620 likes | 1.03k Views
Les certificats numériques. TRFTSI 13 janvier 2011 www.bsti.ulaval.ca Document daté du 12 janvier 2011. Document de travail. Agenda. Objectifs de la rencontre; Rappeler les objectifs de l’utilisation des certificats numériques; Rappeler certains concepts essentiels aux certificats;
E N D
Les certificats numériques TRFTSI 13 janvier 2011 www.bsti.ulaval.ca Document daté du 12 janvier 2011 Document de travail
Agenda • Objectifs de la rencontre; • Rappeler les objectifs de l’utilisation des certificats numériques; • Rappeler certains concepts essentiels aux certificats; • Les risques et les mesures de sécurité à considérer pour le choix d’un certificat; • Recommandations; • Questions.
Objectifs de la rencontre • Rappeler les objectifs de l’utilisation des certificats; • Comprendre les risques associés à l’utilisation des certificats et les mesures pour diminuer ces risques dans le contexte de l’Université Laval; • Proposer certains éléments de solution pour la mise en place des mesures de sécurité.
Pourquoi utiliser les certificats ? Il existe deux raisons principales qui justifient l'utilisation d'un certificat : • Pour prouver l'identité de vos services (Web, Courriel…) et créer ainsi un lien de confiance dans l’utilisation de ceux-ci; • Pour offrir une confidentialité des données envoyées vers vos services par l'intermédiaire du chiffrement. Si jamais des renseignements étaient interceptés, ils seraient inintelligibles sans la clé unique nécessaire à leur déchiffrement (en combinaison avec le protocole SSL).
Qu’est-ce qu’une autorité de certification ?La définition • Une autorité de certification (AC) est chargée de délivrer et d'assigner un certificat liant un domaine (et certains sous-domaines) à un propriétaire. Elle est aussi chargée de leur assigner une date de validité (péremption) et de maintenir les certificats révoqués ou expirés; • En délivrant un certificat, l’AC se portera garant de l’identité de l’entité possédant le certificat (propriétaire). Donc l’AC joue le rôle d’une tierce partie de confiance par rapport aux différentes entités utilisant les certificats numériques.
Qu’est-ce qu’une autorité de certification ?Qui peut devenir une AC ? • N’importe qui peut se déclarer comme une AC, mais pas forcément comme une tierce partie de confiance en laquelle tout le monde aura une totale confiance dans les certificats délivrés.
Qu’est-cequ’uneautorité de certification ?Que fait une AC lorsqu’ellereçoitunedemande ? • L’AC reçoit les demandes de création, de mise à jour, de renouvellement ou de révocation d’un certificat numérique. Par la suite, elle effectue les activités suivantes : • Elle vérifie la validité de la signature des messages reçus; • Elle s’assure de l’intégrité de la demande et de l’authentification des émetteurs; • Elle crée et signe les certificats en utilisant sa clé privée; • Elle envoie les certificats aux utilisateurs et en parallèle les transmets aux services de publication.
Qu’est-cequ’uneautorité de certification ?Les catégoriesd’AC • Les principales AC sontdivisées en deuxcatégories : • Les autorités de certification « reconnues »; • Les autorités de certification « non reconnues ».
Qu’est-ce qu’une autorité de certification ? Qu’est-ce qu’une AC reconnue ? • Une AC reconnueestn’importequelleautorité de certification dont le ou les certificats racines (Root CA) sontcontenus (préconfigurés) dans au moins un des navigateurs Web suivants: Internet Explorer, Opera, Mozilla ou Netscape; • Un Root CA estl’autorité de certification racinedans la chaîne de certificats. • Parmi les autoritésreconnues, on peut citer : Verisign, Thawte, Entrust, Comodo, Geotrust, etc. • Parmi les autorités non reconnues, on peut citer : Certinomis, E-trust, E-Certify,etc.
Qu’est-ce qu’une autorité de certification ? Qu’est-ce qui fait qu’une AC est reconnue ? • Certaines AC ne réalisent qu'une authentification très élémentaire avant d'émettre un certificat alors que d'autres réalisent des vérifications approfondies pour certifier l'identité de l'organisation soumettant la demande. Voici des exemples de différents contrôles d'authentification réalisés par les AC: • Consultation du domaine pour confirmer que la société impliquée dans la demande est propriétaire du domaine; • Vérification de l'existence de la société afin de confirmer qu'il s'agit d'une organisation légalement constituée; • Vérification de l'identité de la personne formalisant la requête pour confirmer qu'il s'agit d’un représentant autorisé.
