Академический Документы
Профессиональный Документы
Культура Документы
-3Architecture PKI
Plan
Introduction Architecture et composantes Analogie : carte d'identit nationale Entits et rles respectifs Gestion/Cycle de vie des certificats Demande de certificat Signature de demande de certificat Publication de certificat Rvocation de certificat Politique et nonc des pratiques de certification Dmonstrations
- 139 Franck Davy - Herv Schauer Consultants 2001-2003 - Reproduction Interdite
Introduction
Architecture et composantes
Dpt du formulaire accompagn de pices justificatives ( la mairie) Validation (Formulaire + Pices) par un service metteur Demande transmise la prfecture/sous-prfecture, pour dlivrance de la carte Mise disposition de la carte d'identit
Mairie Commissariat de Police Prfecture/sous-prfecture
- 142 -
Authentification : n.f. Action d'authentifier Authentifier : v.tr. Certifier authentifique, conforme, certain Autorisation : n.f. Action d'autoriser Autoriser : v.tr. Accorder quelqu'un la permission de (faire quelquechose)
Le certificat X509v3 certifie le lien entre DN et clef publique Seul un service d'authentification est rendu
Au sein d'une mme communaut d'intrt, considrant l'autorit de certification racine comme une autorit de confiance
- 143 -
SSLVerifyClient none|require|optional|optional_no_ca
Directive spcifiant le caractre obligatoire de la prsentation d'un certificat client. Des variables d'environnement sont initialises suite la prsentation d'un certificat client. Dpendantes de l'implmentation SSL/TLS employe : mod_ssl, apache-ssl ? Permettent l'accs, en lecture, aux paramtres du certificat par une application
- 144 -
SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
- 145 -
2. Autoriser les utilisateurs sur la base des variables d'environnement drives du certificat client
- 146 -
- 147 -
Modle hybride
- 148 -
Centralise
D-corrlation des phases d'enregistrement et de gnration du bi-clef Bi-clef gnr dans un site scuris , puis dlivrance du certificat (sur carte puce, par exemple) l'utilisateur Exigences de scurit diffrentes Problme de la non-rpudiation pour la clef prive de signature CA Publiques : sauvegarde des certificats X.509 seuls CA Prives : sauvegarde du certificat de signature et du bi-clef de chiffrement
- 150 -
$ openssl req -new -config ./openssl.cnf -newkey rsa:1024 -nodes \ -keyout private_key.pem -out req.csr
- 151 -
Champ Data
Ensemble des donnes administratives entres via un formulaire Clef publique RSA gnre (au format PKCS#1 !) Structure ASN.1 'Data:' (encode suivant la syntaxe de transfert DER) signe Signature avec la clef prive correspondant la clef publique (champ 'RSA Public Key' figurant dans le certificat (la clef prive n'est pas divulgue l'autorit signataire !)
Champ Signature
- 152 -
Procdure dcrite :
Initialisation
$ openssl req -engine luna2 -keyform engine -text -key DSA-public:1:1234 \ -out request.csr -engine : spcifie le token -key : Nom de la cl : Slot de la carte PCMCIA : Code PIN
$ openssl smime -sign -engine luna2 -in email.txt -out signed.email.txt \ -signer certficate.pem -keyform engine -inkey DSA-Public:1:1234
- 153 -
Une clef RSA de 512 (export), 768 ou 1024 bits est gnre La clef prive RSA est conserve dans la base de donne locale des certificats La clef publique et le challenge sont signs par la clef prive Protection contre le rejeu (les donnes soumises ne sont pas signes !) Encodage DER de la structure PublicKeyAndChallenge
PublicKeyAndChallenge ::= SEQUENCE { spki SubjectPublicKeyInfo, challenge IA5STRING } SignedPublicKeyAndChallenge ::= SEQUENCE { publicKeyAndChallenge PublicKeyAndChallenge, signatureAlgorithm AlgorithmIdentifier, signature BIT STRING }
- 154 -
- 155 -
- 156 -
Schma inetOrgPerson
- 157 -
X509v3 CRL Distribution Points: URI:http://crl-acracine.certinomis.com/acracine.crl URI:h DNS:ldap.certinomis.com DirName:/C=FR/O=CertiNomis/OU=AC Racine - Root CA/CN=CertiNomis
