Présenter le concept d’authentification forte avec quelques techniques de mise en oeuvre pour illustration.
Site de l’exposé : http://www-igm.univ-mlv.fr/~dr/XPOSE2010/authentificationForte/index.php#introduction
13. Domaines
d’application
• Au sein de l’entreprise
postes du front office
postes self-service en agence
• En dehors de l’entreprise
Accès distant aux ressources
13
14. Agenda
• Concept de l’authentification forte
• Technologies d’authentification forte
OTP Carte à puce
RFID Biométrie
• Informations supplémentaires
• Conclusion
14
17. Famille OTP
• OTP Asynchrone
Challenge/Response
• OTP Synchrone
Temps
Compteur
17
18. OTP Asynchrone
Etape 1
Serveur
génère un challenge
Client
753..159
transfert le challenge au client
753..159
K partagé avec K partagé avec
chiffre le challenge à l’aide de k chiffre le challenge à l’aide de k
le serveur Etape 2 le client
et d’un algo de chiffrement et d’un algo de chiffrement
AF1..9C3 AF1..9C3
génère et formate le génère et formate le
résultat (OTP) résultat (OTP)
transmet la réponse au serveur
compare les deux
réponses Etape 3
Rejeté Accepté
18
20. OTP Synchrone
Client Serveur
génère un challenge à l’aide d’un Etape 1 génère un challenge à l’aide d’un
horloge ou d’un compteur d'événement horloge ou d’un compteur d'événement
753..159 753..159
K partagé avec K partagé avec
chiffre le challenge à l’aide de k chiffre le challenge à l’aide de k
le serveur Etape 2 le client
et d’un algo de chiffrement et d’un algo de chiffrement
AF1..9C3 AF1..9C3
génère et formate le génère et formate le
résultat (OTP) résultat (OTP)
transmet la réponse au serveur compare les deux
réponses Etape 3
Rejeté Accepté
20
21. HMAC - OTP
(HOTP)
• Hashed Message Authentication Code - OTP
• Standard de l’OATH puis IETF
• RFC 4226
21
22. HOTP
K : clé secrète C : compteur
h : fonction de hachage cryptographique SHA-1
HOTP ( K , C ) = Tronquer ( h ( K , C )) & MASK
MASK : 0x7FFFFFFF
HOTP-Value = HOTP ( K , C ) (mod 10 ^ d)
d : nombre de digit : 6 ou 8
22
28. Infrastructure du PKI
• Autorité d’Enregistrement (AE)
vérifie l’identité de l’utilisateur
suit les demandes
• Autorité de certification (AC)
crée les certificats
signe les listes de révocation
• Autorité de dépôt (AD)
conserve les certificats à des fins de recouvrement
28
29. Fonctions du CMS
• Nouvel employé
crée la carte et l’associe à l’employé
récupère le certificat et/ou le mot de passe de
l’employé et le met dans la carte
• En cas d’oubli
prête une carte temporaire à l’employé
débloque en local ou à distance le code PIN
• En cas de perte
met en liste noire la carte perdue
29
30. Architecture générale
TOKENS
Vérifie la validité
de la carte
CMS
Etape 1
Utilisateur Etape 2
Authentification
initiale
Etape 3 Vérifie la validité
du certificat
Module
d’authentification
Etape 4
Vérifie la validité
Serveur du mot de passe PKI
d’annuaire Infrastructure
30
31. Synthèse Carte à
puce
• Avantage
assure la non-répudiation
permet de signer et de décrypter des
messages
• Inconvénient
est peu portable
31
35. Composants RFID
• Eléments physiques
badges pour les utilisateurs
antennes pour chaque poste
• Module d’authentification
installé sur le poste
• Badge Management System (BMS)
idem que le CMS
35
36. Paramétrage
• Lorsqu’un utilisateur arrive
demander le mot de passe ou non
débloquer l’écran de veille
• Lorsqu’un utilisateur part
fermer/verrouiller la session
laisser le poste en l’état
• Lorsque des utilisateurs sont détectés en même temps
???
36
37. Synthèse Puce RFID
• Avantage
assure la non-répudiation
permet de gagner du temps
• Inconvénient
est peu portable
37
39. Architectures
Biométrie
Stockage des données Vérification de
de biométrie l’authentification
Solution à base de serveur dans le serveur par le serveur
sur le poste de
Solution poste par le poste de travail
l’utilisateur
Solution à base de carte dans la carte par la carte à puce ou
cryptographique cryptographique par le poste de travail
39
40. Synthèse Biométrie
• Avantage
assure la non-répudiation
est difficilement falsifiable
• Inconvénient
est peu portable
est peu appréciée
40
43. Agenda
• Concept de l’authentification forte
• Technologies d’authentification forte
• Informations supplémentaires
• Quelques offres sur le marché
• Quelques outils de développement
• Conclusion
43
45. Outils de
développement
• Authentification Web
JAAS Login Module ( depuis la version 1.4)
• Authentification Bureau
PAM (Solaris, Linux)
GINA (Windows XP, 2003)
• Infrastructure d’authentification
Authentification multi-facteurs
45
46. Outils de
développement
• Serveur d’annuaire
OpenLDAP, Active Directory, ...
• Plugins du navigateur
PKCS #11 module : client pour les carte à puces PKI
ActiveX/java plugin : pour les scanners biométriques
46
47. Agenda
• Concept de l’authentification forte
• Technologies d’authentification forte
• Informations supplémentaires
• Conclusion
• Synthèse de l’authentification forte
• Ce qu’il faut retenir!
47
48. Mieux que
l’authentification
simple
• permet d’éliminer la plupart des attaques
• rend difficile la mise en place d’une attaque
• augmente le sentiment de sécurité du client
48
49. Coûte chère
Coût d’investissement
Coût à l’unité Coût pour 50 p.
Achat des tokens incluant les licences 95 € 4750 €
Installation des serveurs et formation
1.100 € 1.100 €
au produit GEMALTO
Total invest. 5850 €
Coût d’exploitation
Coût mensuel Coût annuel
Coût de gestion du cycle de vie du
160 € 1920 €
token
Coût lié à la perte/vol du token 39 € 468 €
Total exploit. 2388 €
49
50. Ce qu’il faut retenir!
Facteurs d’authentification (savoir, avoir, être)
Authentification forte = au moins deux facteurs
Facteurs + Dispositifs
=
différentes technologies
50