Qu’est-ce qu’une autorité de certification ? Les types d’authentification demandés • Il est important de consulter la politique de gestion des certificats numériques de l’AC ou son offre de service pour connaître les niveaux d’authentification utilisés lors de la génération des certificats numériques : • Certificat de classe 1 : aucun contrôle de l'identité du détenteur du certificat n'est effectué (il peut prétendre être quelqu'un d'autre ou user d'un pseudonyme); • Certificat de classe 2 : l'AC effectue un contrôle sur pièce (envoi de la photocopie et des documents d'identité); • Certificat de classe 3 : l'AC demande une vérification physique, un face à face qui est délégué et effectué par une autorité d‘enregistrement; • Certificat de classe 3+ : face à face + support physique (clé USB).
Qu’est-ce qu’une autorité de certification ?Une AC dans un programme de certificat racine • Les autorités de certification doivent suivre certaines normes afin de voir publier leur certificat racine dans les principaux navigateurs. La norme indique le niveau de la qualité du certificat et donc de confiance que nous avons envers lui; • Les grandes entreprises doivent avoir fait l’objet d’un audit externe annuel selon une des normes suivantes pour être reliées (et ce, selon le programme du fournisseur): • WebTrust for Certificate Authorities v1.0 ou plus; • WebTrust for Extended Validation v1.0 ou plus; • TSI TS 101 456 v1.2.1 ou plus; • ETSI TS 102 042 V1.1.1 ou plus; • ISO 21188:2006.
Types de certificats En plus des certificats standards ou classiques, il existe d’autres types de certificats sur le marché : • Multi-domaines (wildcard) : Ce type de certificat permet de certifier un domaine complet; • Multi-sites (UCC) : Ce type de certificat est utilisé pour certifier plusieurs domaines sur une seule adresse IP.
Risque d’affairesTout est basé sur la confiance La confiance que l’on accordera autant au choix de l’autorité de certification, de la classe et du type de certificat influencera l’utilisateur à utiliser ou non nos services d’affaires.
Les risques de sécurité • Le choix de l’autorité et du certificat (classe et type) ainsi que la mise en œuvre de notre solution de gestion des certificats influenceront l’atténuation des risques suivants : • Usurpation d’identité : une personne peut se générer des certificats sous le nom de l’Université Laval pour bâtir une confiance avec l’internaute dans l’objectif de le frauder; • Interception et/ou manipulation des informations : une personne peut intercepter/modifier des informations si elle compromet la clef de chiffrement. Ceci peut se produire si le niveau de chiffrement est trop faible.
La gestion des risquesIdentification des vulnérabilités • La concrétisation de ces risques sera favorisée par l’exploitation des vulnérabilités suivantes : • Par une mauvaise manipulation des certificats numériques par son propriétaire ou un délégué; • Par une mauvaise manipulation des certificats numériques par l’autorité de certification (il faut faire le bon choix!); • Par un mauvais choix de qualité de certificat; • Par l’utilisation d’une clef de chiffrement trop petite.
La gestion des risques Mesures pour atténuer les risques • Le BSTI recommande les mesures de sécurité suivante : • Il convient de mettre en place une directive sur la gestion des certificats dans la politique de sécurité; • Il convient de définir les rôles et responsabilités reliés à la gestion des certificats; • Il convient de mettre en place un processus sommaire et des procédures de gestion et d’exploitation des certificats pour venir en appui à la politique de sécurité de l’Université Laval et aux rôles et responsabilités; • Il convient de mettre des règles de sécurité à l’intérieur de ses mêmes procédures de gestion et d’exploitation.
Détail de la mesure 1Révision de la politique de sécurité • L’ensemble des travaux présentés aujourd’hui se retrouvera dans la politique de sécurité suivant sa présente révision.
Détail de la mesure 2Définition des rôles et responsabilités • Nous recommandons au minimum la mise en place des 2 rôles suivants: • Gestionnaire central de certificats (DTI); • Répondant local de sécurité (par unité).
