La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Messagerie sécurisée avec S/MIME Jean-Yves Poublan Microsoft France.

Présentations similaires


Présentation au sujet: "Messagerie sécurisée avec S/MIME Jean-Yves Poublan Microsoft France."— Transcription de la présentation:

1 Messagerie sécurisée avec S/MIME Jean-Yves Poublan Microsoft France

2 Agenda Principes S/MIME Principes S/MIME Utilisation dOffice Outlook, Outlook Express, OWA… Utilisation dOffice Outlook, Outlook Express, OWA… Interopérabilité Interopérabilité Récupération des clés Récupération des clés Questions/réponses Questions/réponses

3 3 Standard S/MIME Secure MIME Secure MIME Version 2 (1998) - RFC 2311, RFC 2312 Version 2 (1998) - RFC 2311, RFC 2312 Signed message Signed message Opaque signed message Opaque signed message Encrypted message Encrypted message Version 3 (1999) - RFC 2632, RFC 2633 Version 3 (1999) - RFC 2632, RFC 2633 Support DSS/DH Support DSS/DH Dual key (extension Key Usage) Dual key (extension Key Usage) Security Labels et Signed Receipts (RFC 2634) Security Labels et Signed Receipts (RFC 2634) Triple Wrapping Triple Wrapping Algorithmes Algorithmes RSA, DSS, DH RSA, DSS, DH SHA1, MD5, RC2, DES, 3DES SHA1, MD5, RC2, DES, 3DES S/MIME sinscrit dans une logique PKI S/MIME sinscrit dans une logique PKI Certificats X509v3, RFC 2459/3280 Certificats X509v3, RFC 2459/3280 PKCS#1,7,8,10,12, CMS, CMC (Certificate Management Protocol over CMS) PKCS#1,7,8,10,12, CMS, CMC (Certificate Management Protocol over CMS)

4 4 Standard S/MIME Corps MIME Content-Type application/pkcs7-mime Content-Type multipart/signed smime-type enveloped-data pkcs#7/CMS Base 64 smime.p7m smime-type signed-data pkcs#7/CMS Base 64 smime.p7m Texte en clair… Signature détachée pkcs#7/CMS Base 64 smime.p7s Content-Type text/plain Content-Type application/pkcs7-signature Corps MIME Message opaque Message clair Message chiffré ou signé/chiffré Nécessite client S/MIME Message signé Les entêtes RFC 822 (e.g. objet du message) ne sont pas protégées (ni signature, ni confidentialité). Les pièces jointes elles sont protégées.

5 5 S/MIME message chiffré To: "Bill" Subject: message chiffre Date: Sun, 26 Feb :30: MIME-Version: 1.0 Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7m rfvbnj756tbBghyHhHUujhJhjH77n8HHGT9HG4VQpfyF467GhIGfHfYT6 7n8HHGghyHhHUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H f8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfyF4 0GhIGfHfQbnj756YT64V

6 6 S/MIME signature opaque Content-Type: application/pkcs7-mime; smime-type=signed-data; name=smime.p7m Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7m 567GhIGfHfYT6ghyHhHUujpfyF4f8HHGTrfvhJhjH776tbB9HG4VQbnj7 77n8HHGT9HG4VQpfyF467GhIGfHfYT6rfvbnj756tbBghyHhHUujhJhjH HUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H7n8HHGghyHh 6YT64V0GhIGfHfQbnj75

7 7 S/MIME signature en clair Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; boundary=boundary42 --boundary42 Content-Type: text/plain This is a clear-signed message. --boundary42 Content-Type: application/pkcs7-signature; name=smime.p7s Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7s ghyHhHUujhJhjH77n8HHGTrfvbnj756tbB9HG4VQpfyF467GhIGfHfYT6 4VQpfyF467GhIGfHfYT6jH77n8HHGghyHhHUujhJh756tbB9HGTrfvbnj n8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfyF4 7GhIGfHfYT64VQbnj756 --boundary42--

8 8 Versions actuelles « S/MIME capable » Office Outlook 2003 SP1 (Office 11) – Office 12 Office Outlook 2003 SP1 (Office 11) – Office 12 Outlook Express 6 (Windows XP SP2) - Windows Mail (Vista) Outlook Express 6 (Windows XP SP2) - Windows Mail (Vista) Exchange 2003 SP2 – OWA Exchange 2003 SP2 – OWA Contrôle ActiveX S/MIME pour OWA Contrôle ActiveX S/MIME pour OWA Pocket Outlook Windows Mobile 5.0 (OS Windows CE 5.0) Pocket Outlook Windows Mobile 5.0 (OS Windows CE 5.0) Ces clients de messagerie se veulent conformes au standard S/MIME V3 à partir de: Ces clients de messagerie se veulent conformes au standard S/MIME V3 à partir de: Outlook 2000 SR1 Outlook 2000 SR1 Outlook Express 5.01 Outlook Express 5.01 Contrôle ActiveX S/MIME pour OWA (Exchange 2003) Contrôle ActiveX S/MIME pour OWA (Exchange 2003) Historique Historique Office 2000 – Outlook 2000, Outlook 2000 SR1 – Version 9 Office 2000 – Outlook 2000, Outlook 2000 SR1 – Version 9 Office 2002 – Outlook XP – Version 10 Office 2002 – Outlook XP – Version 10 Office 2003 – Outlook 2003 – Version 11 Office 2003 – Outlook 2003 – Version 11 Outlook Express 5.0, 5.01, 5.5 Outlook Express 5.0, 5.01, 5.5 Outlook Express 6.0 (Windows XP) Outlook Express 6.0 (Windows XP) Versions clients messagerie Nouveau

9 9 Historique Historique Exchange Server 5.0/Outlook 97 Exchange Server 5.0/Outlook 97 Advanced Security - Northern Telecom, Inc.'s Entrust Technologies Advanced Security - Northern Telecom, Inc.'s Entrust Technologies Gestion des clés et des certificats par KMS (séquestre) Gestion des clés et des certificats par KMS (séquestre) Certificats X509v1 – publication annuaire Exchange Certificats X509v1 – publication annuaire Exchange Chiffrement/signature messages clé publique avec CAST3 ou DES/MD5, et RSA Chiffrement/signature messages clé publique avec CAST3 ou DES/MD5, et RSA Utilise ses propres CSPs Utilise ses propres CSPs Exchange Server 5.5/Outlook 98 Exchange Server 5.5/Outlook 98 Support S/MIME v2 Support S/MIME v2 Gestion des clés par KMS (séquestre) Gestion des clés par KMS (séquestre) Protocole denrôlement (KMS) Protocole denrôlement (KMS) Sappuie sur Certificate Server pour la gestion des certificats Sappuie sur Certificate Server pour la gestion des certificats Certificats X509v3 – publication annuaire Exchange Certificats X509v3 – publication annuaire Exchange Sappuie sur les CSP de la plateforme Sappuie sur les CSP de la plateforme Exchange Server 2000 Exchange Server 2000 Annuaire dActive Directory Annuaire dActive Directory Gestion des clés par KMS (séquestre) Gestion des clés par KMS (séquestre) Certificate Server publie les certificats dans Active Directory Certificate Server publie les certificats dans Active Directory Templates ExchangeUser ExchagneUserSigning Templates ExchangeUser ExchagneUserSigning Exchange Server 2003 Exchange Server 2003 Nest pas impliqué dans la partie PKI, sauf validation certificats OWA Nest pas impliqué dans la partie PKI, sauf validation certificats OWA Pas de KMS, pas de protocole denrôlement Pas de KMS, pas de protocole denrôlement Messagerie sécurisée S/MIME Rôle serveur décroissant concernant la PKI

10 10 Messagerie sécurisée S/MIME Essentiellement une fonction du client Essentiellement une fonction du client Client MAPI (Office Outlook) Client MAPI (Office Outlook) Clients POP3/IMAP4 – Outlook Express, autres… Clients POP3/IMAP4 – Outlook Express, autres… Le serveur Exchange assure Le serveur Exchange assure Transport/stockage des messages S/MIME Transport/stockage des messages S/MIME Recherche et validation des certificats des correspondants pour OWA Recherche et validation des certificats des correspondants pour OWA Paramétrage du contrôle S/MIME pour OWA (entrées registre) Paramétrage du contrôle S/MIME pour OWA (entrées registre) SmartCardOnly, AlwaysSign, AlwaysEncrypt, ClearSign, defaultSigningAlgorithm, TripleWrap, EncryptionAlgorithms SmartCardOnly, AlwaysSign, AlwaysEncrypt, ClearSign, defaultSigningAlgorithm, TripleWrap, EncryptionAlgorithms Programmes « serveur » pouvant être affectés par S/MIME Programmes « serveur » pouvant être affectés par S/MIME Event Sink – altération de messages peut invalider la signature Event Sink – altération de messages peut invalider la signature Scanners anti-virus Scanners anti-virus A partir de Exchange Server 2003 SP1: Virus Scanning API 2.5 permet au scanner daccéder aux messages signés S/MIME sans avoir à les décoder A partir de Exchange Server 2003 SP1: Virus Scanning API 2.5 permet au scanner daccéder aux messages signés S/MIME sans avoir à les décoder Chiffrement est incompatible avec les anti-virus Chiffrement est incompatible avec les anti-virus

