La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

25 Octobre 2002 - ICare – Atelier Sécurité RNRT Toulouse Page 1 R.Molva - Institut Eurécom Projet RNRT ICare: Services évolués de signature et de contrôle.

Présentations similaires


Présentation au sujet: "25 Octobre 2002 - ICare – Atelier Sécurité RNRT Toulouse Page 1 R.Molva - Institut Eurécom Projet RNRT ICare: Services évolués de signature et de contrôle."— Transcription de la présentation:

1 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 1 R.Molva - Institut Eurécom Projet RNRT ICare: Services évolués de signature et de contrôle d'accès basés sur de nouveaux concepts de certificats et de contrôle d'accès basés sur de nouveaux concepts de certificats Refik Molva Institut EURECOM Octobre 2002

2 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 2 R.Molva - Institut Eurécom Partenaires du Projet l Thales Communications (responsable du projet) l CEA - LETI l Cabinet davocats A. Bertrand l ENST Paris l Institut Eurécom l Université de Technologie de Compiègne l Ecole des Mines dAlès

3 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 3 R.Molva - Institut Eurécom Axes du Projet Expérimentation l Infrastructure de Clés Publiques (ICP) l Choix du logiciel et déploiement Recherche et Développement l Contrôle daccès distribué l Services de signature l Certificats dattributs Etudes et Méthodologie l Etude des Usages l Critères de certification l Législation

4 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 4 R.Molva - Institut Eurécom Expérimentation Choix logiciel l solution open source IDX-PKI (IdealX) l solution propriétaire UniCert (Baltimore) Déploiement au sein du consortium l Communautés académiques (ENST, EMA, Eurécom) et industrielle (Thalès) l Test dinteropérabilité / applications URL PKI Icare: https://icaresrv.eurecom.fr/ https:// /EEhttps://icaresrv.eurecom.fr/ https:// /EE

5 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 5 R.Molva - Institut Eurécom Etude Usages Sites non équipés : l 2 écoles (14 et 7 entretiens avec grille et observations) Sites équipés en PKI (avec grille et observations): l une grande entreprise en phase pilote (8 entretiens) l un réseau logiciel libre utilisateur courant (4 entretiens plus observation participante) l une entreprise de solution de sécurité (1 entretien)

6 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 6 R.Molva - Institut Eurécom Etude Usages - Conclusions Sécurité suffisante Langage obscur Tolérance pour une déviance normale Etat actuel Formalismes stricts Garanties absolues (biométrie, Etat) Impossible Solution Viser larges populations (non-limitées aux informaticiens) Tolérance négociée – espaces de régulation Partir des applicatifs Ergonomie basée sur ontologies ordinaires Délégation entre Autorités distribuées – Modes et Principes

7 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 7 R.Molva - Institut Eurécom Axe R&D Limitations de lICP basé sur les certificats didentité X509 : absence support pour le contrôle daccès complexité et codage inadéquat (DN, ASN.1) Solutions : Certificats dattributs Codage XML

8 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 8 R.Molva - Institut Eurécom Certificat dattributs DroitsClé publique Nom Certificat dattributs Certificat didentité (X.509) Certificat dautorisation (SPKI) ICare Nom Attributs Signature de lAutorité Nom KP Signature de lAutorité KP Attributs Signature de lAutorité

9 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 9 R.Molva - Institut Eurécom Certificats dAttributs - Applications Certificat dattribut Contrôle daccès Services évolués de Signature Gestion didentités

10 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 10 R.Molva - Institut Eurécom Architecture Autorité pour les Attributs Ressource Certificat Racine Certificat dAttributs Requête Certificat Racine Délégation AA Origine de lautorité (SoA) Demandeur Vérificateur Certificat dAttributs: privilèges Certificat dAttributs: privilèges AA Certificat dAttributs: policy Web browser Web server

11 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 11 R.Molva - Institut Eurécom Certificats dAttributs Choix du format Lien avec certificat didentité Intégration dans lICP Intégration avec logiciels applicatifs

12 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 12 R.Molva - Institut Eurécom Certificat dattributs en XML AttributeCertificate Content 1 algorithm Signature 1 version type version type CertificateInfo 1 CertificateReference Issuer 1 CertificateReference PublicKey CertificateReference PublicKey Subject 1 name resource validity name resource validity Attribute + depth Delegation 1 Lien avec un certificat X.509 ou un Certificat dattribut Privilège ou rôle

13 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 13 R.Molva - Institut Eurécom Accounting Project Formulaires HTTP: Script CGI Grammaires DTD: Nom de la grammaire Validation du fichier xml Fichier XML:

14 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 14 R.Molva - Institut Eurécom APIs Développement ICARE Librairies OpenSource ou Commerciales Integration dans des produits existantes API XMLAPI Crypto ICARE API de BASE (objet certificat dattribut et sa gestion, communications, etc.) API Autorité de Certificat dAttributs Interface API Demandeur / Verificateur Interface Logiciel client (browser web…) Outils de gestion (définition de rôles, des politiques dacces…) API Signature Interface Logiciel (serveur web) API Database Control daccès Logiciel client (browser web…) SignatureAdministration

15 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 15 R.Molva - Institut Eurécom Etat de lart X.509 l ASN1 XML l Compatibilité avec les Technologies Internet l ICP(PKI) non-indispensable l délégation et autorisation sans identification (SPKI) XACML l Orienté Politique de C. A. SAML l Format déchange

16 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 16 R.Molva - Institut Eurécom Application : Multisignature signature Certificat dattribut Qui doit signer (Vincent, Marc et Carl) Dans quel ordre Politique de signature (accepter un certificat dhabilitation) Vincent signature Vincent signature Vincent Marc secrétaire Carl secrétair e Secrétaire signature Vincent Marc

17 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 17 R.Molva - Institut Eurécom Multisignature Variante XAdES-C + Certificat dattributs SignedInfo General bundle Object Attribute Certificate SignaturePacket SignedInfoSignature TSP SignatureInfo SignatureKeyInfo Certificate and CRL Reference SignedObjects SignaturePath

18 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 18 R.Molva - Institut Eurécom Soutien pour lévaluation CC Former / Sensibiliser aux pré-requis sécuritaires CC Identifier l les Profils de Protection l les exigences liées au développement l fournitures et éléments de preuves nécessaires pour une certification Définir la cible dévaluation pour le projet ICare Lister les recommandations pour une évaluation CC

19 25 Octobre ICare – Atelier Sécurité RNRT Toulouse Page 19 R.Molva - Institut Eurécom Conclusion Expérimentation PKI et Usages Introduction par Processus Itératif R&D sur Certificats dAttributs et Services Avancés l Développement en cours l Niveau comparable aux activités W3C, ETSI l Publications en cours Précompétitif: Start-up(s)


Télécharger ppt "25 Octobre 2002 - ICare – Atelier Sécurité RNRT Toulouse Page 1 R.Molva - Institut Eurécom Projet RNRT ICare: Services évolués de signature et de contrôle."

Présentations similaires


Annonces Google