Détail de la mesure 2Rôle et responsabilités - GCC Gestionnaire central des certificats (DTI) • Rôle : Un gestionnaire central des certificats (GCC) est chargé d’administrer et d’opérer un service de gestion de certificats offert à l’ensemble des unités. À cette fin, le GCC est responsable de l’ensemble des aspects opérationnels et technologiques associés à la délivrance des certificats et aux opérations subséquentes reliées à leur cycle de vie. • Responsabilités : • Mettre en place les mécanismes de communication permettant d’assurer la cohérence opérationnelle entre les différents répondants locaux de sécurité de l’Université Laval avec qui il collabore; • Gérer les certificats à travers leur cycle de vie; • Être le répondant auprès des autorités de certification; • Maintenir le niveau de confiance entourant la gestion des certificats par différents moyens de contrôle et par des mesures de sécurité s’appliquant aux volets opérationnel, administratif, physique et technologique; • S’assurer que les processus et les procédures reliés à la gestion des certificats sont documentés et reflètent la réalité.
Détail de la mesure 2Rôle et responsabilités - RLS Répondant local de sécurité (Unité) • Rôle: Le répondant local de sécurité (RLS) autorise l'attribution de certificats et en gère l'usage à l'intérieur de son champ de responsabilités (juridiction). • Responsabilités: • Maintenir le niveau de confiance entourant la gestion des certificats par différents moyens de contrôle et par des mesures de sécurité s’appliquant aux volets opérationnel, administratif, physique et technologique; • Appliquer les procédures d’utilisation des certificats sous sa juridiction; • Respecter leurs obligations en matière de sécurité de l’information, notamment en ce qui concerne l'obligation de préserver l'intégrité et la confidentialité de leurs clés privées; • Informer le GCC de tout élément dont il a connaissance pouvant mener à la création, la modification, à la récupération, le renouvellement, à la suspension ou à la révocation d’un certificat; • S’assurer du respect de la politique de sécurité et de ses directives pour la gestion des certificats numériques; • S’assurer que les processus et les procédures reliés à la gestion des certificats sous leur juridiction sont documentés et reflètent la réalité.
Détail de la mesure 3Les processus et procédures • Le processus sommaire devrait décrire la gestion entourant les certificats; • Des procédures devraient appuyer le processus sommaire sur les actions suivantes: • Générer et obtenir des certificats numériques; • Distribuer des certificats numériques aux utilisateurs habilités selon un mode d’attribution défini et sécuritaire; • Emmagasiner les certificats numériques dans un endroit que seules les personnes habilitées ont accès; • Mettre à jour ou remplacer les certificats numériques, et ce, selon des règles déterminées; • Traiter les certificats numériques compromis (un certificat est compromis lorsqu’une personne habilitée à manipuler les certificats quitte l’unité ou l’Université); • Révoquer les certificats numériques; • Détruire les certificats numériques; • Journaliser et auditer les activités liées à la gestion des certificats numériques.
Détail de la mesure 4Règles dans le choix de l’AC • Voici les règles pour définir le choix d’un AC: • Il convient que l’AC soit un organisme reconnu disposant de mesures et de procédures appropriées qui garantissent le degré de fiabilité requis. Pour ce faire, l’AC doit être inséré dans les programmes de certificat racine pour Microsoft Internet Explorer et Mozilla Firefox; • L’AC doit posséder une politique qui couvre les questions de responsabilité juridique et de fiabilité des services. On devrait être en mesure de retrouver une assurance qui couvre au minimum des protections (responsabilité financière et garantie d’émission) en fonction des risques associés à l’utilisation du certificat en cas de négligence.
Détail de la mesure 4Règles dans le choix de l’AC (suite) • L’AC doit être en mesure d’authentifier le demandeur d’un certificat selon la classe 1, 2 et 3.
Détail de la mesure 4Règles associées à la qualité des certificats • Bien qu’un certificat puisse être utilisé à plusieurs fins, nous recommandons ceci : • Certificat de classe 1: ceux-ci doivent être utilisés seulement dans les sites Web pour sécuriser la connexion entre le client et le serveur Web. Ce dernier ne doit pas être utilisé pour des authentifications ou pour appuyer un contrat entre l’internaute et le service Web (non-répudiation). On peut utiliser ces types de certificat pour les environnements de test ou de développement; • Certificat de classe 2 :ceux-ci doivent être utilisés pour l’authentification, le chiffrement et l’application de signature pour le courrier électronique uniquement.