11 11 Le serveur Exchange: un rôle décroissant? Pour la gestion des clés et de linfrastructure PKI peut- être… Pour la gestion des clés et de linfrastructure PKI peut- être… Mais pas pour la messagerie sécurisée! Mais pas pour la messagerie sécurisée! OWA OWA Biztalk Biztalk Messagerie sécurisée Gateway Messagerie sécurisée Gateway Server Exchange 12 (Fonction Edge) Server Exchange 12 (Fonction Edge) Chiffrement/authentification serveur à serveur Chiffrement/authentification serveur à serveur

12 12 Attributs stockage certificats LDAP (InetOrgPerson – RFC 2798), Active Directory (User Object) userCertificate userCertificate Encodage DER Encodage DER Attribut utilisée par la CA Windows pour publier les certificats Attribut utilisée par la CA Windows pour publier les certificats User and Computers – Published Certificates User and Computers – Published Certificates Attribut préféré pour intégration S/MIME avec une PKI dentreprise Attribut préféré pour intégration S/MIME avec une PKI dentreprise userSMIMECertificate userSMIMECertificate Format PKCS#7 Format PKCS#7 Prévu pour S/MIME en dehors dune infrastructure PKI dentreprise Prévu pour S/MIME en dehors dune infrastructure PKI dentreprise Stocke la chaine complète (sauf racine) et capabilities Stocke la chaine complète (sauf racine) et capabilities Permet un fonctionnement hors AIA Permet un fonctionnement hors AIA Non accessible par les outils dadmin AD ou la MMC certificates Non accessible par les outils dadmin AD ou la MMC certificates Par défaut non présent dans Active Directory global cache Par défaut non présent dans Active Directory global cache

13 13 Office Outlook 2003 Recherche dun certificat S/MIME de chiffrement Correspondant Global Address List Correspondant Global Address List Dans Active Directory user object Dans Active Directory user object Dans Offline Address Book Dans Offline Address Book C:\Documents and Settings\jeanypo\Local Settings\Application Data\Microsoft\Outlook C:\Documents and Settings\jeanypo\Local Settings\Application Data\Microsoft\Outlook Correspondant Contacts Correspondant Contacts Dans la fiche du contact Dans la fiche du contact Correspondant annuaire LDAP Correspondant annuaire LDAP Dans annuaire LDAP Dans annuaire LDAP Attributs (dans cet ordre) Attributs (dans cet ordre) userSMIMECertificate userSMIMECertificate Format PKCS#7 Format PKCS#7 Eventuellement capacités S/MIME (SMIMECapabilities ) Eventuellement capacités S/MIME (SMIMECapabilities ) Attribut signé par la clé privée du titulaire du certificat Attribut signé par la clé privée du titulaire du certificat userCertificate userCertificate Format encodage DER Format encodage DER AD Users and Computer onglet Published Certificates AD Users and Computer onglet Published Certificates

14 14 Office Outlook 2003 Get Digital ID Get Digital ID Pointe sur une page Web denrôlement Pointe sur une page Web denrôlement Typiquement, les certificats obtenus sont stockés dans le magasin personnel (voir xenroll MSDN) Typiquement, les certificats obtenus sont stockés dans le magasin personnel (voir xenroll MSDN) Peut se désactiver ou se customiser Peut se désactiver ou se customiser Microsoft Office 2003 Editions Resource Kit (http://go.microsoft.com/fwlink/?LinkId=21757) Microsoft Office 2003 Editions Resource Kit (http://go.microsoft.com/fwlink/?LinkId=21757)http://go.microsoft.com/fwlink/?LinkId=21757 Publish to GAL Publish to GAL Publication des certificats S/MIME du magasin personnel vers Active Directory Publication des certificats S/MIME du magasin personnel vers Active Directory Attribut userSMIMECertificate Attribut userSMIMECertificate Format PKCS#7 – inclut la chaine (sauf racine)? Format PKCS#7 – inclut la chaine (sauf racine)? Permet un fonctionnement hors AIA Permet un fonctionnement hors AIA Publie les capacités S/MIME (SMIMECapabilities ) Publie les capacités S/MIME (SMIMECapabilities ) Attribut signé par la clé privée de lutilisateur Attribut signé par la clé privée de lutilisateur Déduites du CSP hébergeant la clé du certificat Déduites du CSP hébergeant la clé du certificat Attribut userCertificate Attribut userCertificate Format encodage DER Format encodage DER Peut se désactiver Peut se désactiver A faire dans un environnement PKI dentreprise pour lequel lutilisateur ne gère pas ses certificats A faire dans un environnement PKI dentreprise pour lequel lutilisateur ne gère pas ses certificats E.g. PKI Windows Active Directory (AC Certificate Services en mode Enterprise) E.g. PKI Windows Active Directory (AC Certificate Services en mode Enterprise)

15 15 Outlook Express Recherche dun certificat S/MIME de chiffrement Correspondant Windows Address Book Correspondant Windows Address Book Dans la fiche du contact Dans la fiche du contact Contient les capacités S/MIME Contient les capacités S/MIME Obtenues depuis un message signé (SMIMECapabilities) Obtenues depuis un message signé (SMIMECapabilities) Correspondant annuaire LDAP Correspondant annuaire LDAP Dans annuaire LDAP Dans annuaire LDAP Attributs Attributs userSMIMECertificate userSMIMECertificate userCertificate userCertificate

16 16 Contrôle S/MIME OWA Recherche dun certificat S/MIME de chiffrement Recherche du premier certificat valide dans Recherche du premier certificat valide dans userCertificate user object Active Directory userCertificate user object Active Directory userSMIMECertificate user object Active Directory userSMIMECertificate user object Active Directory userCertificate contact object Active Directory (Contacts folder) userCertificate contact object Active Directory (Contacts folder) userSMIMECertificate contact object Active Directory (Contacts folder) userSMIMECertificate contact object Active Directory (Contacts folder) Sélectionne le certificat avec lusage (Key Usage et EKU) le plus restrictif Sélectionne le certificat avec lusage (Key Usage et EKU) le plus restrictif Note: OWA ne permet de rajouter un certificat pour un contact (utiliser Office Outlook) Note: OWA ne permet de rajouter un certificat pour un contact (utiliser Office Outlook)

17 17 Contrôle S/MIME pour OWA Client effectue Client effectue La gestion des certificats de lutilisateur et sa clé privée La gestion des certificats de lutilisateur et sa clé privée Les opérations à base de clé publique/privée Les opérations à base de clé publique/privée Clé privée - déchiffrement/signature Clé privée - déchiffrement/signature Clé publique - chiffrement/vérification de signature Clé publique - chiffrement/vérification de signature Serveur effectue la validation des certificats des correspondants Serveur effectue la validation des certificats des correspondants Magasins des racines de confiance sur les serveurs doivent contenir les certificats des CA racines Magasins des racines de confiance sur les serveurs doivent contenir les certificats des CA racines Connectivité pour la vérification de la révocation Connectivité pour la vérification de la révocation Typiquement HTTP ou LDAP Typiquement HTTP ou LDAP Pièces jointes des messages S/MIME sont effacées du cache IE Pièces jointes des messages S/MIME sont effacées du cache IE

18 Démo S/MIME et LDAP et auto-enrôlement

19 Interopérabilité PKI

20 20 Format des certificats S/MIME X509v3 (RFC 3280) X509v3 (RFC 3280) Champ Subject contient adresse RFC 822 Champ Subject contient adresse RFC 822 Exemple Exemple Ou extension Subject Alternative Name contient adresse RFC 822, exemple RFC822 Ou extension Subject Alternative Name contient adresse RFC 822, exemple RFC822 Exigence débrayable Outlook et OWA Exigence débrayable Outlook et OWA Champ Key Usage doit contenir Digital Signature et/ou Data/Key Encipherment selon lusage du certificat S/MIME (signature et/ou confidentialité) Champ Key Usage doit contenir Digital Signature et/ou Data/Key Encipherment selon lusage du certificat S/MIME (signature et/ou confidentialité) Si présente, extension Extended Key Usage doit indiquer Secure ( ) Si présente, extension Extended Key Usage doit indiquer Secure ( ) Extension AIA – si présente, facilite la construction de la chaine de certificats tout en permettant une taille des messages réduite Extension AIA – si présente, facilite la construction de la chaine de certificats tout en permettant une taille des messages réduite Pour Outlook et OWA Pour Outlook et OWA Extension CDP – si présente, facilite la vérification de la révocation Extension CDP – si présente, facilite la vérification de la révocation Extension SMIME Capabilities – si présente, facilite le choix dun algorithme fort tout en maintenant la lisibilité Extension SMIME Capabilities – si présente, facilite le choix dun algorithme fort tout en maintenant la lisibilité Office Outlook seulement Office Outlook seulement

