Post on 28-Nov-2014
description
31 mars, 1er et 2 avril 2009
www.linagora.com
LinPKIYannick QUENEC'HDU
Responsable département sécuritéyquenechdu@linagora.com
2
www.linagora.com
Le projet LinPKI
3
www.linagora.com
Composition 1/2PKI C’est l’application de gestion du cycle de vie des autorités de certification et des certificats d’entités. Elle se caractérise par une approche modulaire et une simplicité d’utilisation.Gestionnaire de carte à puceCette application est proposée en complément de l’offre de PKI. Elle fournit les services de gestion des cartes à puce et des tokens USB. Signature électroniqueSignature client Ce composant permet d’intégrer la signature électronique au niveau du poste du client. Il s’intègre à vos applications Web , dans les clients lourds ou tout simplement sur le poste de travail.Serveur de signatureServeur de signature pour signer vos documents, données avant archivage dans un référentiel de données
4
www.linagora.com
Composition 2/2
Horodatage
Ce service permet d’horodater vos signatures électroniques, vos requêtes, vos données. Il est conforme aux standards sur l’horodatage. Il peut être utilisé en conjonction avec les applications LinPKI pour sécuriser les échanges.Partage de fichier sécuritéDernier né des applications de la suite LinPKI, Linshare est une application de partage de fichier sécurisée. Elle permet de déposer et de partager des fichiers en interne de l'entreprise ou vers des personnes extérieures. Comprend le chiffrement et le déchiffrement asymétrique et symétrique et la signature électronique.
5
www.linagora.com
PKIInfrastructure à clés
publiques
6
www.linagora.com
PKI - Principes
L'offre de PKI de LINAGORA comprend l'application EJBCA pour les opérations de gestion de l'autorité de certification et LinPKI pour les autres opérations (gestion du cycle de vie des certificats d'entité, administration, etc.)LinPKI fournit à la fois les fonctions classiques que l’on retrouve dans la plupart des PKI du marché, mais avec une approche orientée vers la simplicité d'utilisation pour les non-initiés à la PKIL'application a été pensée pour simplifier la gestion des certificats pour l'utilisateur final et l'installation des certificats sur le poste de travail
LinPKI un générateur de vos besoinsLinPKI a été construit comme un générateur, permettant de répondre rapidement et sans développement complémentaire aux contraintes liées aux certificats ou au SI de l’entreprise. Le générateur permet de créer des profils de certificat, des formats de requête, des cinématiques de gestion du cycle de vie des certifications, de personnaliser des cartes à puce ou de dongle USB.
7
www.linagora.com
PKI – Infrastructure à clés publiques
L'infrastructure de gestion de clef LINPKI se différencie des autres solutions de PKI sur les points suivants : ➔ Solution distribuée en Open Source (licence OSL)➔ Processus automatique d’identification des utilisateurs dans l’environnement de la PKI➔ Simplicité des interfaces et des fonctions pour les utilisateurs non initiés au PKI➔ Refonte des composants Windows pour faciliter l’intégration des certificats dans les environnements Microsoft ➔ Moteur de cinématique graphique pour adapter les cinématiques aux besoins des entreprises➔ Outils d’intégration des gestionnaires d’identités pour la gestion des droits sur l’entité d’enrôlement (SSO, IAM, etc.) ➔ Provisonning d’identités depuis des référentiels de données ➔ Interface personnalisable (texte, feuille de style, images, etc.)
8
www.linagora.com
PKI
Moteur de cinématique Exemple
9
www.linagora.com
Interface LINPKI
Exemple, le reporting
10
www.linagora.com
PKI – Composants complémentaires
L'infrastructure de gestion de clef propose les services complémentaires suivants :➔ Un serveur de validation OCSP (Online certificate status Protocole) :Déploiement intégré dans la PKI ou externe➔ Un service de validation et d'appel WebService en (XML Key Management Service) :Protocole standardisé en XML pour la validation et les opérations de gestion de vie des certificats (demande, révocation, récupération de clés, etc.)Composants annexes pour simplifier les déploiements de certificats sur les postes Windows, tels que la refonte des composants d'installation des PKCS12, l'auto installation des certificats avec Active Directory.
11
www.linagora.com
La signature
électronique
12
www.linagora.com
Signature clientLe client de signature a pour objectif de permettre la signature depuis le poste du clientCe composant est conçu dans un esprit de généricité et de modularité vis-à-vis des applications. il peut-être mis en œuvre de 3 façons différentesService : Il s’agit de mettre en place ce composant en tant que service commun exploité et autonome. Ce composant est alors vu comme un service global défini par ses interfaces publiques (WebService)Produit : ce composant est utilisé comme un produit prêt à l'emploi.Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier ce composant en intégrant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application.
