La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Projet RNRT ICare: Services évolués de signature

Publié parValérie Jacquot Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Projet RNRT ICare: Services évolués de signature"— Transcription de la présentation:

1 Projet RNRT ICare: Services évolués de signature
et de contrôle d'accès basés sur de nouveaux concepts de certificats Refik Molva Institut EURECOM Octobre 2002 R.Molva - Institut Eurécom 1 1 1

2 Partenaires du Projet Thales Communications (responsable du projet)
CEA - LETI Cabinet d’avocats A. Bertrand ENST Paris Institut Eurécom Université de Technologie de Compiègne Ecole des Mines d’Alès R.Molva - Institut Eurécom

3 Axes du Projet Expérimentation Recherche et Développement
Infrastructure de Clés Publiques (ICP) Choix du logiciel et déploiement Recherche et Développement Contrôle d’accès distribué Services de signature Certificats d’attributs Etudes et Méthodologie Etude des Usages Critères de certification Législation R.Molva - Institut Eurécom

4 Expérimentation Choix logiciel Déploiement au sein du consortium
solution open source IDX-PKI (IdealX) solution propriétaire UniCert (Baltimore) Déploiement au sein du consortium Communautés académiques (ENST, EMA, Eurécom) et industrielle (Thalès) Test d’interopérabilité / applications URL PKI Icare: R.Molva - Institut Eurécom

5 Etude Usages Sites non équipés :
2 écoles (14 et 7 entretiens avec grille et observations) Sites équipés en PKI (avec grille et observations): une grande entreprise en phase pilote (8 entretiens) un réseau logiciel libre utilisateur courant (4 entretiens plus observation participante) une entreprise de solution de sécurité (1 entretien) R.Molva - Institut Eurécom

6 Etude Usages - Conclusions
Etat actuel Sécurité suffisante Langage obscur Tolérance pour une déviance “normale” Impossible Garanties absolues (biométrie, Etat) Formalismes stricts Solution Viser larges populations (non-limitées aux informaticiens) Tolérance négociée – espaces de régulation Partir des applicatifs Ergonomie basée sur ontologies ordinaires Délégation entre Autorités distribuées – Modes et Principes R.Molva - Institut Eurécom

7 Axe R&D Limitations de l’ICP basé sur les certificats d’identité X509 : absence support pour le contrôle d’accès complexité et codage inadéquat (DN, ASN.1) Solutions : Certificats d’attributs Codage XML R.Molva - Institut Eurécom

8 Certificat d’attributs
KP Attributs Signature de l’Autorité Droits Clé publique Certificat d’autorisation (SPKI) Certificat d’identité (X.509) Certificat d’attributs ICare Nom Attributs Signature de l’Autorité Nom KP Signature de l’Autorité Nom R.Molva - Institut Eurécom

9 Certificats d’Attributs - Applications
Certificat d’attribut Contrôle d’accès Services évolués de Signature Gestion d’identités R.Molva - Institut Eurécom

10 Architecture AA Autorité pour les Attributs Origine de l’autorité
(SoA) Certificat Racine Certificat d’Attributs AA Certificat d’Attributs: privilèges AA Certificat d’Attributs: policy Ressource Délégation Certificat Racine Certificat d’Attributs: privilèges Demandeur Requête Vérificateur Web server Web browser R.Molva - Institut Eurécom

11 Certificats d’Attributs
Choix du format Lien avec certificat d’identité Intégration dans l’ICP Intégration avec logiciels applicatifs R.Molva - Institut Eurécom

12 Certificat d’attributs en XML
CertificateReference Issuer 1 CertificateReference PublicKey Subject 1 depth Delegation 1 name resource validity Attribute + Privilège ou rôle Lien avec un certificat X.509 ou un Certificat d’attribut Content 1 algorithm Signature 1 version type CertificateInfo 1 AttributeCertificate R.Molva - Institut Eurécom

13 Validation du fichier xml
Accounting <Name> <Organization Unit > <Office> <Phone> Project <Project Name> <Organization> <Organization Unit> <Project Manager> Formulaires HTTP: Script CGI Grammaires DTD: Nom de la grammaire Validation du fichier xml Fichier XML: <xml…. <compta> <name> … </name> <organization unit> … </organization unit> <office> … </office> <phone> … </phone> </compta> </xml> <project> <project name> … </project name> <organization> … </organization> <organization unit> … </organization unit> <project manager> … </project manager> </project> Compatabilite R.Molva - Institut Eurécom

14 APIs Administration Control d’accès Signature
Logiciel client (browser web…) Logiciel client (browser web…) Logiciel (serveur web) Développement ICARE Librairies OpenSource ou Commerciales Integration dans des produits existantes Interface Outils de gestion (définition de rôles, des politiques d’acces…) Interface Interface API Autorité de Certificat d’Attributs API Demandeur / Verificateur API Signature ICARE API de BASE (objet certificat d’attribut et sa gestion, communications, etc.) API XML API Crypto API Database R.Molva - Institut Eurécom

15 Etat de l’art X.509 XACML SAML ASN1  XML Orienté Politique de C. A.
Compatibilité avec les Technologies Internet ICP(PKI) non-indispensable délégation et autorisation sans identification (SPKI) XACML Orienté Politique de C. A. SAML Format d’échange R.Molva - Institut Eurécom