21 21 PKI non Windows pour Office Outlook 2003 En une slide… Emettre des certificats S/MIME pour les utilisateurs Emettre des certificats S/MIME pour les utilisateurs Infrastructure PKI Infrastructure PKI Mettre en œuvre les extensions AIA et CDP ainsi que la connectivité réseau nécessaire (LDAP, ou HTTP) Mettre en œuvre les extensions AIA et CDP ainsi que la connectivité réseau nécessaire (LDAP, ou HTTP) Déployer le certificat de la CA racine sur les postes Déployer le certificat de la CA racine sur les postes Magasin des autorités racines de confiance Magasin des autorités racines de confiance Déployer les certificats S/MIME dans lannuaire Déployer les certificats S/MIME dans lannuaire Active Directory ou annuaire LDAP Active Directory ou annuaire LDAP Utiliser de préférence lattribut userCertificates Utiliser de préférence lattribut userCertificates Sassurer que userSMIMECertificates ne contient pas de certificats Sassurer que userSMIMECertificates ne contient pas de certificats Déployer/configurer les security policy de Outlook Déployer/configurer les security policy de Outlook AlwaysEncrypt, AlwaysSign, ClearSign, PublishtoGalDisabled, EnrollPageURL, MinEncKey, etc… AlwaysEncrypt, AlwaysSign, ClearSign, PublishtoGalDisabled, EnrollPageURL, MinEncKey, etc… Exigence de match entre les adresses des correspondants et celles des certificats Exigence de match entre les adresses des correspondants et celles des certificats

22 22 PKI non Windows pour Outlook Express En une slide… Emettre des certificats S/MIME pour les utilisateurs Emettre des certificats S/MIME pour les utilisateurs Infrastructure PKI Infrastructure PKI Respect format (Key Usage et EKU) et adresse Respect format (Key Usage et EKU) et adresse Mettre en œuvre les extensions AIA et CDP ainsi que la connectivité réseau nécessaire (LDAP, ou HTTP) Mettre en œuvre les extensions AIA et CDP ainsi que la connectivité réseau nécessaire (LDAP, ou HTTP) Par défaut, Outlook Express fonctionne sans Par défaut, Outlook Express fonctionne sans Inclusion de la chaine complète Inclusion de la chaine complète Pas de vérification de la révocation Pas de vérification de la révocation Déployer le certificat de la CA racine sur les postes Déployer le certificat de la CA racine sur les postes Magasin des autorités racines de confiance Magasin des autorités racines de confiance Déployer les certificats S/MIME dans lannuaire LDAP Déployer les certificats S/MIME dans lannuaire LDAP Attributs userCertificates, userSMIMECertificates Attributs userCertificates, userSMIMECertificates

23 23 PKI non Windows pour OWA dExchange 2003 En une slide… Emettre des certificats S/MIME pour les utilisateurs Emettre des certificats S/MIME pour les utilisateurs Infrastructure PKI Infrastructure PKI Mettre en œuvre les extensions AIA et CDP ainsi que la connectivité réseau nécessaire (LDAP, ou HTTP) pour le serveur Mettre en œuvre les extensions AIA et CDP ainsi que la connectivité réseau nécessaire (LDAP, ou HTTP) pour le serveur Déployer le certificat de la CA racine sur les postes et serveurs exchange Déployer le certificat de la CA racine sur les postes et serveurs exchange Magasin des autorités racines de confiance Magasin des autorités racines de confiance Déployer les certificats S/MIME dans lannuaire Déployer les certificats S/MIME dans lannuaire Active Directory Active Directory Utiliser de préférence lattribut userCertificates Utiliser de préférence lattribut userCertificates Sassurer que userSMIMECertificates ne contient pas de certificats (dans le cas dune mixité avec Outlook 2003) Sassurer que userSMIMECertificates ne contient pas de certificats (dans le cas dune mixité avec Outlook 2003) Déployer/configurer les options de S/MIME OWA au niveau du serveur Déployer/configurer les options de S/MIME OWA au niveau du serveur AlwaysSign, AlwaysEncrypt… AlwaysSign, AlwaysEncrypt…

24 24 Echanges entre organisations Deux approches possibles Racine commune Racine commune Exemple racine commerciale publique Exemple racine commerciale publique GTE CyberTrust Global Root GTE CyberTrust Global Root Certification croisée Certification croisée On certifie les CA tierces desquelles on souhaite accepter des certificats On certifie les CA tierces desquelles on souhaite accepter des certificats Dans ce certificat pour la CA tierce, on place des contraintes Dans ce certificat pour la CA tierce, on place des contraintes E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages. E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages. Certification croisée Certification croisée Deux hiérarchies ce certifient mutuellement Deux hiérarchies ce certifient mutuellement N hiérarchies se certifient via un relais (bridge) N hiérarchies se certifient via un relais (bridge)

25 25 Le modèle de confiance traditionnel Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Contosos Trusted Root Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Contoso Consulting Jim Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot

26 26 Le modèle de confiance traditionnel Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Issuer:NWindCA Subject: Alice Issuer:NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Northwind Traders Contoso Consulting Jim Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Northwind Traders Untrusted Root Jim

27 27 Certification croisée Contoso Consulting Issuer: PolicyCA Subject: Bob Issuer: PolicyCA Subject: Bob Issuer: PartnerCA Subject: PolicyCA Issuer: PartnerCA Subject: PolicyCA Issuer: PartnerCA Subject: PartnerCA Issuer: PartnerCA Subject: PartnerCA Issuer: IssuingCA Subject: Alice Issuer: IssuingCA Subject: Alice Northwind Traders Issuer: CorpCA Subject: CorpCA Issuer: CorpCA Subject: CorpCA Issuer: ContCA Subject: NWindRoot Issuer: ContCA Subject: NWindRoot Issuer: CorpCA Subject: IssuingCA Issuer: CorpCA Subject: IssuingCA Contosos Trusted Root Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Issuer: NWindCA Subject: ContRoot Issuer: NWindCA Subject: ContRoot Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContCA Subject: NWindRoot Issuer: ContCA Subject: NWindRoot

28 Démo Certification croisée

29 29 Lecture des anciens message chiffrés Les clés privées doivent être présentes sur le poste (disque dur, ou carte à puce) Les clés privées doivent être présentes sur le poste (disque dur, ou carte à puce) Issuer/Serial Number Issuer/Serial Number Le message fait référence au certificat de chiffrement Le message fait référence au certificat de chiffrement Optionnellement Subject Key Identifier - Contrôle S/MIME pour OWA Optionnellement Subject Key Identifier - Contrôle S/MIME pour OWA Architecture particuliers Architecture particuliers Les utilisateurs doivent sauvegarder leurs clés/certificats de chiffrement – format PKCS#12 (.pfx) Les utilisateurs doivent sauvegarder leurs clés/certificats de chiffrement – format PKCS#12 (.pfx) Outlook 2003 – Tools/Options/Security/Import/Export… Outlook 2003 – Tools/Options/Security/Import/Export… Environnement dentreprise Environnement dentreprise Séquestre des clés de chiffrement par linfrastructure PKI Séquestre des clés de chiffrement par linfrastructure PKI Ladministrateur PKI (ou agent de récupération si séparation des rôles) fournit aux utilisateurs leurs anciennes clés au format pfx Ladministrateur PKI (ou agent de récupération si séparation des rôles) fournit aux utilisateurs leurs anciennes clés au format pfx

30 Démo Récupération de clé

31 31 Best Practices PKI, PKI, PKI… PKI, PKI, PKI… Hiérarchie de CA Hiérarchie de CA Emission/Renouvellement Emission/Renouvellement Révocation Révocation Récupération Récupération Clé dual – chiffrement/signature Clé dual – chiffrement/signature End user End user Savoir examiner un certificat Savoir examiner un certificat Pérennité des données Pérennité des données Sauvegarde des clés Sauvegarde des clés Récupération du mot de passe (Windows XP) Récupération du mot de passe (Windows XP) Attention au sujet du message (ni confidentialité, ni signature) Attention au sujet du message (ni confidentialité, ni signature) Les pièces jointes elles sont protégées Les pièces jointes elles sont protégées

