SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation...
-
Upload
telecomvalley -
Category
Technology
-
view
1.428 -
download
0
description
Transcript of SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation...
Ce cycle de conférence est porté par
la Commission Open Source
Telecom Valley
dont les objectifs sont le partage de
connaissances, l'échange de best practices et
l'animation de l'éco-système du logiciel libre
azuréen
Commission Open SourceSophiaConf2010
4 conférences gratuites
proposées par la commission Open Source
de Telecom Valley
Mercredi 30 Juin 17h30
Gestion des identités
et sécurisation des services web :
réalités & perspectives
par Hubert LE VAN GONGExpert en sécurisation des services web
Lundi 05 Juillet 17h30
Android :
Tout savoir sur l'évolution des 12 derniers mois
et de l'année à venir
par Arnaud FARINE
Consultant Technique, Expert Android
Jeudi 08 Juillet 14h
HTML5 :
une plateforme contemporaine pour le Web
par JULIEN QUINT
Consultant Indépendant, expert du WEB et du XML
17h30
Méthodologie de gestion de projet agile :
SCRUM
par Claude AUBRY
Consultant expert dans le génie Logiciel
Mercredi 30 Juin 17h30
Geston des identtés et sécurisaton des services web :
réalités & perspectves
par Hubert LE VAN GONGExpert en sécurisaton des services web
IntroductionArchitecte
IntroductionArchitecte
IntroductionArchitecte
● Spécialiste de la Gestion des identités & services web
– Représentant Sun au sein d'organismes de standardisations● Liberty Alliance, Kantara Initiative, IETF etc.
● Community Leader pour OpenSSO
● Dévelopeur (OAuth) – Déploiement (openid.sun.com)
● CTO's Office (interopérabilité Sun-Microsoft)
● http://blog.levangong.com
hubertlvg at gmail.com
5 / 63
Plan● La Problématique
● Evolution des besoins
● Un cycle complet
● Technologies● Web SSO● Services Web
● Le Futur
6 / 63
Gestion Des IdentitésAudience
● Service web entre entreprises● Service web intra-entreprise● Consumer facing companies (“web 2.0”)
Problèmes & Objectifs● Une explosion de la complexité● Rationalisation des coûts● Limitation des risques
7 / 63
Évolution des BesoinsDans l'Entreprise
● Outsourcing● Intégration merger etc.
Sur le Web
● Progression des besoins // évolutions web
8 / 63
Evolution: Toujours Plus Complexe
# ApplicationsWeb
# RelationsEn Ligne
# Identités Web
9 / 63
Evolution: Toujours Plus Complexe
# ApplicationsWeb
# RelationsEn Ligne
# Identités Web
10 / 63
Evolution: Toujours Plus Complexe
# ApplicationsWeb
# RelationsEn Ligne
# Identités Web
11 / 63
Evolution: Toujours Plus Complexe
Objectif !!
# RelationsEn Ligne
# ApplicationsWeb
# Identités Web
12 / 63
Évolution des BesoinsRisques plus importants
● Vie privée● Entreprises plus exposées (risques, pénal)
13 / 63
Évolution des BesoinsRisques plus importants
● Vie privée● Entreprises plus exposées (risques, pénal)
Profile utilisateurpublic par défaut
Force le partaged'informationsadditionelles
Distribution d'applicationsnon désirées
Extension browser→ info à Google
Street View→ quand la tentation est trop grande
14 / 63
Quels Objectifs ?Limiter Les Risques● Sécuriser les services webs et leurs échanges
● Limiter le vol d'identité pour le consommateur
● Limiter l'exposition légale d'une entreprise
● Traçabilité / Audit
Autres Avantages● Meilleure interopérabilité
● Architecture plus simple, plus efficace
● Satisfaction de l'usager
15 / 63
Quels ObjectifsRationaliser Les Coûts● Réduction moyens informatiques (stockage, IT etc.)
● Eviter les duplications de BD
● Déveloper les collaborations (intra & inter entreprises)
16 / 63
Scenario – Privacy Freak● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit● Livraison à mon lieu de travail
La Piscine Ma Banque
Moi
JeLivre.biz
1
3
2
4
17 / 63
Scenario – Privacy Freak● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit● Livraison à mon lieu de travail
La Piscine Ma Banque
Moi
JeLivre.biz
1
3
2
4
Adresse?
Espion?
Achat?