Détail de la mesure 4Règles associées à la qualité des certificats (suite) • Les certificats de type multi-domaines ne sont pas permis étant donné les enjeux sur la disponibilité des services utilisant la même clef privée.
Détail de la mesure 4Règle associée aux paramètres de configuration des services technologiques • La longueur de la clef de chiffrement utilisé dans la transaction sécurisée doit au minimum de 256 bits.
Qu'est-ce qu’un certificat numérique ? Selon Wikipedia, un certificat électronique est une carte d'identité numérique dont l'objet est d'identifier une entité physique ou non-physique. Le certificat numérique ou électronique est un lien entre l'entité physique et l'entité numérique (Virtuel). L'autorité de certification fait foi de tiers de confiance et atteste du lien entre l'identité physique et l'entité numérique. Le standard le plus utilisé pour la création des certificats numériques est le X.509. Tel qu'on l'utilise en cryptographie et en sécurité informatique, un certificat électronique est un bloc de données contenant, dans un format spécifié, les parties suivantes : • un numéro de série; • l'identification de l'algorithme de signature; • la désignation de l'autorité de certification émettrice du certificat; • la période de validité au-delà de laquelle il sera suspendu ou révoqué; • le nom du titulaire de la clé publique; • l'identification de l'algorithme de chiffrement et la valeur de la clé publique constitués d'une paire de clés asymétriques (comme par exemple RSA); • des informations complémentaires optionnelles; • l'identification de l'algorithme de signature et la valeur de la signature numérique. http://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique
Qu’est-ce qu’une autorité de certification ? Selon Wikipedia, en cryptographie, l'Autorité de certification (AC ou CA) a pour mission, après vérification de l'identité du demandeur du certificat par une autorité d'enregistrement, de signer, émettre et maintenir • les certificats (CSR : CertificateSigningRequest) • les listes de révocation (CRL : CertificateRevocation List) L'autorité de certification (AC) opère elle même ou peut déléguer l'hébergement de la clé privée du certificat à un opérateur de certification (OC) ou autorité de dépôt. L'AC contrôle et audite l'opérateur de certification sur la base des procédures établies dans la Déclaration des Pratiques de Certification. L'AC est elle-même accréditée par une autorité de gestion de la politique qui lui permet d'utiliser un certificat renforcé utilisé par l'OC pour signer la clé publique selon le principe de la signature numérique. http://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique
Qu’est-ce qu’une autorité d’enregistrement ? Selon Wikipedia, dans le cadre de la délivrance de certificats électroniques en vue notamment de mettre en œuvre la signature électronique, l'Autorité d’Enregistrement, généralement abrégée AE est l'entité qui vérifie que les demandeurs ou les porteurs de certificat sont identifiés, que leur identité est authentique et que les contraintes liées à l’usage d’un certificat sont remplies, tout cela conformément à la politique de certification. • L’AE peut avoir également pour tâche de réceptionner les demandes de révocation de certificats et peut les traiter : en cas de validité de la demande, le certificat sera révoqué et ajouté à la Liste de révocation ou CRL de l'Autorité de certification) ; • L’AE archive les dossiers de demande de certificats ou de révocation ; • L’AE peut être constituée d’une seule unité ou d’unités distinctes coopérant entre elles ou hiérarchiquement dépendantes. Diverses structures sont acceptables du moment qu’elles sont adaptées aux exigences de la PC en matière d’enregistrement des abonnés. Ainsi l’AE peut déléguer tout ou partie de ses fonctions à des unités de proximité, qui seront désignées sous le nom d'AE locales. http://fr.wikipedia.org/wiki/Autorit%C3%A9_d%27enregistrement
Qu’est-ce qu’une politique de certification ? Selon Wikipedia, la Politique de Certification est un document important dans le cadre de la mise en œuvre des applications mettant en jeu une signature électronique. Couramment abrégé par le sigle PC la Politique de certification est l'ensemble de règles, définissant les exigences auxquelles l’autorité d'enregistrement se conforme dans la mise en place de prestations adaptées à certains types d’applications. La politique de certification doit être identifiée par un OID défini par l'autorité de certification. L'OID ou Identificateur d’objet, est un identificateur alphanumérique unique enregistré conformément à la norme d’enregistrement ISO pour désigner un objet ou une classe d’objets spécifiques. http://fr.wikipedia.org/wiki/Politique_de_certification