32 Questions/réponses

33 33 Microsoft France 18, avenue du Québec Courtaboeuf Cedex

34 34

35 Transparents supplémentaires

36 36 Office Outlook 2003 Choix de lalgorithme En cas de capacités connues, favorise lalgorithme le plus fort En cas de capacités connues, favorise lalgorithme le plus fort SMIMECapabilities – Attribut signé OID SMIMECapabilities – Attribut signé OID Attribut dun message signé déjà reçu Attribut dun message signé déjà reçu Attribut dans userSMIMECertificate Attribut dans userSMIMECertificate Attribut dun certificat S/MIME Attribut dun certificat S/MIME En cas de capacités non déterminées, favorise la lisibilité En cas de capacités non déterminées, favorise la lisibilité RC2 40 bit RC2 40 bit Paramétrable avec UseAlternateDefaultEncryptionAlg (DWORD) Paramétrable avec UseAlternateDefaultEncryptionAlg (DWORD) HKCU\Software\Microsoft\Office\11.0\Outlook\Security HKCU\Software\Microsoft\Office\11.0\Outlook\Security Voir fiche KB pour details Voir fiche KB pour details MinEncKey security policy (DWORD 40, 64, 128, 168) MinEncKey security policy (DWORD 40, 64, 128, 168) HKCU\Software\Policies\Microsoft\Office\11.0\Outlook\Security HKCU\Software\Policies\Microsoft\Office\11.0\Outlook\Security

37 37 Outlook Express Choix de lalgorithme En cas de capacités connues, favorise lalgorithme le plus fort En cas de capacités connues, favorise lalgorithme le plus fort SMIMECapabilities de la fiche contact ou lannuaire LDAP SMIMECapabilities de la fiche contact ou lannuaire LDAP Lorsque les « capabilities » ne sont pas connues Lorsque les « capabilities » ne sont pas connues Par défaut, chiffre à 40 bits (favorise la lisibilité) Par défaut, chiffre à 40 bits (favorise la lisibilité) Pour utiliser 3DES (Windows XP SP2) Pour utiliser 3DES (Windows XP SP2) Fiche KB Fiche KB Clé KEY_CURRENT_USER\Identities\ \Software\Microsoft\Outloo k Express\5.0\Encrypt Using 3DES Clé KEY_CURRENT_USER\Identities\ \Software\Microsoft\Outloo k Express\5.0\Encrypt Using 3DES Option « Warn on encrypting with less than… » Option « Warn on encrypting with less than… » Par default 168 bits Par default 168 bits

38 38 Révocation Office Outlook 2003 Office Outlook 2003 Activée par défaut Activée par défaut Débrayable Débrayable HKCU\software\microsoft\office\11.0\outlook\security\UseCRLChasing HKCU\software\microsoft\office\11.0\outlook\security\UseCRLChasing Outlook Express Outlook Express Non activée par défaut Non activée par défaut Activable par Options/Security/Advanced/Revocation Checking Activable par Options/Security/Advanced/Revocation Checking Contrôle S/MIME OWA Contrôle S/MIME OWA Activée par défaut Activée par défaut Peut se désactiver (clé registre DisableCRLCheck – coté serveur) Peut se désactiver (clé registre DisableCRLCheck – coté serveur) RevocationURLRetrievalTimeout, CertURLRetrievalTimeout RevocationURLRetrievalTimeout, CertURLRetrievalTimeout

39 39 Révocation RFC 2459, CDP, CRL X509v2 RFC 2459, CDP, CRL X509v2 Fonctionnement CryptoAPI – Revocation Provider Fonctionnement CryptoAPI – Revocation Provider 1. Recherche dans le cache (WinInet) la CRL indiquée par la CDP 2. Recherche dans le magasin des autorités intermédiaires 3. Tente de récupérer la CRL indiquée par la CDP sur le réseau et la place dans le cache (WinInet) Pas de moyen supporté de forcer un téléchargement client alors que les CRL en cache sont valides Pas de moyen supporté de forcer un téléchargement client alors que les CRL en cache sont valides Ne télécharge une nouvelle CRL (extension CDP) que lorsque la CRL en cache est expirée Ne télécharge une nouvelle CRL (extension CDP) que lorsque la CRL en cache est expirée On peut tenter de purger le cache On peut tenter de purger le cache CrytoAPI ne place pas de CRL dans le magasin des intermédiaires CrytoAPI ne place pas de CRL dans le magasin des intermédiaires Pour tester laccès aux CRL Pour tester laccès aux CRL certutil –URL c:\cert.cer certutil –URL c:\cert.cer Livre blanc sur la validation des certificats, en particulier la vérification de révocation

40 40 Révocation Delta CRL Delta CRL référencée par lextension freshestCRL de la CRL Faible taille Faible taille Fréquence de publication élevée Fréquence de publication élevée Permet de déclencher le renouvellement dune CRL de base non expirée sur les postes clients Permet de déclencher le renouvellement dune CRL de base non expirée sur les postes clients Se configure de la même manière que les CRLs de base Se configure de la même manière que les CRLs de base Base

41 OCSP Validation en ligne auprès dune autorité de validation (VA) - RFC 2560 Validation en ligne auprès dune autorité de validation (VA) - RFC 2560 Lextension AIA comporte les informations nécessaires pour contacter lautorité de validation Lextension AIA comporte les informations nécessaires pour contacter lautorité de validation Certificate Services (CA Windows) permet de générer des certificats pour OCSP – AIA avec location du responder Certificate Services (CA Windows) permet de générer des certificats pour OCSP – AIA avec location du responder CryptoAPI supporte la notion de Revocation Providers CryptoAPI supporte la notion de Revocation Providers Le support dOCSP coté client consiste à installer un provider de révocation OCSP Le support dOCSP coté client consiste à installer un provider de révocation OCSP API CertVerifyRevocation, WinVerifyTrust API CertVerifyRevocation, WinVerifyTrust Les applications CryptoAPI (dont Outlook, Outlook Express, OWA) en tirent parti Les applications CryptoAPI (dont Outlook, Outlook Express, OWA) en tirent parti Windows Vista (Longhorn) supporte OCSP Windows Vista (Longhorn) supporte OCSP Client OCSP (Revocation Provider) opérationnel depuis Octobre 2003 (PDC build) Client OCSP (Revocation Provider) opérationnel depuis Octobre 2003 (PDC build) Les builds actuels incorporent le Responder OCSP Longhorn Les builds actuels incorporent le Responder OCSP Longhorn Technologies OCSP pour Windows disponibles sur le marché Technologies OCSP pour Windows disponibles sur le marché E.g. Alacris, Valicert, KyberPass E.g. Alacris, Valicert, KyberPass OCSP est adapté pour des transactions à forte valeur OCSP est adapté pour des transactions à forte valeur Pas pour des gros volumes à faible valeur Pas pour des gros volumes à faible valeur OCSP ne veut pas forcement dire une validation en « temps réel » OCSP ne veut pas forcement dire une validation en « temps réel » Typiquement les serveurs OCSP utilisent des CRL et CRL delta Typiquement les serveurs OCSP utilisent des CRL et CRL delta Plus une question darchitecture que de technologie Plus une question darchitecture que de technologie

42 42

43 43 PKI Windows 2003 La valeur de loffre Certificate Services Certificate Services Technologie permettant la mise en œuvre dune Autorité de Certification et le déploiement de certificats Technologie permettant la mise en œuvre dune Autorité de Certification et le déploiement de certificats Maturité Maturité Richesse des fonctions Richesse des fonctions Respect des standards Respect des standards Dimensionnement, fiabilité, souplesse Dimensionnement, fiabilité, souplesse TCO le plus bas TCO le plus bas Un service de la plateforme Un service de la plateforme Dans le cadre dune infrastructure Windows/Active Directory, cest le moyen le plus direct de déployer des certificats et de tirer parti des applications qui les utilisent Dans le cadre dune infrastructure Windows/Active Directory, cest le moyen le plus direct de déployer des certificats et de tirer parti des applications qui les utilisent

44 44 PKI Windows 2003 Les fonctionnalités Serveur autorité de certification Serveur autorité de certification Intégration Active Directory Intégration Active Directory Enrôlement automatique Enrôlement automatique CRL delta CRL delta Modèles de certificats modifiables Modèles de certificats modifiables Séquestre de clés Séquestre de clés Certification croisée Certification croisée Séparation des rôles dadministration Séparation des rôles dadministration Application Web denregistrement Application Web denregistrement Support des cartes à puce Support des cartes à puce Audit/journalisation Audit/journalisation APIs de programmation APIs de programmation Certificate Services API, CryptoAPI, CAPICOM, Classes.Net/WSE Certificate Services API, CryptoAPI, CAPICOM, Classes.Net/WSE