18 / 63
Une Gestion des Identités Globale
Un cycle complet● Provisioning● Authentification / Controle d'accès / Autorisation● Logging● Audit● De-provisioning
19 / 63
Une Gestion des Identités Globale
Identités de qui ?
● Au niveau du message
● Au niveau des cibles
Emetteur
Récepteur
Commanditaire
Destinataire
Acteurs ?
identité identité
ou
20 / 63
Les Technologies
LDAP
Passport
SAML 1.0
ID-FF 1.2
SAML 2.0
InfoCardID-WSF 2.0
WS-* OpenID 2.0OpenID 1.0
OAuth 1.0
21 / 63
Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”
22 / 63
Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”
Cercle de Confiance
IdP
SP
SP
23 / 63
Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”
Single Sign-OnSingle Sign-On Partage d'AttributsPartage d'Attributs
L'usage, pas le stockage!
Délégation d'authentificationCercle de Confiance
IdP
SP
SP
24 / 63
Fédération des Identités (2)+ ● Nouvelles opportunités de business
● Délocaliser services auprès de partenaires
● Satisfaction clients/usagers
● Règles / Protocoles
● Sécurité de l'information
● Privacy
● Conformité aux lois
25 / 63
Fédération des Identités (3)Principaux Protocoles
● SAML (évolution de Liberty Alliance ID-FF)● Shibboleth● OpenID● WS-Federation
Adoption● Secteur Privé (banques, Telcos etc.)● Gouvernements: France, Nouvelle-Zélande,
Canada etc.● Education: Universités
26 / 63
SAML Security Assertion Markup Language propose:
● Single Sign-On– Browser standards– Clients HTTP qui connaissent l'IdP mais sans SOAP
● Single Log Out● Fédération d'identités
– Préserve l'anomimité– Utilise identifiant respectant la vie privée
● Échange d'attributs
27 / 63
SAML
AssertionsAuthentification
AutorisationAttributs
AssertionsAuthentification
AutorisationAttributs
28 / 63
SAML
AssertionsAuthentification
AutorisationAttributs
AssertionsAuthentification
AutorisationAttributs
ProtocolesRequêtes/Réponses pourobtenir des assertions et
gérer les identités
ProtocolesRequêtes/Réponses pourobtenir des assertions et
gérer les identités
SSO profilesArtifact resolutionNameID mappingSAML attributes
29 / 63
SAML
AssertionsAuthentification
AutorisationAttributs
AssertionsAuthentification
AutorisationAttributs
BindingsMapper les protocoles SAML
sur des protocolesde message & transport
BindingsMapper les protocoles SAML
sur des protocolesde message & transport
SOAPReverse SOAPHTTP RedirectHTTP POSTHTTP Artifact
ProtocolesRequêtes/Réponses pourobtenir des assertions et
gérer les identités
ProtocolesRequêtes/Réponses pourobtenir des assertions et
gérer les identités
SSO profilesArtifact resolutionNameID mappingSAML attributes
30 / 63
SAML
AssertionsAuthentification
AutorisationAttributs
AssertionsAuthentification
AutorisationAttributs
MetadataConfigurationdes IdP & SP
MetadataConfigurationdes IdP & SP
ProfilesCombiner protocoles,assertions et bindings
pour satisfaire uncas d'usage précis
ProfilesCombiner protocoles,assertions et bindings
pour satisfaire uncas d'usage précis
Ctxt AuthNInformation détaillée
sur type et niveaud'authentification
Ctxt AuthNInformation détaillée
sur type et niveaud'authentification
BindingsMapper les protocoles SAML
sur des protocolesde message & transport
BindingsMapper les protocoles SAML
sur des protocolesde message & transport
SOAPReverse SOAPHTTP RedirectHTTP POSTHTTP Artifact
ProtocolesRequêtes/Réponses pourobtenir des assertions et
gérer les identités
ProtocolesRequêtes/Réponses pourobtenir des assertions et
gérer les identités
SSO profilesArtifact resolutionNameID mappingSAML attributes
31 / 63
SAML
Sujet
Authentification
Autorisation
Attribut
32 / 63
SAMLAssertion<saml:Assertion
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0"IssueInstant="2010-06-29T12:00:00Z"><saml:Issuer>www.MonIdP.fr</saml:Issuer><saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected]</saml:NameID>
</saml:Subject><saml:Conditions
NotBefore="2010-06-29T12:00:00Z"NotOnOrAfter="2010-07-01T12:00:00Z">
</saml:Conditions>... statements ...