# CertiNomis Classe 2+, CertiNomis ,FR dn: cn=CertiNomis Classe 2+, o=CertiNomis ,c=FR certificaterevocationlist;binary:: MIIBJjCBkgIBATANBgkqhkiG9w0BAQUFADBBMQswCQY [..] tsyl7hmtQH/0z2HhJV63yek1hLjuJ4s//53cwNzFyM+607g== certificaterevocationlist;base64:: TulJQkpqQ0JrZ0lCQVRBTkJna3Foa2lHOXcwQkFRVUZ [...] zFoTGp1SjRzLy8KNTNjd056RnlNKzYwN2c9PQo= objectclass: top objectclass: crlDistributionPoint cn: CertiNomis Classe 2+
- 158 -
application/pkix-cert application/pkix-crl
Points de publication
CRL (Protocole HTTP gnralement, mthode GET classiquement) Extension cRLDistributionPoints
URI:http://bar/crl/foobar.crl
- 159 -
OCSP URI:http://foobar/
- 160 -
- 161 -
Mcanisme de CRL
Publication d'une liste priodiquement mise jour des certificats rvoqus
Certificats identifis par Leur autorit signataire Leur numro de srie, unique pour une autorit signataire donne Liste signe par l'autorit signataire Ou une autorit dlgue Prsence de l'extension v3 cRLSign dans le certificat de l'autorit mettant la CRL :
X509v3 Key Usage: CRL Sign
- 162 -
- 163 -
- 164 -
X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 CRL Distribution Points: URI:http://crl.verisign.com/RSASecureServer.crl X509v3 Certificate Policies: Policy: 2.16.840.1.113733.1.7.1.1 CPS: https://www.verisign.com/CPS User Notice: Organization: VeriSign, Inc. Number: 1 Explicit Text: VeriSign's CPS incorp. by reference liab. ltd. (c)97 VeriSign X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Authority Information Access: OCSP - URI:http://ocsp.verisign.com
- 165 -
28 42 43 44
TCP:0.0.0.0:1183 195.101.88.66:443 TCP:Connection obj SUCCESS Context:0x80118948 TCP:Connection obj SUCCESS TCP:0.0.0.0:1184 TCP:0.0.0.0:1184 216.168.253.32:80
- 166 -
1731 20:22:08 IEXPLORE.EXE:964 IRP_MJ_CREATE C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\ Content.IE5\XH7R96CX\RSASecureServer[1].crl SUCCESS Attributes: N Options: Create 1732 20:22:08 IEXPLORE.EXE:964 IRP_MJ_WRITE C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\ Content.IE5\XH7R96CX\RSASecureServer[1].crl SUCCESS Offset: 0 Length: 685 [...] 2535 20:22:23 IEXPLORE.EXE:964 IRP_MJ_CREATE C:\Documents and Settings\Administrateur\ Local Settings\Temporary Internet Files\Content.IE5\4XKXAXPM\certplus[1].htm SUCCESS Attributes: N Options: Create
Latence importante de la taille de la CRL 797ko Fonctionnalit similaire dans Mozilla et Netscape 6 Avec la possibilit d'effectuer un tlchargement priodique des CRL, et non simplement ponctuel, la consultation d'un site
- 167 -
$ openssl ocsp -url http://ocsp.verisign.com -issuer ./trust/ca.pem \ -CAfile ./trust/ca.pem -cert ./certplus.pem -text OCSP Request Data: Version: 1 (0x0) Requestor List: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 0E9290B27AA8BAF65D3C9229AFE8F31DB953B2DA Issuer Key Hash: 034FA3A36BCBEC6D0760176CEC9ABF67C542F26A Serial Number: 47C1C31DC6D28C5C2000373C7F5D90C1 Request Extensions: OCSP Nonce: 705BFEE68E6F0B631DDF3C57AEDC4AD8
- 168 -
OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = Terms of use at https://www.verisign.com/RPA (c)00, CN = Secure Server OCSP Responder Produced At: Jun 16 13:29:56 2002 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 0E9290B27AA8BAF65D3C9229AFE8F31DB953B2DA Issuer Key Hash: 034FA3A36BCBEC6D0760176CEC9ABF67C542F26A Serial Number: 47C1C31DC6D28C5C2000373C7F5D90C1 Cert Status: good This Update: Jun 16 13:29:56 2002 GMT Response Extensions: OCSP Nonce: 705BFEE68E6F0B631DDF3C57AEDC4AD8
- 169 -
Politique d'mission des certificats, qui prcise dans quel cadre le certificat peut tre utilis
Vrification est la charge de l'utilisateur
- 170 -
nonc des pratiques employes par l'autorit de certification pour mettre un certificat
- 171 -
PC2
- 172 -
Autre...
Issuer: O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
- 173 -
Dmonstrations
- 174 -
Questions ?
- 175 -
Remerciements.
Herv Schauer, Ghislaine Labouret et l'ensemble des consultants du cabinet HSC, pour leurs conseils et leur relecture Ahmed Serhrouchni, pour son encadrement et ses enseignements l'ENST
- 176 -