45 45 Certutil Certutil.exe Certutil.exe Loutil privilégié pour la gestion de la CA en ligne de commande et par scripts Loutil privilégié pour la gestion de la CA en ligne de commande et par scripts Certutil –store « My » Certutil –store « My » Certutil –dump Certutil –dump Certutil –key Certutil –key Certutil –verify Certutil –verify Certutil –scinfo Certutil –scinfo Certutil –getcrl Certutil –getcrl Certutil -isvalid Certutil -isvalid

46 46 CryptoAPI Une architecture en providers CSP Base Clés Crypto API Gestion certificats et providers de stockage Opérations cryptographiques Stockage Certificats Inetcomm.dll (S/MIME) Outlook Outlook Express Contrôle OWA

47 47 Inetcomm.dll Mise en œuvre de S/MIME factorisée dans lOS Mise en œuvre de S/MIME factorisée dans lOS Microsoft Internet Messaging API, v Microsoft Internet Messaging API, v Clients Outlook, Outlook Express, OWA, Biztalk… Clients Outlook, Outlook Express, OWA, Biztalk…

48 48 Révocation Meilleures pratiques Attention aux expirations de CRLs – CA émettrice, et CAs de la chaîne Attention aux expirations de CRLs – CA émettrice, et CAs de la chaîne Si une nouvelle CRL nest pas disponible, les certificats ne peuvent être validés, les applications se figent Si une nouvelle CRL nest pas disponible, les certificats ne peuvent être validés, les applications se figent Prévoir la publication des CRL pour les CA hors ligne Prévoir la publication des CRL pour les CA hors ligne Prévoir la publication des CRL en cas de panne ou indisponibilité de la CA Prévoir la publication des CRL en cas de panne ou indisponibilité de la CA Assurer un accès à la clé pour pouvoir signer des CRL manuellement (certutil) Assurer un accès à la clé pour pouvoir signer des CRL manuellement (certutil) Ne pas utiliser de delta CRL pour les CA offline Ne pas utiliser de delta CRL pour les CA offline Prendre en compte les temps de latence dus à la réplication dactive directory Prendre en compte les temps de latence dus à la réplication dactive directory Prévoir un recouvrement du renouvellement suffisamment important pour les CRL de base Prévoir un recouvrement du renouvellement suffisamment important pour les CRL de base Incompatible avec les exigences du durée de validité courte des CRL Delta Incompatible avec les exigences du durée de validité courte des CRL Delta

49 49 Révocation Meilleures pratiques Publication de la CRL de base via LDAP (AD) Publication de la CRL de base via LDAP (AD) Souplesse et disponibilité géographique Souplesse et disponibilité géographique Contrôle éventuel par des URL LDAP complètes (nom du serveur) plutôt que relatives Contrôle éventuel par des URL LDAP complètes (nom du serveur) plutôt que relatives Incompatible avec une utilisation externe Publication de la CRL delta via HTTP Publication de la CRL delta via HTTP Maîtrise des temps de latence, disponibilité immédiate Maîtrise des temps de latence, disponibilité immédiate Prévoir un (des) seveur(s) Web à haute disponibilité Prévoir un (des) seveur(s) Web à haute disponibilité Ordre des URLs de la CDP est important Ordre des URLs de la CDP est important Utiliser les chemins et conventions de nommage qui ne révèlent pas la structure interne du réseau Utiliser les chemins et conventions de nommage qui ne révèlent pas la structure interne du réseau Fréquences typiques Fréquences typiques CRL CA intermédiaires: jours CRL CA intermédiaires: jours CRL de base CA émettrices: 7 jours CRL de base CA émettrices: 7 jours CRL Delta CA émettrice: 1 jour CRL Delta CA émettrice: 1 jour

50 50 Protection de la clé privée CSP logiciel Chiffrement via DPAPI (Data Protection API) Chiffrement via DPAPI (Data Protection API) CryptProtectData, CryptUnprotectData CryptProtectData, CryptUnprotectData Seul le même utilisateur peut retrouver linformation en clair – cest le même utilisateur qui doit invoquer protect et unprotect Seul le même utilisateur peut retrouver linformation en clair – cest le même utilisateur qui doit invoquer protect et unprotect Source dentropie Source dentropie Crédentiels de lutilisateur (NTHash du mot de passe) Crédentiels de lutilisateur (NTHash du mot de passe) Entropie supplémentaire spécifique à linformation Entropie supplémentaire spécifique à linformation « Strong key protection » « Strong key protection » Phrase secrète utilisateur Phrase secrète utilisateur Gestion des changements de mot de passe Gestion des changements de mot de passe Stockage du « blob » DPAPI dans le profil de lutilisateur Stockage du « blob » DPAPI dans le profil de lutilisateur c:\Documents and Settings\ \Application Data\Microsoft\Protect\ c:\Documents and Settings\ \Application Data\Microsoft\Protect\

51 51 AIA et CDP Validation dun certificat – RFC 2459/3280 Extension authorityInfoAccess Extension authorityInfoAccess Construction de la chaîne de certification Construction de la chaîne de certification Permet de retrouver le certificat de lautorité émettrice, et ainsi de suite jusquà la racine Permet de retrouver le certificat de lautorité émettrice, et ainsi de suite jusquà la racine Les AC publient leur certificat à cette fin Les AC publient leur certificat à cette fin ldap:///CN=ca- issuing,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=unico,D C=com?cACertificate?base?objectClass=certificationAuthority ldap:///CN=ca- issuing,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=unico,D C=com?cACertificate?base?objectClass=certificationAuthority Etc… Etc… Extension cRLDistributionPoints Extension cRLDistributionPoints Vérification de la révocation de chacun des certificats de la chaîne Vérification de la révocation de chacun des certificats de la chaîne Permet de retrouver la CRL, delta CRL, ou une autorité de validation OCSP Permet de retrouver la CRL, delta CRL, ou une autorité de validation OCSP Les AC publient leurs CRLs à cette fin Les AC publient leurs CRLs à cette fin ldap:///CN=ca-issuing,CN=SRV-CA- ISSUING,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=unico, DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint ldap:///CN=ca-issuing,CN=SRV-CA- ISSUING,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=unico, DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint Etc… Etc… Pour les systèmes Windows, les certificats des AC (mais pas les CRLs), une fois retrouves par CryptoAPI sont conservés dans le magasin des autorités intermédiaires (géré par CryptoAPI) Pour les systèmes Windows, les certificats des AC (mais pas les CRLs), une fois retrouves par CryptoAPI sont conservés dans le magasin des autorités intermédiaires (géré par CryptoAPI)

52 52 CryptoAPI Lien entre certificat du titulaire et clé privée Lutilisateur dun certificat na que le certificat Lutilisateur dun certificat na que le certificat Le titulaire/détenteur dun certificat possède le certificat et la clé privée correspondante Le titulaire/détenteur dun certificat possède le certificat et la clé privée correspondante Stockée avec le certificat se trouve une référence vers la clé privée Stockée avec le certificat se trouve une référence vers la clé privée Extended Properties CERT_KEY_PROV_INFO_PROP_ID Extended Properties CERT_KEY_PROV_INFO_PROP_ID Structure CRYPT_KEY_PROV_INFO: Contient toutes les informations nécessaires pour acquérir un contexte sur le CSP hébergeant la clé privée - typiquement les paramètres de CryptAcquireContext Structure CRYPT_KEY_PROV_INFO: Contient toutes les informations nécessaires pour acquérir un contexte sur le CSP hébergeant la clé privée - typiquement les paramètres de CryptAcquireContext Base certificats Certificat (signé par CA) Propriétés Contexte de certificat CRYPT_KEY_PROV_INFO ContainerName ProvName ProvType ProvParam … CERT_KEY_PROV_INFO_PROP_ID CSP Base Clés

53 53 CryptoAPI Bases, ou magasins de certificats Par utilisateur, machine, ou service Par utilisateur, machine, ou service Plugin MMC Certificates Plugin MMC Certificates Certutil.exe Certutil.exe Nom CryptoAPINom daffichageDescription MyPersonal Les certificats du titulaire RootTrusted Root Certification AuthoritiesLes racines de confiance TrustEnterprise TrustCertificate Trust Lists CAIntermediate Certification AuthoritiesCache des CA intermédiaires et des listes de révocation UserDSActive Directory User ObjectLes certificats du titulaire dans Active Directory – attribut du compte, userCertificate Autres…