</saml:Assertion>
33 / 63
SAMLContexte d'Authentification
<saml:Assertion ...info générale ici ...>... et ici …<saml:AuthnStatement
AuthnInstant=”2010-06-29T12:00:00Z”SessionIndex=”12345678912”><saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef></saml:AuthnContext>
</saml:AuthnStatement></saml:Assertion>
34 / 63
SAMLLes Contextes d'Authentification
Internet Protocol PasswordKerberosMobileOne Factor unregisteredInternet ProtocolMobile Two Factor UnregisteredMobile One Factor ContractMobile Two Factor ContractPasswordPassword Protected TransportPrevious SessionPublic Key – X.509Public Key - PGPPublic Key - SPKI
Public Key – XML SignatureSmartcardSmartcard PKISoftware PKITelephonyNomadic TelephonyPersonalized TelephonyAuthenticated TelephonySecure Remote PasswordSSL/TLS Cert-based Client AuthNTime Sync TokenUnspecifed
35 / 63
SAML (Protocole)Example: le Browser POST profile
36 / 63
SAMLPour en savoir plus:
● Spécification – http://saml.xml.org
● Sur le respect de la vie privée:“Achieving Privacy in a Federated Identity Management
System” - Financial Cryptography and Data Security '09
http://fc09.ifca.ai/papers/fc09-landau.pdf
37 / 63
Services WebPourquoi?
● Contourner les limitations des browsers● Permet aux interactions basées sur l'identité de se
passer même en l'absence de l'utilisateur● De “Payer mes factures automatiquement”
→ “Médecin accédant à mon dossier dans l'urgence”● Collaboration sécurisée entre plusieurs services
– Personalisation– Controle d'accès
38 / 63
Services WebObjectifs
● Permettre l'échange d'attributs
● Permettre l'accès aux ressources
Les besoins
● Sécuriser les échanges
● Méchanismes de délégation d'autorisation
39 / 63
Services WebPrincipaux Protocoles
● ID-WSF 2.0 (Liberty Alliance)● Oauth 1.0 Rev A● WS-*
Adoption● Réseaux sociaux (twitter, facebook, Yahoo! Etc.)● Le gros reste à venir
40 / 63
ID-WSF 2.0
Scenario:User's browser User's cell phone
MyID.com
DiscoveryService
BuyPuppyStuff.com
PersonalProfileService
InteractionService
1
2
34
56 11
8
9
10
7
41 / 63
ID-WSF 2.0
TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions
Description
WS-AddressingCore WS-Security
SAML Token Profile
Security MechanismsSubscription/NotificationFramework
Security MechanismsSAML Profile
DiscoveryService
Authn,SSO,
IdentityMappingServices
PeopleService
InteractionService
DataServicesTemplate
ID-SIS
SOAP Binding
WSDL
Securitypolicy URIs
SAML2Metadata
WS-AddressingSOAP Binding
TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions
Description
WS-AddressingCore WS-Security
SAML Token Profile
Security MechanismsSubscription/NotificationFramework
Security MechanismsSAML Profile
DiscoveryService
Authn,SSO,
IdentityMappingServices
PeopleService
InteractionService
DataServicesTemplate
ID-SISThird-partysvcs
SOAP Binding
WSDL
Securitypolicy URIs
Third-partysvcs
SAML2Metadata
WS-AddressingSOAP Binding
42 / 63
ID-WSF 2.0Pour en savoir plus:
http://projectliberty.org
● Spécifications
● Introduction Technique:“Liberty Alliance Web Services Framework: a technical overview”
43 / 63
OAuth● Orienté Web 2.0
● Délégation d'autorisation
● Composé de:● Protocole basé sur la redirection du browser/agent
– Utilisateur, Consumer, Service Provider
● Mécanismes de sécurisation– Authentifie toutes les parties– Remplace RFC 2617
≠ SAML ou Liberty
44 / 63
OAuth
45 / 63
Oauth - Évolutions
2007 20092008 2010
Community
Oauth 1.0
Oauth 1.0aOauth 1.0a
Oauth 2.0
46 / 63
OAuthRessources
● Spécification: http://oauth.net ● Librairies disponibles dans la plupart des langages● Librairie Java pour le frwk RESTful Jersey (JAX-RS)
– Signature des messages– Filtre Jersey côté Client (signature automatique)– Wrapper côté serveur (vérification signature)– http://wikis.sun.com/display/Jersey/OAuth
47 / 63
Oauth – Jersey FwkOAuthParameters params = new OauthParameters().realm(REALM).