16 Application : Multisignature
Carl secrétaire Secrétaire signature Certificat d’attribut Qui doit signer (Vincent, Marc et Carl) Dans quel ordre Politique de signature (accepter un certificat d’habilitation) Vincent signature signature Vincent Marc Carl signature Vincent Marc secrétaire R.Molva - Institut Eurécom

17 Multisignature Variante XAdES-C + Certificat d’attributs SignedInfo
General bundle Object Attribute Certificate SignaturePacket Signature TSP SignatureInfo Signature KeyInfo Certificate and CRL Reference SignedObjects SignaturePath R.Molva - Institut Eurécom

18 Soutien pour l’évaluation CC
Former / Sensibiliser aux pré-requis sécuritaires CC Identifier les Profils de Protection les exigences liées au développement fournitures et éléments de preuves nécessaires pour une certification Définir la cible d’évaluation pour le projet ICare Lister les recommandations pour une évaluation CC R.Molva - Institut Eurécom

19 Conclusion Expérimentation PKI et Usages
Introduction par Processus Itératif R&D sur Certificats d’Attributs et Services Avancés Développement en cours Niveau comparable aux activités W3C, ETSI Publications en cours Précompétitif: Start-up(s) R.Molva - Institut Eurécom

Télécharger ppt "Projet RNRT ICare: Services évolués de signature"

Présentations similaires

1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.

1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.
Les Web Services Schéma Directeur des Espaces numériques de Travail

Les Web Services Schéma Directeur des Espaces numériques de Travail
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
13/04/05 - RB1 Montpellier 24/03/2005 Les interactions entre le SSO ESUP et le mécanisme de propagation d'identité

13/04/05 - RB1 Montpellier 24/03/2005 Les interactions entre le SSO ESUP et le mécanisme de propagation d'identité
ESPACE NUMERIQUE DE TRAVAIL ESUP-Portail Campus Numériques et Universités Numériques en Région Montpellier – 1/10/2003.

ESPACE NUMERIQUE DE TRAVAIL ESUP-Portail Campus Numériques et Universités Numériques en Région Montpellier – 1/10/2003.
Outils de communication. 17/11/2005Raymond Bourges2 Outils de communication Site Web Documentation (Bientôt gérée avec inJAC) Espace de téléchargement.

Outils de communication. 17/11/2005Raymond Bourges2 Outils de communication Site Web Documentation (Bientôt gérée avec inJAC) Espace de téléchargement.
S.R.I. Systèmes et Réseaux Informatiques

S.R.I. Systèmes et Réseaux Informatiques
6 Mars 2007 PCN Sécurité1 Le GET et la sécurité Savoir faire Stratégie Projets.

6 Mars 2007 PCN Sécurité1 Le GET et la sécurité Savoir faire Stratégie Projets.
Lecartable électronique®

Le"cartable électronique"®
THALES - Service Techniques et Architectures Informatiques - 9 Mars 2001 Colloque 2001 Infrastructure de Confiance sur des Architectures de Réseaux -Internet.

THALES - Service Techniques et Architectures Informatiques - 9 Mars 2001 Colloque 2001 Infrastructure de Confiance sur des Architectures de Réseaux -Internet.
Julien HERON.

Julien HERON.
INTRODUCTION INTRODUCTION ERGONOMIE Tri par cartes Formulaires Interface Installation Lanceur Documentation TECHNOLOGIES XML + XSL CSS Formulaires génériques.

INTRODUCTION INTRODUCTION ERGONOMIE Tri par cartes Formulaires Interface Installation Lanceur Documentation TECHNOLOGIES XML + XSL CSS Formulaires génériques.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
PRESENTATION CHAMBERSIGN FRANCE 2010. Qui est ChamberSign France ? ChamberSign est une association créée en 2000 par les Chambres de Commerce et dIndustrie.

PRESENTATION CHAMBERSIGN FRANCE Qui est ChamberSign France ? ChamberSign est une association créée en 2000 par les Chambres de Commerce et dIndustrie.
Yannick Bouchet le 23/04/2002 CLUSIR Rhône Alpes Dossier des études et des présentations de lannée. septembre 2001 / mai 2002.

Yannick Bouchet le 23/04/2002 CLUSIR Rhône Alpes Dossier des études et des présentations de lannée. septembre 2001 / mai 2002.
Décembre 2007 1 Service de consultation des droits en ligne Réunion Editeurs du 07 12 2007.

Décembre Service de consultation des droits en ligne Réunion Editeurs du
18 avril 2002réunion Datagrid France1 E-toile Plate-forme RNTL 2001 Environnement matériel et logiciel pour le développement et l expérimentation de grille.

18 avril 2002réunion Datagrid France1 E-toile Plate-forme RNTL 2001 Environnement matériel et logiciel pour le développement et l expérimentation de grille.
Certificats Globus et DataGrid France

Certificats Globus et DataGrid France
Localisation de services techniques dans un modèle à composants H. GRINE, C. Hérault, S. Lecomte, T. Delot Journées Composants, le Croisic 7 avril 2005.

Localisation de services techniques dans un modèle à composants H. GRINE, C. Hérault, S. Lecomte, T. Delot Journées Composants, le Croisic 7 avril 2005.

Présentations similaires

Annonces Google