions associée au document.


Télécharger ppt "Assurer la confidentialité de vos documents Stephane Saunier TSP Sécurité Microsoft France."

Présentations similaires


Annonces Google