consumerKey(CONSUMER_KEY).signatureMethod(RSA_SIGNATURE_METHOD).timestamp(RSA_TIMESTAMP).nonce(RSA_NONCE).version(VERSION);
OAuthSecrets secrets = new OAuthSecrets().consumerSecret(RSA_PRIVKEY);
OAuthSignature.sign(request, params, secrets);
params = new OAuthParameters();
params.readRequest(request);
secrets = new OAuthSecrets().consumerSecret(RSA_CERTIFICATE);
assertTrue(OAuthSignature.verify(request, params, secrets));
Consumer
Service Provider
48 / 63
WS-*Services Web
● Pas forcément basés sur l'identité● SOAP/XML
Approche hyper-modulaire● → hyper complexe...
49 / 63
WS-*
50 / 63
WS-*Quelques spécifications se détachent:
● WS-Adressing● WS-Security● WS-Trust (maintenant WS-SX)● WS-Policy
51 / 63
InfoCard● Initiative de Microsoft → User Centric
● Basé sur un sous-ensemble de WS-*
● Echange d'attributs
● Notions de cartes (avec attributs) pour prouver son identité digitale
● Interface graphique client● Vista / Windows 7● Linux
52 / 63
InfoCard● Infocard → en train de disparaitre?
● Dernière version du serveur de Microsoft est incompatible avec le client InfoCard
● Cycle de release tous les 2 à 3 ans...
● Reste 1 seul autre Selecteur InfoCard (Azigo) lui aussi +/-en panne.
53 / 63
RESUMONSRESUMONS
54 / 63
RESUMONSRESUMONS
AuthentificationAuthentification
Partage A
ttribu tsP
artage Attribu ts
AutorisationAutorisation
Domaines
55 / 63
...OAuth
SAML
Elus
RESUMONSRESUMONS
AuthentificationAuthentification
Partage A
ttribu tsP
artage Attribu ts
AutorisationAutorisation
Domaines
56 / 63
Web 2.0Web 2.0
EntrepriseEntreprise
Marchés
...OAuth
SAML
Elus
RESUMONSRESUMONS
AuthentificationAuthentification
Partage A
ttribu tsP
artage Attribu ts
AutorisationAutorisation
Domaines
57 / 63
Et Maintenant ?
58 / 63
Gérer l'HétérogénéitéL'existant est souvent important:
● Déploiement Annuaires● Applications avec interface non-standardisées
(et non modifiables!)
Il faut pouvoir:● Propager les sessions
Dans le futur on aimerait:● Échanger des politiques d'accès● ...
59 / 63
Accros à l'IdentitéMais de grands besoins de:
● Simplification● Diminution de l'exposition au risque● Confidentialité omni-présente dans certains
domaines● Expansion de l'utilisation
– Propagation de l'IAM à d'autre domaineex: protection des contenus: DRM
60 / 63
Améliorer la facilité de déploiements● Concept d'appliance / turn-key● Meilleure console pour l'administrateur● Écrans plus simples pour les utilisateurs
(création de comptes, provisioning etc.)
Minimiser l'intrusion pour les applications● Exemple: collectivités locales vis-à-vis MSP● Technique comme les Fedlets● Authentification transparente (différent niveaux)
Dévelopements Futurs (1)
61 / 63
Dévelopements Futurs (2)Interopérabilité entre protocoles
● Tester la conformance aux spécifications● Déveloper les passerelles entre protocoles
– Echanger assertion SAML pour un jeton OAuth...– Profiter de SAML pour insérer jeton OAuth dans
l'assertion SAML (piggybacking)– Bénéficier de la confiance déjà établie avec SAML
62 / 63
Dévelopements Futurs (3)Technologie
● Découverte / Localisation● ID-WSF → le seul découverte basée sur l'identité● Des efforts en cours
– XRD / LRD– Oauth
● Terminaux avancés● Smartphone, tablettes etc.● Advanced Clients (Liberty Alliance)
Commission Open Source
Retours d’expériences
Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit
Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java
Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue
Sophia Conf30 juin 2010
Gestion des identités et sécurisation des services web : réalités & perspectives
- Authentification et éléments de droit -
Pascal AGOSTIAvocat au Barreau de Nice - Docteur en droit
© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com
27/01/10 3
Le cabinet Caprioli & Associés est une société d’avocats en droit des affaires (privé et public) située à Paris et à Nice.