Qu’est-ce qu’une signaturenumérique ? Selon Wikipedia, la signature numérique est un mécanisme permettant d'authentifier l'auteur d'un document électronique et de garantir son intégrité, par analogie avec la signature manuscrite d'un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes : • Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature. • Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte. Pour cela, les conditions suivantes doivent être réunies : • Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine. • Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un ne peut se faire passer pour un autre. • Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document. • Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier. • Irrévocable : La personne qui a signé ne peut le nier. La signature électronique n'est devenue possible qu'avec la cryptographie asymétrique. Elle se différencie de la signature écrite par le fait qu'elle n'est pas visuelle, mais correspond à une suite de nombres. http://fr.wikipedia.org/wiki/Signature_num%C3%A9rique
Qu’est-ce qu’un le protocole SSL ? Selon Wikipedia, Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF suite au rachat du brevet de Netscape par l'IETF en 2001. … TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants : • l'authentification du serveur ; • la confidentialité des données échangées (ou session chiffrée) ; • l'intégrité des données échangées ; • de manière optionnelle, l'authentification ou l'authentification forte du client avec l'utilisation d'un certificat numérique ; • la spontanéité, c.-à-d. qu'un client peut se connecter de façon transparente à un serveur auquel il se connecte pour la première fois ; • la transparence, qui a contribué certainement à sa popularité. Du fait que les protocoles de la couche d'application n'aient pas à être modifiés pour utiliser une connexion sécurisée par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte à un schème http ou https. http://fr.wikipedia.org/wiki/Secure_Sockets_Layer
Qu’est-ce qu’OID ? Selon Wikipedia, les OID (pour Object Identifier) sont des identifiants universels, représentés sous la forme d'une suite d'entiers. Ils sont organisés sous forme hiérarchique. Ainsi seul l'organisme 1.2.3 peut dire quelle est la signification de l'OID 1.2.3.4. Ils ont été définis dans une recommandation de l’International Telecommunication Union. L'IETF a proposé de représenter la suite d'entiers constituant les OID séparés par des points. L'objectif des OID est d'assurer l'interopérabilité entre différents logiciels. Les OID sont utilisés dans le monde LDAP mais aussi dans d'autres domaines, comme les logiciels SNMP pour identifier des ressources. Il est possible d'obtenir un OID, et par conséquence toute une branche, auprès de l'IANA. Dans le monde LDAP les objets, les attributs, les syntaxes et les règles de comparaison sont référencés par un OID. La RFC 2256 normalise un certain nombre de ces objets. http://fr.wikipedia.org/wiki/OID
Qu’est-ce qu’une classe de certificats ? Selon Wikipedia, ce concept a été développé par la compagnie Verisign. Les classes sont définies en fonction des niveaux de sécurité, comme suit : • classe 1 : Pour les individus : adresse électronique du demandeur requise; • classe 2 : Pour les organisations ou individus : preuve de l'identité requise (photocopie de carte d'identité par exemple ou bien numéro SIRET/SIREN et nom de domaine); • classe 3 : Pour les serveurs ou logiciels dont le titulaire a été authentifié (présentation physique du demandeur obligatoire). • classe 3+ : identique à la classe 3, mais le certificat est stocké sur un support physique (clé USB à puce, ou carte à puce; exclut donc les certificats logiciels) http://fr.wikipedia.org/wiki/Certificat_num%C3%A9rique
Qu’est-ce qu’une liste de révocation des certificats ? Selon Wikipedia, la liste de révocation de certificats (CRL, certificaterevocationlist) est la liste des identifiants des certificats qui ont été révoqués ou ne sont plus valables et qui ne sont plus dignes de confiance. Un certificat peut devenir invalide pour de nombreuses raisons autres que l'expiration naturelle, telles que la perte ou la compromission de la clé privée associée au certificat ou le changement d'au moins un champ inclus dans le nom du titulaire/ détenteur du certificat. http://fr.wikipedia.org/wiki/Certificate_Revocation_List