Ce dispositif de signature fonctionne selon plusieurs modes :En mode connecté sur les navigateurs standards du marché. En mode autonome sur un système d’exploitation ou des clients lourds, tels que OpenOffice.En mode service embarqué dans des applications métiers.En cours de certification Critères Commun EAL 3+
13
www.linagora.com
Signature Serveur
SignServer est un serveur de signature modulaire distribué sous licence OpenSource. Il est développé en Java/J2EE. SignServer est le premier serveur autonome et industriel distribué sous licence OpenSourceSignerServer est un serveur de signature multi-protocoles, c’est-à-dire qu’il peut-être appelé comme serveur d’horodatage (RFC3161), serveur de signature XML ( Xades T, C, X, X-L et XMLDsign), serveur pour la signature des passeports de nouvelle génération (MRTD – Machine Readable Travel Documents), pour la signature de document OpenOffice et PDF.En complément du serveur de signature, SignServer offre les fonctionnalités :
Protection des courriels en conjonction avec le serveur de courriel permet l’authentification, le chiffrement, la signature et l’horodatage des messagesValidation des certificats numériquesMoteur pour créer des scénarios d’autorisation et de validationGestion de groupe de clefs symétriques et asymétriques
14
www.linagora.com
CMSCard Management
System
15
www.linagora.com
CMS – Card Management ServiceLe gestionnaire de support cryptographique permet de gérer le cycle de vie complet de cartes à puces dans une société ou organisation.
ToLiMA est la première application composée de modules qui utilise le standard HTMF – Hard Token Management FrameWork et le standard MiFair pour la gestion des imprimantes de cartes à puces.
Les fonctionnalités non exhaustives de la suite applicative ToLiMa sont : ➔ Émission de carte : temporaire, ordinaire, projet➔ Déblocage de code PIN sans exposer le code PUK pour les utilisateurs et les administrateurs➔ Révocation de carte➔ Renouvellement de carte➔ Activation et désactivation de carte➔ Il est aussi possible d’émettre et de bloquer des cartes sur la base d’un système d’approbation. ➔ Personnalisation graphique et électronique
16
www.linagora.com
CMS – Card Management ServiceAnalyseur automatique de carte, permet d’appliquer des scénarios automatiquement lors de l’insertion de carte à puce. Les différences essentiellement entre ToLIMa et les autres CMS du marché, porte sur 5 grands aspects :
➔ Solution totalement Open Source ;➔ Respect des standards HTMF et Mifair;➔ Gestion automatisée du cycle de vie des certificats ;➔ Gestionnaire de Workflow ;➔ Indépendant des systèmes d’exploitation ;➔ Ne nécessite aucun déploiement sur les postes des usagers.
17
www.linagora.com
Serveur de fichier sécuriséSpécialement conçue pour sécuriser les échanges dématérialisés des entreprises qui placent la confidentialité et la traçabilité au cœur de leurs problématiques d’échanges, LinShare apporte une solution simple à mettre en œuvre et totalement intuitive. L'ergonomie est améliorée par la technologie Web 2.0.
➔ Partage de fichier entre des collaborateurs abonné à l'application ;➔ Partage de fichier avec des personnes externes ;➔ Partage de fichier de personnes externe vers des abonnés ;➔ Dépôt/suppression de fichiers ;➔ Mise en place de partage de fichiers vers un ou plusieurs utilisateurs (abonné et externe) ;➔ Chiffrement de fichier (clé symétrique) vers des collaborateurs externes ou internes ;➔ Chiffrement de fichier par certificat numérique vers des collaborateurs externes ou internes ;➔ Signature électronique des documents ;➔ Un abonné peur Créer/supprimer de compte externe temporaire ;➔ État d’un utilisateur externe (accès, pas d'accès, retrait des fichiers, etc.) ;➔ Notification (par courriel) à l'attention de collaborateurs externe pour lui adresser l'URL d'accès,
son couple identifiant/mot de passe ;➔ LinShare peut-être couplé avec Thunderbird et Outlook.
18
www.linagora.com
Quelques référencesQuelques clients français : Direction générale de l’armementGendarmerie NationaleSociété GénéraleGIE Cartes BancairesMinistère des Finances
Internationale, plus de 6000 références à travers le monde, donc General Motors (USA)
G
AT&T (USA)
A
ZhuHai Local Taxation Bureau (Chine)
Z
Grupo Safa (Espagne)
G
MediaCert (Portugal)
M
Evaltec (Brésil)
)
National Swedish Police Board (Suède)
N
19
www.linagora.com
Merci de votre attention
Yannick QUENEC'HDUResponsable département sécurité
yquenechdu@linagora.com