• Il est spécialisé dans :
– L’informatique, les technologies de l’information et des communications électroniques
– La sécurité des systèmes d’information et la dématérialisation
– les propriétés intellectuelles (droit d’auteur, marques, dessins, brevets, logiciels, bases de données, …)
• Adresses : 6, rue Saulnier, 75009 Paris
9, avenue Henri Matisse, 06200 Nice
• Site Web : www.caprioli-avocats.com
• Mél : [email protected] (Nice)
[email protected] (Paris)
30/06/10Authentification et éléments de droit Introduction
27/01/10 4
• Une histoire : jugement de première instance de l’Illinois « Epoux Shames-Yeakel c/ Citizens Financial Bank » du 21 août 2009 (Case 07 C 5387)
30/06/10Authentification et éléments de droit Présentation générale
Les époux Shames-Yeakel étaient les clients de Citizen Financial Bank. En février 2007, une personne nonidentifiée a accédé, à partir d’une autre adresse IP que celle utilisée par les Epoux, à l’un des comptes qu’ilspossédaient, en utilisant l’identifiant et le mot de passe de la femme. Cette personne a ensuite effectué unvirement électronique au montant de 26.500$ à partir du compte. L’argent a été alors transféré vers unebanque se situant à Hawaii pour finalement être envoyé vers une banque en Autriche. Quand le vol a étédécouvert et les fonds localisés, la banque autrichienne a refusé de retourner la somme en question.Par la suite, Citizens Financial a décidé d’engager la responsabilité des Epoux en exigeant leremboursement de sommes dues. Face à cette situation, les Epoux ont intenté un procès à CitizensFinancial Bank en alléguant que celle-ci a manqué de procéder à toutes les mesures nécessaires pourprotéger leur compte.
?Le juge américain accueille la plainte du couple à
l’encontre d’un établissement bancaire à la suite d'une fraude intervenue sur son compte bancaire en ligne.
Authentification à un facteur insuffisante
27/01/10 530/06/10Authentification et éléments de droit Présentation générale
Qui êtes vous ? Déclaration d’identité/Identification
Comment en être sûr?
Vérification d’identité/Authentification
Comment puis je accéder au SI?
Politique d’Identity and Access Management
Comment sont gérés les droits?
Quelques questions à se poser concernant l’accès au SI :
27/01/10 6
• Définition de l’authentification et de l’identification :
« L’authentification a pour but de vérifier l’identité dont une entité(personne ou machine) se réclame. Généralement, l’authentification estprécédée d’une identification qui permet à cette entité de se fairereconnaître du système par un élément dont on l’a doté. En résumé,s’identifier c’est communiquer une identité préalablement enregistrée,s’authentifier c’est apporter la preuve de cette identité ».
Référentiel Général de Sécurité,§3.2
30/06/10Authentification et éléments de droit Présentation générale
27/01/10 7
7
Objectifs de l’authentification :
30/06/10Authentification et éléments de droit Présentation générale
Authentification
Contrôle d’accès
Imputabilité
27/01/10 8
Techniques d’authentification
Elles reposent sur :
Authentification et éléments de droit Présentation générale 30/06/10
CNIL
• Un élément caractérisant personnellement l’utilisateur (ex : biométrie)
• Un élément que possède l’utilisateur (ex : carte à puce)
• Un élément que connaît l’utilisateur (ex : mot de passe)
27/01/10 9
Principaux domaines juridiques impactés :
Authentification et éléments de droit Présentation générale 30/06/10
• Objectif : fédérer les outils d'authentification émispar différents acteurs, en garantissant un niveauhomogène de sécurité et d’interopérabilité.
Droit bancaire et financier
Droit publicDroit civil
• Contractualisation en ligne(crédit à la consommation) ;
• Virement en ligne ;
• Accès aux comptes ;
Exigences authentificationnon rejouable
• Contractualisation enligne
• Accès à des téléservices ;
Exigences du RGS
Label IdéNum
27/01/10 10
Avez-vous des questions ?
Merci de votre attention !Pascal AGOSTI
Avocat au Barreau de NiceDocteur en droit
Société d’avocats9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31
6 rue Saulnier, 75009 Paris / Tél. 01 47 70 22 12
www.caprioli-avocats.commél : [email protected]
30/06/10Authentification et éléments de droit Présentation générale
Commission Open Source
Retours d’expériences
Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit
Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java
Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue
Présentation De Janua● Société de services en logiciels libres (SS2L) et éditeur
fondée en 2004 à Sophia Antipolis
● Notre métier : l'expertise
● Notre crédo : l'Open Source
● Notre force : les hommes, leur vécu et leur motivation
● Notre approche : l'Open Source et gestion des identités numériques.