54 54 Standard S/MIME Standard S/MIME Sécurisation dentités MIME, pas des entêtes RFC 822 Sécurisation dentités MIME, pas des entêtes RFC 822 MIME body part MIME body part Content-type application/pkcs7-mime Content-type application/pkcs7-mime Comment mettre du MIME dans un message PKCS#7 Comment mettre du MIME dans un message PKCS#7 Opaque pour les gateways MIME Opaque pour les gateways MIME Contenu PKCS#7 - RFC 2315 (v2) ou CMS – RFC 2630 (v3) Contenu PKCS#7 - RFC 2315 (v2) ou CMS – RFC 2630 (v3) Syntaxe ASN.1, encodage DER Syntaxe ASN.1, encodage DER Type SignedData, EnvelopedData, SignedAndEnvelopedData Type SignedData, EnvelopedData, SignedAndEnvelopedData smime-type – permet de connaître le contenu/format du blob PKCS#7 sans avoir à louvrir smime-type – permet de connaître le contenu/format du blob PKCS#7 sans avoir à louvrir enveloped-data enveloped-data signed-data signed-data Lentité MIME à sécuriser est placée dans un message PKCS#7, qui est lui-même transmis en tant quentité MIME. Cette transmission de lentité MIME peut se faire sur nimporte quel protocole/format, et non pas seulement SMTP/POP

55 55 Standard S/MIME Standard S/MIME MIME body part MIME body part Content-type multipart/signed Content-type multipart/signed Première partie – entité MIME Première partie – entité MIME Blob MIME, objet de la signature Blob MIME, objet de la signature Deuxième partie – entité MIME Deuxième partie – entité MIME Signature détachée Signature détachée Content-type application/pkcs7-signature Content-type application/pkcs7-signature smime-type = signed-data smime-type = signed-data PKCS#7 de type signedData PKCS#7 de type signedData Le PKCS#7 na pas de contenu: signature seule Le PKCS#7 na pas de contenu: signature seule Clear Signing – multipart/signed et application/pkcs7-signature Clear Signing – multipart/signed et application/pkcs7-signature Contenu signé est lisible par un destinataire dont le logiciel ne supporte pas S/MIME Contenu signé est lisible par un destinataire dont le logiciel ne supporte pas S/MIME la signature est « à coté » du contenu la signature est « à coté » du contenu Opaque Signing – application/pkcs7-mime Opaque Signing – application/pkcs7-mime Contenu du message signé lisible que par un décodeur S/MIME (la signature est intégrée au contenu – formatage PKCS#7/CMS Contenu du message signé lisible que par un décodeur S/MIME (la signature est intégrée au contenu – formatage PKCS#7/CMS

56 56 Opaque Signing vs Clear Signing Pour le clients S/MIME Microsoft, cest au choix de lutilisateur Pour le clients S/MIME Microsoft, cest au choix de lutilisateur Outlook Express Outlook Express Configuration globale (menu Tools/Options/Security/Advanced) Configuration globale (menu Tools/Options/Security/Advanced) Défaut Clear Sign Défaut Clear Sign Office Outlook Office Outlook Configuration globale du choix par défaut (menu Tools/Options/Security), ensuite modifiable message par message Configuration globale du choix par défaut (menu Tools/Options/Security), ensuite modifiable message par message Imposable par policy ClearSign Imposable par policy ClearSign Contrôle S/MIME OWA Contrôle S/MIME OWA Clé registre ClearSign (coté serveur) Clé registre ClearSign (coté serveur) Défaut Clear Sign Défaut Clear Sign Clients non-S/MIME pour lesquels le message doit comporter une signature « Clear Signing » afin dêtre lisible Clients non-S/MIME pour lesquels le message doit comporter une signature « Clear Signing » afin dêtre lisible OWA sans le contrôle S/MIME (OWA Basic) OWA sans le contrôle S/MIME (OWA Basic) Mobiles Mobiles Outlook Mobile Access (OMA) Outlook Mobile Access (OMA) Exchange ActiveSync Exchange ActiveSync

57 57 Dumper un message S/MIME dOutlook Express 1. Dans OE, sauvegarder le message en tant que fichier.eml Le fichier texte contient le corps MIME au format PKCS#7/CMS encodé base64 Le fichier texte contient le corps MIME au format PKCS#7/CMS encodé base64 Il y a deux cas: Il y a deux cas: Content type application/x-pkcs7-mime pour signature opaque ou message chiffré (signedData, envelopedData, signedAndEnvelopedData). Nom de la pièce jointe smime.p7m Content type application/x-pkcs7-mime pour signature opaque ou message chiffré (signedData, envelopedData, signedAndEnvelopedData). Nom de la pièce jointe smime.p7m Content type application/x-pkcs7-signature pour signature détachée. Nom de la pièce jointe smime.p7s Content type application/x-pkcs7-signature pour signature détachée. Nom de la pièce jointe smime.p7s 2. Extraire la pièce jointe vers un fichier smime.p7m ou smime.p7s Avec notepad, extraire la partie MIME vers un fichier temporaire (uuencoded.txt – le texte commence par MIAGCSq….) et décoder le fichier temporaire vers un fichier smime.p7m ou smime.p7s (le binaire doit commencer par 33 80…) Avec notepad, extraire la partie MIME vers un fichier temporaire (uuencoded.txt – le texte commence par MIAGCSq….) et décoder le fichier temporaire vers un fichier smime.p7m ou smime.p7s (le binaire doit commencer par 33 80…) certutil -v -f -decode uuencoded.txt smime.p7m certutil -v -f -decode uuencoded.txt smime.p7m hexdump smime.p7m hexdump smime.p7m 0x A F7 0D A *.H x A F7 0D A *.H Décoder le fichier.p7m ou p7s avec un décodeur PKCS#7/CMS certutil -dump signed.p7m certutil -dump signed.p7m

58 58 S/MIME Diffie Hellman Support de Diffie-Hellman et DSA (Digital Signature Algorithm) par Outlook à partir de Outlook 2000 SR1 Support de Diffie-Hellman et DSA (Digital Signature Algorithm) par Outlook à partir de Outlook 2000 SR1 Et aussi Outlook Express et OWA puisque mise en œuvre dans lOS (inetcomm.dll et CryptoAPI) Et aussi Outlook Express et OWA puisque mise en œuvre dans lOS (inetcomm.dll et CryptoAPI) Diffie-Hellman – RFC 2632 Diffie-Hellman – RFC 2632 Hmmm… on peut pas chiffrer avec Diffie-Hellman… Hmmm… on peut pas chiffrer avec Diffie-Hellman… Comment chiffre-t-on la clé de session pour les lock box? Comment chiffre-t-on la clé de session pour les lock box? Réponse: on chiffre avec un algorithme symétrique et une clé de chiffrement dérivée de léchange Diffie-Hellman Réponse: on chiffre avec un algorithme symétrique et une clé de chiffrement dérivée de léchange Diffie-Hellman Quel échange? Quel échange? La clé publique DH du destinataire doit être statique (connue de lémetteur), et certifiée – comme pour RSA! La clé publique DH du destinataire doit être statique (connue de lémetteur), et certifiée – comme pour RSA! La clé publique DH de lémetteur peut être éphémère pour un ou des messages, et envoyée avec le message La clé publique DH de lémetteur peut être éphémère pour un ou des messages, et envoyée avec le message Modes static-static, ephéméral-static Modes static-static, ephéméral-static

59 S/MIME et Office Outlook 2003

60 60 Office Outlook 2003 Chiffrement pour soi-même Systématique Systématique Utilise certificat de chiffrement configuré dans Options/Security/Settings Utilise certificat de chiffrement configuré dans Options/Security/Settings Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure Outlook (Security Settings) avec ce certificat Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure Outlook (Security Settings) avec ce certificat

61 61 Office Outlook 2003 Recherche certificat pour signature Utilise certificat de signature configuré dans Options/Security/Settings Utilise certificat de signature configuré dans Options/Security/Settings Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure Outlook (Security Settings) avec ce certificat Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure Outlook (Security Settings) avec ce certificat

62 62 Office Outlook 2003 Ladresse des entités en jeu doit correspondre à celle indiquée par les certificats Ladresse des entités en jeu doit correspondre à celle indiquée par les certificats Exigence débrayable Exigence débrayable Fiche KB Fiche KB HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\Outlook\Sec urity\SupressNameChecks HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\Outlook\Sec urity\SupressNameChecks Vérification de la révocation active par défaut Vérification de la révocation active par défaut Débrayable Débrayable HKCU\software\microsoft\office\11.0\outlook\security\"UseCRLChasi ng« HKCU\software\microsoft\office\11.0\outlook\security\"UseCRLChasi ng« Inclut la chaine des certificats, sauf racine (conforme RFC) Inclut la chaine des certificats, sauf racine (conforme RFC)

