eig

Ecole d'ingénieurs - hes

Genève

6 - Public Key Infrastructure (PKI)

&
Authentification forte dans un
domaine Windows 2000
Philippe Logean
Ecole d’Ingénieurs de Genève
Laboratoire de transmission de données

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 1

 Vue générale
EIG EIVD
Domain Firewall Firewall Domain
internet
Controller VPN VPN Controller
ISP ISP
CA CA
KEON ADSL Open

Client NAT Client

W2k W2k/Linux

Server Server
W2k Client Client W2k/Linux
W2k W2k
IP phone IP phone

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 2

 Public Key Infrastructure (PKI)

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002

 Chiffrement symétrique

Symmetric Symmetric
Key Key
Alice Bob
Mom’s sXk$% Mom’s
Secret Sikow@ Secret
Apple @dilIF* Apple
Pie lix%kT Pie
Recipe Recipe

La même clé est utilisée au chiffrement et au déchiffrement

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 4

 Chiffrement asymétrique
X Y
Alice Key Key
Bob
sXk$%
Mom’s Mom’s
Sikow@
Secret Secret
@dilIF*
Apple Apple
lix%kT
Pie Pie
Recipe Recipe

Ce qui est chiffré avec la clé X ne peut être déchiffré

qu’avec la clé Y.

• X = clé publique
• Y = clé privé
Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 5
 Public Key Infrastructure (PKI)

• Une infrastructure à clé publique (Public Key

Infrastructure) crée un espace de confiance qui permet de
gérer tous les aspects de sécurité : authentification des
utilisateurs et des entités techniques, confidentialité -
intégrité des données et non-répudiation des transactions

• Elle est constituée par des services de génération et de

diffusion des certificats numériques (sorte de carte
d’identité virtuelle) et des clés nécessaires au chiffrement
et au déchiffrement

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 6

 Trusted Authority
• Tiers garant, tiers de confiance

Trusted
Direct Trust Authority Direct Trust

Alice Charly Bob

Implicit Trust

• Alice et Bob sans Charly !

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 7
 Certificate Authority (CA)

Certificate
Pri Database
Certificate
Authority
Pub

Pri Alice Pub Pub Bob Pri

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 8

 Certificat numérique - Démo…

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 9

 Certificat numérique (suite)
• Un certificat est un fichier d'un millier d'octets qui prouve
un lien entre une entité et sa clé publique.

• Entité = individu, hardware (router, server), software

process (Java applet), fichier, …

• Il contient en clair, son identité, sa clé publique, le format,

le numéro de série du certificat, la période de validité, le
type d'algorithme.

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 10

 Certificate Revocation List (CRL)
Liste des certificats révoqués

Publiée et signée par la CA

Certificats révoqués = invalides et inutilisables

Causes:
• Compromission de la clé privée
• Compromission du propriétaire

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 11

 Authentification forte dans un
domaine Windows 2000

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002

 Authentification forte
Facteurs d’authentification :

• Something you know (mot de passe, PIN, …)

• Something you have (token, carte à puce, …)

• Something you are (empreinte, iris de l’œil, …)

à procédés biométriques

Authentification forte si au moins 2 types différents sont

utilisés : token + PIN, biométrie + smartcard, …
Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 13
 Authentification forte - Démo…
EIG EIVD
Domain Firewall Firewall Domain
internet
Controller VPN VPN Controller
ISP ISP
CA CA
KEON ADSL Open

Client NAT Client

W2k W2k/Linux

Server Server
W2k Client Client W2k/Linux
W2k W2k
IP phone IP phone

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 14

 Configuration testée
Active Directory
CA Keon

Domain Admin

Security Policy

Policy
Distribution,
Certificate
Certificate
Enrollment
Publication,
and
etc.
Revocation
eToken

Domain Logon
DC / KDC

Domain Client

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 15

 Intégration de la CA Keon
• Communication entre AD et CA à LDAP

• Autoriser les certificats délivrés par la CA Keon pour

l’authentification dans le domaine Win2k (trust)

• Délivrer un certificat au DC à Signature des réponses

PKINIT

• Générer des certificats utilisateurs contenant les

extensions propriétaires nécessaire à Authentification
dans le domaine

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 16

 Structure PKI
TelecomeigRoot
CA
Subject:
ca1.telecomeig

Self-signed

CA Keon

ca1.telecomeig
User Certificate (Vectra25)
DC Certificate
Issuer:
ca1.telecomeig Issuer:
Subject: ca2.telecomeig
Alice Subject:
dc1.telecomeig

Client DC
eToken
Win2k Active Directory

host.telecomeig dc1.telecomeig
eToken (Vectra24)

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 17

 Extensions propriétaires - Démo…

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 18

 Authentification d’un utilisateur Active Directory

Poste Client
Winlogon
GINA
LSA User@domain User Info
7. AS request 8. 9.
1. DC Certificate
- User Certificate KDC
- Authenticator + Signature
Issuer:
SSP Kerberos ca2.telecomeig
10. AS response AS Subject:
- TGT+ Session Key + KDC Certificate dc1.telecomeig

4. 6. CSP Tracer

TGS
2. 3. CSP

5.
User Certificate GINA: Cryptographic Identification and
Driver eToken
Issuer:
Authentication
ca2.telecomeig
2. 3. 5. Analyseur USB LSA: Local Security Authority
Subject:
Alice
Private Key SSP: Security Support Provider
CSP: Cryptographic Service Provider

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 19

 Authentification d’un utilisateur (suite)
1. Saisie du PIN dans Winlogon lors de la connexion de
l’eToken. Transmis au SSP Kerberos

2. Appel au driver de l’eToken. Envoi du PIN pour accéder

aux données contenues dans l’ eToken

3. Récupération du certificat utilisateur par le SSP

4. Génération, par le SSP, d’un authentifieur contenant un

Timestamp. Transmis au CSP

5. Signature de l’authentifieur par le CSP (réalisé dans

l’eToken ou sur le poste client)
Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 20
 Authentification d’un utilisateur (suite)
6. Signature retournée au SSP

7. Requête AS (Authentication Service) au KDC pour obtenir

le TGT. Contient : certificat, authentifieur et signature

8. Vérification de la validité du certificat (Certification Path,

CRL, trust CA). Vérification de la signature. Recherche
des informations de l’utilisateur (user@domain)

9. Récupération des informations utilisateur (user SID

(Security Identifier), group SID) pour construire le TGT

10. Réponse AS contenant le TGT. Chiffré avec la clé

publique du client et signée par le KDC
Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 21
 Conclusion
• Authentification par certificat (PKINIT, CRL, …) permet
d’atteindre un haut niveau de sécurité

• Degré de sécurité dépendant du type de token

• Sécurité = Information aux utilisateurs

Problèmes rencontrés :
• Manque d’information pour l’intégration de la CA Keon
dans AD

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 22

 Questions

Laboratoire de transmission de données EIG/HES-SO Ph. Logean 21 novembre 2002 23