La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Projet RNRT ICare: Services évolués de signature

Présentations similaires


Présentation au sujet: "Projet RNRT ICare: Services évolués de signature"— Transcription de la présentation:

1 Projet RNRT ICare: Services évolués de signature
et de contrôle d'accès basés sur de nouveaux concepts de certificats Refik Molva Institut EURECOM Octobre 2002 R.Molva - Institut Eurécom 1 1 1

2 Partenaires du Projet Thales Communications (responsable du projet)
CEA - LETI Cabinet d’avocats A. Bertrand ENST Paris Institut Eurécom Université de Technologie de Compiègne Ecole des Mines d’Alès R.Molva - Institut Eurécom

3 Axes du Projet Expérimentation Recherche et Développement
Infrastructure de Clés Publiques (ICP) Choix du logiciel et déploiement Recherche et Développement Contrôle d’accès distribué Services de signature Certificats d’attributs Etudes et Méthodologie Etude des Usages Critères de certification Législation R.Molva - Institut Eurécom

4 Expérimentation Choix logiciel Déploiement au sein du consortium
solution open source IDX-PKI (IdealX) solution propriétaire UniCert (Baltimore) Déploiement au sein du consortium Communautés académiques (ENST, EMA, Eurécom) et industrielle (Thalès) Test d’interopérabilité / applications URL PKI Icare: https://icaresrv.eurecom.fr/ https:// /EE R.Molva - Institut Eurécom

5 Etude Usages Sites non équipés :
2 écoles (14 et 7 entretiens avec grille et observations) Sites équipés en PKI (avec grille et observations): une grande entreprise en phase pilote (8 entretiens) un réseau logiciel libre utilisateur courant (4 entretiens plus observation participante) une entreprise de solution de sécurité (1 entretien) R.Molva - Institut Eurécom

6 Etude Usages - Conclusions
Etat actuel Sécurité suffisante Langage obscur Tolérance pour une déviance “normale” Impossible Garanties absolues (biométrie, Etat) Formalismes stricts Solution Viser larges populations (non-limitées aux informaticiens) Tolérance négociée – espaces de régulation Partir des applicatifs Ergonomie basée sur ontologies ordinaires Délégation entre Autorités distribuées – Modes et Principes R.Molva - Institut Eurécom

7 Axe R&D Limitations de l’ICP basé sur les certificats d’identité X509 : absence support pour le contrôle d’accès complexité et codage inadéquat (DN, ASN.1) Solutions : Certificats d’attributs Codage XML R.Molva - Institut Eurécom

8 Certificat d’attributs
KP Attributs Signature de l’Autorité Droits Clé publique Certificat d’autorisation (SPKI) Certificat d’identité (X.509) Certificat d’attributs ICare Nom Attributs Signature de l’Autorité Nom KP Signature de l’Autorité Nom R.Molva - Institut Eurécom

9 Certificats d’Attributs - Applications
Certificat d’attribut Contrôle d’accès Services évolués de Signature Gestion d’identités R.Molva - Institut Eurécom

10 Architecture AA Autorité pour les Attributs Origine de l’autorité
(SoA) Certificat Racine Certificat d’Attributs AA Certificat d’Attributs: privilèges AA Certificat d’Attributs: policy Ressource Délégation Certificat Racine Certificat d’Attributs: privilèges Demandeur Requête Vérificateur Web server Web browser R.Molva - Institut Eurécom

11 Certificats d’Attributs
Choix du format Lien avec certificat d’identité Intégration dans l’ICP Intégration avec logiciels applicatifs R.Molva - Institut Eurécom

12 Certificat d’attributs en XML
CertificateReference Issuer 1 CertificateReference PublicKey Subject 1 depth Delegation 1 name resource validity Attribute + Privilège ou rôle Lien avec un certificat X.509 ou un Certificat d’attribut Content 1 algorithm Signature 1 version type CertificateInfo 1 AttributeCertificate R.Molva - Institut Eurécom

13 Validation du fichier xml
Accounting <Name> <Organization Unit > <Office> <Phone> Project <Project Name> <Organization> <Organization Unit> <Project Manager> Formulaires HTTP: Script CGI Grammaires DTD: Nom de la grammaire Validation du fichier xml Fichier XML: <xml…. <compta> <name> … </name> <organization unit> … </organization unit> <office> … </office> <phone> … </phone> </compta> </xml> <project> <project name> … </project name> <organization> … </organization> <organization unit> … </organization unit> <project manager> … </project manager> </project> Compatabilite R.Molva - Institut Eurécom

14 APIs Administration Control d’accès Signature
Logiciel client (browser web…) Logiciel client (browser web…) Logiciel (serveur web) Développement ICARE Librairies OpenSource ou Commerciales Integration dans des produits existantes Interface Outils de gestion (définition de rôles, des politiques d’acces…) Interface Interface API Autorité de Certificat d’Attributs API Demandeur / Verificateur API Signature ICARE API de BASE (objet certificat d’attribut et sa gestion, communications, etc.) API XML API Crypto API Database R.Molva - Institut Eurécom

15 Etat de l’art X.509 XACML SAML ASN1  XML Orienté Politique de C. A.
Compatibilité avec les Technologies Internet ICP(PKI) non-indispensable délégation et autorisation sans identification (SPKI) XACML Orienté Politique de C. A. SAML Format d’échange R.Molva - Institut Eurécom

16 Application : Multisignature
Carl secrétaire Secrétaire signature Certificat d’attribut Qui doit signer (Vincent, Marc et Carl) Dans quel ordre Politique de signature (accepter un certificat d’habilitation) Vincent signature signature Vincent Marc Carl signature Vincent Marc secrétaire R.Molva - Institut Eurécom

17 Multisignature Variante XAdES-C + Certificat d’attributs SignedInfo
General bundle Object Attribute Certificate SignaturePacket Signature TSP SignatureInfo Signature KeyInfo Certificate and CRL Reference SignedObjects SignaturePath R.Molva - Institut Eurécom

18 Soutien pour l’évaluation CC
Former / Sensibiliser aux pré-requis sécuritaires CC Identifier les Profils de Protection les exigences liées au développement fournitures et éléments de preuves nécessaires pour une certification Définir la cible d’évaluation pour le projet ICare Lister les recommandations pour une évaluation CC R.Molva - Institut Eurécom

19 Conclusion Expérimentation PKI et Usages
Introduction par Processus Itératif R&D sur Certificats d’Attributs et Services Avancés Développement en cours Niveau comparable aux activités W3C, ETSI Publications en cours Précompétitif: Start-up(s) R.Molva - Institut Eurécom


Télécharger ppt "Projet RNRT ICare: Services évolués de signature"

Présentations similaires


Annonces Google