63 63 Outlook 2003 Lock box fait référence au numéro de série du certificat et la CA émettrice (IssuerName) Lock box fait référence au numéro de série du certificat et la CA émettrice (IssuerName) Si la lock box fait référence au Subject Key Identifier, Outlook 2003 sait lexploiter et retrouver la clé Si la lock box fait référence au Subject Key Identifier, Outlook 2003 sait lexploiter et retrouver la clé Ne génère pas de telles lock boxes Ne génère pas de telles lock boxes Option Options/Security/Settings/Send these certificates with signed messages Option Options/Security/Settings/Send these certificates with signed messages Par défaut, Outlook 2003 inclut la chaine des certificats complète, y compris la racine Par défaut, Outlook 2003 inclut la chaine des certificats complète, y compris la racine Permet de retrouver les CA intermédiaires en labsence dAIA Permet de retrouver les CA intermédiaires en labsence dAIA Si cette option est désactivée, Outlook ninclut que le certificat de lémetteur Si cette option est désactivée, Outlook ninclut que le certificat de lémetteur

64 64 Office Outlook 2003 Label policy (S/MIME v3) Label policy (S/MIME v3) Security Label Security Label Propriété optionnelle dun message signé Propriété optionnelle dun message signé « Top Secret », « Confidentiel », «Accès Restreint », « Equipe Médicale », « Service Paye » « Top Secret », « Confidentiel », «Accès Restreint », « Equipe Médicale », « Service Paye » Apposé lors de la signature du message Apposé lors de la signature du message A louverture, la « policy » permet laccès au message selon la politique en vigueur selon la sémantique du label A louverture, la « policy » permet laccès au message selon la politique en vigueur selon la sémantique du label La classification du message est affichée à lécran La classification du message est affichée à lécran Exemple/documentation pour le développement de label policy Exemple/documentation pour le développement de label policy &CTT=5&Origin=HA &CTT=5&Origin=HA &CTT=5&Origin=HA &CTT=5&Origin=HA Code fourni dans label.zip Code fourni dans label.zip

65 S/MIME et Outlook Express

66 66 Outlook Express Chiffrement pour soi-même Option "Always encrypt to myself when sending encrypted mail" Option "Always encrypt to myself when sending encrypted mail" Utilise certificat de chiffrement configuré dans Accounts/Properties/Security Utilise certificat de chiffrement configuré dans Accounts/Properties/Security Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte Outlook Express avec ce certificat Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte Outlook Express avec ce certificat

67 67 Outlook Express Recherche certificat pour signature Utilise certificat de signature configuré dans Accounts/Properties/Security Utilise certificat de signature configuré dans Accounts/Properties/Security Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte Outlook Express avec ce certificat Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte Outlook Express avec ce certificat Option « Include my Digital ID when sending signed messages » Option « Include my Digital ID when sending signed messages » Par défaut, OE inclut la chaine des certificats complète, y compris la racine Par défaut, OE inclut la chaine des certificats complète, y compris la racine Permet de retrouver les CA intermédiaires en labsence dAIA Permet de retrouver les CA intermédiaires en labsence dAIA Si cette option est désactivée, OE ninclut aucun certificat Si cette option est désactivée, OE ninclut aucun certificat

68 68 Labellisation SMIMEv3 pour Outlook Express Mise en œuvre par DLL de policy Mise en œuvre par DLL de policy Idem/Proche Outlook 2003 Idem/Proche Outlook 2003

69 S/MIME et OWA

70 70 Contrôle S/MIME pour OWA Nécessite IE 6.0 Nécessite IE 6.0 Et minimum OS Windows 2000 Et minimum OS Windows 2000 Installation Installation Download par lutilisateur Download par lutilisateur Menu Options/ Security de OWA Menu Options/ Security de OWA Nécessite droits dadmin Nécessite droits dadmin Attention URLScan Attention URLScan Déploiement images ou SMS Déploiement images ou SMS A partir de Exchange Server 2003 SP1: fichier MSI A partir de Exchange Server 2003 SP1: fichier MSI

71 71 Contrôle S/MIME pour OWA Chiffrement/signature message par message à la discrétion de lutilisateur Chiffrement/signature message par message à la discrétion de lutilisateur Chiffrement/signature pour tous les messages configurable par lutilisateur Chiffrement/signature pour tous les messages configurable par lutilisateur Menu Options/ Security Menu Options/ Security Chiffrement/signature pour tous les messages obligatoire (configurable par ladministrateur) Chiffrement/signature pour tous les messages obligatoire (configurable par ladministrateur) Registry serveur Exchange: AlwaysSign, AlwaysEncrypt Registry serveur Exchange: AlwaysSign, AlwaysEncrypt Attention: cela reste une fonction du contrôle ActiveX Attention: cela reste une fonction du contrôle ActiveX

72 72 Sélection certificat par le contrôle S/MIME Déchiffrement et signature Déchiffrement et signature Certificat dans magasin personnel Certificat dans magasin personnel Pour signature, OWA favorise les certificats sur carte à puce (ou matériel – hardware based) Pour signature, OWA favorise les certificats sur carte à puce (ou matériel – hardware based) Clé de registre SmartCardOnly (coté serveur) Clé de registre SmartCardOnly (coté serveur) Pour la signature, le contrôle nutilise que des certificats dont la clé privée se trouve sur une carte à puce Pour la signature, le contrôle nutilise que des certificats dont la clé privée se trouve sur une carte à puce

73 73 Sélection certificat par le contrôle S/MIME Adresse utilisateur (routing address) Adresse utilisateur (routing address) Champ Subject Champ Subject Extension Subject Alternative Name Extension Subject Alternative Name Certificat doit être valide Certificat doit être valide Validité temporelle Validité temporelle Vérification de non révocation, active par default Vérification de non révocation, active par default Peut se désactiver (clé registre DisableCRLCheck – coté serveur) Peut se désactiver (clé registre DisableCRLCheck – coté serveur) RevocationURLRetrievalTimeout, CertURLRetrievalTimeout RevocationURLRetrievalTimeout, CertURLRetrievalTimeout Vérification de la chaine jusquà une CA racine de confiance (référencée dans le magasin des AC racines de confiance) Vérification de la chaine jusquà une CA racine de confiance (référencée dans le magasin des AC racines de confiance)

74 74 Contrôle S/MIME pour OWA Par défaut, OWA ne place pas la chaine des certificats dans le message Par défaut, OWA ne place pas la chaine des certificats dans le message SecurityFlags (coté serveur) – pour inclure la chaine, avec ou sans la racine SecurityFlags (coté serveur) – pour inclure la chaine, avec ou sans la racine Flags 0x01 et 0x02 Flags 0x01 et 0x02 Nécessaire en labsence dAIA Nécessaire en labsence dAIA Par défaut, OWA place aussi le certificat de chiffrement dans un message signé (en plus du certificat de signature) Par défaut, OWA place aussi le certificat de chiffrement dans un message signé (en plus du certificat de signature) SecurityFlags (coté serveur) – pour ninclure que le certificat de signature SecurityFlags (coté serveur) – pour ninclure que le certificat de signature Par défaut, les lock box font référence au numéro de série du certificat et la CA émettrice (IssuerName) Par défaut, les lock box font référence au numéro de série du certificat et la CA émettrice (IssuerName) Clé UseKeyIdentifier Clé UseKeyIdentifier Permet de retrouver la clé en labsence danciens certificats Permet de retrouver la clé en labsence danciens certificats

75 75 Contrôle ActiveX S/MIME pour OWA Fonctionnalités similaires à Outlook et Outlook Express Fonctionnalités similaires à Outlook et Outlook Express Exception: Noffre par les avis de lecture sécurisés (Secure Read Receipt) Exception: Noffre par les avis de lecture sécurisés (Secure Read Receipt)

76 76 Contrôle S/MIME OWA Validation de signature Validation de signature Certificat se trouve dans le message Certificat se trouve dans le message Mais pas la chaine (par défaut) Mais pas la chaine (par défaut) Utiliser extension AIA de préférence Utiliser extension AIA de préférence SecurityFlags (paramètre registre coté serveur) SecurityFlags (paramètre registre coté serveur)