● Développement au forfait à l'aide de méthodologies "agiles", les solutions packagées et les maquettes (POC).
Les compétences de Janua• Consulting, implémentations et déploiement de solutions de gestion d'identités (provisioning, workflows, synchronisation, SPML v2, audit et conformité), de contrôle d'accès et gestion des droits (SSO, CDSSO, eSSO, fédération, authentification forte, PKI, délégation d'administration).
• Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDS, Red Hat directory server) et besoins connexes comme la gestion de contenu ou les interfaces d'accès aux annuaires.
• Etudes d'opportunités et accompagnement à la migration Open Source, déploiement de solutions d'infrastructures.
• Développement au forfait, assistance technique et expertise sur des composants Open Source, embarqués et temps réel, portage Android.
• Consulting Réseaux et Sécurité, expertise base de données, cluster et virtualisation.
• Editeur des logiciels LDAPTools, Jaguards, KressourcesWCAP, EZslony et CMakeBuilder
Retour d'expèrience
CAS Client 1 :
Utilisation de la couche OpenID pour l'authentification dans un logiciel de sécurisation « end-point » entrée de gamme.
* Utilisation de la stack du client pour la gestion des droits* Utilisation de OpenID pour réaliser les opérations d'authentification
CAS Client 2 :
Utilisation de OpenID pour l'authentification dans un logiciel de widgets de bureaux pour se rapprocher d'un contexte SSO.
* Utilisation de OpenID pour réaliser les opérations d'authentification.* Mutualisation de l'authentification au travers de tout le framework de widgets
Mise en œuvre de OpenID
• De nombreuses APIs Disponibles pour divers langages de programmation
• parmi lesquelles :
•JAVA : OpenID 4 Java
•PHP 4/5 : Php-OpenID
•DotNet : DotNet OpenAuth
Schéma d'authentification
OpenID « Provider »
OpenID «Client»
Request
Response
Base de donnée« Pivot »
Base de donnée « pivot »
Aucun mot de passe stocké par l'application « cliente »
Implémentation en JavaRequête D'authentification
Implémentation en JavaValidation de la réponse
Implémentation en PHPRequête d'authentification
Implémentation en PHPValidation de la réponse
Avantages et inconvénients
• Une intégration très facile dans toute application Web
•JAVA, PHP, DotNet
•Limité à l'authentification pure
•l'identité est maintenue par le client et n'est donc pas garantie
•pas de gestion de droits
•100% Web-Based
Commission Open Source
Retours d’expériences
Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit
Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java
Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue
Commission Open Source
Une autorité de certification peu connue
F.Peyraud - Tryphon
Commission Open Source
Agenda
• Who am I
• PKI : What is it ? What for ?
• PKI : components
• Certification Authorities
• CAcert, charter and concept
• CAcert, Pros and Cons
• One step beyond with CAcert !
Commission Open Source
Who am I ?
• Florent Peyraud
• Co-founder of Tryphon SARL
– Appliances, training and consulting
– Web applications, RoR
– Strong focus on radio stations
• Ex-president of Linux Azur
• Engineer in Electronics and Radio Freq.
Commission Open Source
PKI : What is it ? What for ?
• Public Key Infrastructure
– Asymetrical cryptography
– Certificates
• Roles
– Confidentiality
– Authentication
– Integrity
– Non repudiation
Commission Open Source
PKI : components
• EE : End Entity, user
• RA : Registration Authority
• CA : Certification Authority
• Repository : CERTs and CRLs
• KE : Key Escrow
Commission Open Source
Certification Authorities
• Commercial
– Thawte, Verisign, Gandi...
• Free
– Gandi (1 year), Verisign (60 days)
– CAcert (community based)
– Yourself !
Commission Open Source
CAcert : charter and concept
• CAcert is a certification authority
• It has all the elements of a commercial CA
• Rely on community for :
– Spreading
– Build a web of trust
• Assurers, members
• System of assurance points
• System of assurer's experience points
Commission Open Source
CAcert, Pros and Cons
• PROS– Potentially as secure
as a commercial CA
– Freely available certificates
– Wolrdwide community makes a strong confidence
• CONS– Not integrated in
browsers' CA list by default yet
– No monetary guaranty in case if incident
Commission Open Source
One step beyond with CAcert !
• Become a member
• Get assured
• Become an assurer
• Start using CAcert signed certificates !
• Help making CAcert Root Certificate being integrated in all main browsers
www.cacert.org