77 77 Certification croisée Problème Problème Établissement de relations de confiance entre hiérarchies séparées Établissement de relations de confiance entre hiérarchies séparées Solution Solution On certifie les CA tierces desquelles on souhaite accepter des certificats On certifie les CA tierces desquelles on souhaite accepter des certificats Dans ce certificat pour la CA tierce, on place des contraintes Dans ce certificat pour la CA tierce, on place des contraintes E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages. E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages. Certification croisée Certification croisée Deux hiérarchies ce certifient mutuellement Deux hiérarchies ce certifient mutuellement N hiérarchies se certifient via un relais (bridge) N hiérarchies se certifient via un relais (bridge) Autre usage possible Autre usage possible Désactiver les racines de confiance par défaut de la plateforme par GPO Désactiver les racines de confiance par défaut de la plateforme par GPO Conserver la racine de lentreprise Conserver la racine de lentreprise Certifier les racines publiques avec subordination qualifiée Certifier les racines publiques avec subordination qualifiée Exclure lespace de nommage de lentreprise Exclure lespace de nommage de lentreprise

78 78 Certification croisée Mise en oeuvre Obtenir un certificat pour la signature de la requête Obtenir un certificat pour la signature de la requête Principalement pour lexigence Application Policy Principalement pour lexigence Application Policy Qualified Subordination ( ) Qualified Subordination ( ) Créer une template spécifique à partir de la template Enrollment Agent Créer une template spécifique à partir de la template Enrollment Agent Configurer la CA pour servir la template Cross Certification Authority Configurer la CA pour servir la template Cross Certification Authority Cest la template du certificat croisé à émettre Cest la template du certificat croisé à émettre Créer la requete avec certreq –policy Créer la requete avec certreq –policy Certificat de la CA à certifier Certificat de la CA à certifier Policy.inf – paramètres de la requête Policy.inf – paramètres de la requête Certificat pour la signature de la requête Certificat pour la signature de la requête Soumettre la requête avec MMC Certificate Authority Soumettre la requête avec MMC Certificate Authority Le certificat est publié dans AD (AIA) Le certificat est publié dans AD (AIA) Visualiser le certificat croisé dans AD Visualiser le certificat croisé dans AD certutil -viewstore "CN=,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC= ?crossCertificate Pair certutil -viewstore "CN=,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC= ?crossCertificate Pair

79 79 Le modèle de confiance traditionnel Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Issuer:NWindCA Subject: Alice Issuer:NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Northwind Traders Contoso Consulting Jim Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Jim Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot

80 80 Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: COMRoot Subject: ContRoot Issuer: COMRoot Subject: ContRoot Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Contoso Consulting Le modèle de confiance traditionnel Issuer:NWindCA Subject: Alice Issuer:NWindCA Subject: Alice Issuer: COMRoot Subject: NWindRoot Issuer: COMRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Northwind Traders Jim CA commerciale Issuer: COMRoot Subject: COMRoot Issuer: COMRoot Subject: COMRoot Issuer: COMRoot Subject: COMRoot Issuer: COMRoot Subject: COMRoot

81 81 Certification croisée Problème Problème Établissement de relations de confiance entre hiérarchies et organisations séparées Établissement de relations de confiance entre hiérarchies et organisations séparées Solution: certification croisée Solution: certification croisée On certifie les CA tierces desquelles on souhaite accepter des certificats On certifie les CA tierces desquelles on souhaite accepter des certificats Deux hiérarchies se certifient mutuellement Deux hiérarchies se certifient mutuellement N hiérarchies se certifient via un relais (bridge) N hiérarchies se certifient via un relais (bridge) La certification croisée adresse un aspect de linteropérabilité entre déploiements PKI La certification croisée adresse un aspect de linteropérabilité entre déploiements PKI Permet de spécifier des contraintes Permet de spécifier des contraintes Permet de truster des CA intermédiaires Permet de truster des CA intermédiaires

82 82 Certification croisée Rajout dune nouvelle CA Contoso Consulting Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Northwind Traders Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: ContCA Subject: NWindRoot Issuer: ContCA Subject: NWindRoot Issuer: NWindCA Subject: ContRoot Issuer: NWindCA Subject: ContRoot Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: ProjectCA Subject: TrevorF Issuer: ProjectCA Subject: TrevorF Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: ProjectCA Northwind Traders Issuer: ProjectCA Subject: trevorf Issuer: ProjectCA Subject: trevorf Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: ProjectCA Subject: trevorf Issuer: ProjectCA Subject: trevorf Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: ProjectCA Issuer: ContCA Subject: NWindRoot Issuer: ContCA Subject: NWindRoot Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Contoso Consulting

83 83 Certification croisée Restreindre la relation de confiance à une partie de la hiérarchie Contoso Consulting Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Northwind Traders Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: ContCA Subject: NWindCA Issuer: ContCA Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: ProjectCA Subject: TrevorF Issuer: ProjectCA Subject: TrevorF Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: ProjectCA Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: ProjectCA Subject: TrevorF Issuer: ProjectCA Subject: TrevorF

84 84 Issuer: NWindCA Subject: BridgeCA Issuer: NWindCA Subject: BridgeCA Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: FabCA Subject: BridgeCA Issuer: FabCA Subject: BridgeCA Issuer: ContCA Subject: BridgeCA Issuer: ContCA Subject: BridgeCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: FabCA Subject: Carol Issuer: FabCA Subject: Carol Issuer: FabRoot Subject: FabCA Issuer: FabRoot Subject: FabCA Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: BridgeCA Subject: BridgeCA Issuer: BridgeCA Subject: BridgeCA Issuer: FabRoot Subject: FabRoot Issuer: FabRoot Subject: FabRoot Issuer: BridgeCA Subject: FabRoot Issuer: BridgeCA Subject: FabRoot Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Issuer: BridgeCA Subject: ContRoot Issuer: BridgeCA Subject: ContRoot Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: BridgeCA Subject: NWindRoot Issuer: BridgeCA Subject: NWindRoot Northwind Traders Fabrikam Inc. Contoso Consulting Certification croisée Utilisation dun bridge

85 85 Issuer: NWindCA Subject: BridgeCA Issuer: NWindCA Subject: BridgeCA Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: FabCA Subject: BridgeCA Issuer: FabCA Subject: BridgeCA Issuer: ContCA Subject: BridgeCA Issuer: ContCA Subject: BridgeCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: FabCA Subject: Carol Issuer: FabCA Subject: Carol Issuer: FabRoot Subject: FabCA Issuer: FabRoot Subject: FabCA Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: BridgeCA Subject: BridgeCA Issuer: BridgeCA Subject: BridgeCA Issuer: FabRoot Subject: FabRoot Issuer: FabRoot Subject: FabRoot Issuer: BridgeCA Subject: FabRoot Issuer: BridgeCA Subject: FabRoot Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Issuer: BridgeCA Subject: ContRoot Issuer: BridgeCA Subject: ContRoot Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: BridgeCA Subject: NWindRoot Issuer: BridgeCA Subject: NWindRoot Northwind Traders Fabrikam Inc. Contoso Consulting Certification croisée Utilisation dun bridge Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot

86 86 Issuer: NWindCA Subject: BridgeCA Issuer: NWindCA Subject: BridgeCA Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: FabCA Subject: BridgeCA Issuer: FabCA Subject: BridgeCA Issuer: ContCA Subject: BridgeCA Issuer: ContCA Subject: BridgeCA Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: FabCA Subject: Carol Issuer: FabCA Subject: Carol Issuer: FabRoot Subject: FabCA Issuer: FabRoot Subject: FabCA Issuer: ContCA Subject: Bob Issuer: ContCA Subject: Bob Issuer: ContRoot Subject: ContCA Issuer: ContRoot Subject: ContCA Issuer: BridgeCA Subject: BridgeCA Issuer: BridgeCA Subject: BridgeCA Issuer: FabRoot Subject: FabRoot Issuer: FabRoot Subject: FabRoot Issuer: BridgeCA Subject: FabRoot Issuer: BridgeCA Subject: FabRoot Issuer: ContRoot Subject: ContRoot Issuer: ContRoot Subject: ContRoot Issuer: BridgeCA Subject: ContRoot Issuer: BridgeCA Subject: ContRoot Issuer: NWindRoot Subject: NWindRoot Issuer: NWindRoot Subject: NWindRoot Issuer: BridgeCA Subject: NWindRoot Issuer: BridgeCA Subject: NWindRoot Northwind Traders Fabrikam Inc. Contoso Consulting Certification croisée Utilisation dune CA bridge Issuer: NWindCA Subject: Alice Issuer: NWindCA Subject: Alice Issuer: NWindRoot Subject: NWindCA Issuer: NWindRoot Subject: NWindCA Issuer: BridgeCA Subject: NWindRoot Issuer: BridgeCA Subject: NWindRoot Issuer: FabCA Subject: BridgeCA Issuer: FabCA Subject: BridgeCA Issuer: FabRoot Subject: FabCA Issuer: FabRoot Subject: FabCA Issuer: FabRoot Subject: FabRoot Issuer: FabRoot Subject: FabRoot

87 87 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Messagerie sécurisée avec S/MIME Jean-Yves Poublan Microsoft France."

Présentations similaires


Annonces Google