Messagerie sécurisée avec S/MIME Jean-Yves Poublan Microsoft France.

Messagerie Messagerie sécurisée avec sécurisée avec

S/MIMES/MIME

Jean-Yves PoublanJean-Yves PoublanMicrosoft FranceMicrosoft France

AgendaAgenda

Principes S/MIMEPrincipes S/MIME Utilisation d’Office Outlook, Outlook Express, Utilisation d’Office Outlook, Outlook Express,

OWA…OWA… InteropérabilitéInteropérabilité Récupération des clésRécupération des clés

Questions/réponsesQuestions/réponses

3

Standard S/MIMEStandard S/MIME SecureSecure MIME MIME

Version 2 (1998) - RFC 2311, RFC 2312Version 2 (1998) - RFC 2311, RFC 2312 Signed messageSigned message Opaque signed messageOpaque signed message Encrypted messageEncrypted message

Version 3 (1999) - RFC 2632, RFC 2633Version 3 (1999) - RFC 2632, RFC 2633 Support DSS/DHSupport DSS/DH Dual key (extension Dual key (extension Key UsageKey Usage)) Security LabelsSecurity Labels et et Signed ReceiptsSigned Receipts (RFC 2634) (RFC 2634) Triple WrappingTriple Wrapping

AlgorithmesAlgorithmes RSA, DSS, DHRSA, DSS, DH SHA1, MD5, RC2, DES, 3DESSHA1, MD5, RC2, DES, 3DES

S/MIME s’inscrit dans une logique PKIS/MIME s’inscrit dans une logique PKI Certificats X509v3, RFC 2459/3280Certificats X509v3, RFC 2459/3280 PKCS#1,7,8,10,12, CMS, CMC (PKCS#1,7,8,10,12, CMS, CMC (Certificate Management Protocol Certificate Management Protocol

over CMSover CMS))

4

Standard S/MIMEStandard S/MIMECorps MIME

Content-Typeapplication/pkcs7-

mime

Content-Typemultipart/signed

smime-typeenveloped-

data

pkcs#7/CMS Base 64

smime.p7m

smime-typesigned-data

pkcs#7/CMS Base 64

smime.p7m

Texte en clair…

Signature détachée

pkcs#7/CMS Base 64

smime.p7s

Content-Typetext/plain

Content-Typeapplication/pkcs7-

signature

Corps MIME

Corps MIME

Message opaque

Messageclair

Message chiffré ou

signé/chiffré

Nécessite client S/MIME

Message signé

Les entêtes RFC 822 (e.g. objet du message) ne sont pas protégées (ni signature, ni confidentialité). Les

pièces jointes elles sont protégées.

5

S/MIME message chiffréS/MIME message chiffré

To: "Bill" <[email protected]> Subject: message chiffre Date: Sun, 26 Feb 2006 18:30:10 +0100 MIME-Version: 1.0

Content-Type: application/pkcs7-mime;smime-type=enveloped-data;name=smime.p7m

Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7m

rfvbnj756tbBghyHhHUujhJhjH77n8HHGT9HG4VQpfyF467GhIGfHfYT6 7n8HHGghyHhHUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H f8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfyF4 0GhIGfHfQbnj756YT64V

6

S/MIME signature opaqueS/MIME signature opaque

Content-Type: application/pkcs7-mime;smime-type=signed-data;name=smime.p7m

Content-Transfer-Encoding: base64Content-Disposition: attachment; filename=smime.p7m

567GhIGfHfYT6ghyHhHUujpfyF4f8HHGTrfvhJhjH776tbB9HG4VQbnj777n8HHGT9HG4VQpfyF467GhIGfHfYT6rfvbnj756tbBghyHhHUujhJhjHHUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H7n8HHGghyHh6YT64V0GhIGfHfQbnj75

7

S/MIME signature en clairS/MIME signature en clair

Content-Type: multipart/signed;protocol="application/pkcs7-signature";micalg=sha1; boundary=boundary42

--boundary42Content-Type: text/plain

This is a clear-signed message.

--boundary42Content-Type: application/pkcs7-signature; name=smime.p7sContent-Transfer-Encoding: base64Content-Disposition: attachment; filename=smime.p7sghyHhHUujhJhjH77n8HHGTrfvbnj756tbB9HG4VQpfyF467GhIGfHfYT64VQpfyF467GhIGfHfYT6jH77n8HHGghyHhHUujhJh756tbB9HGTrfvbnjn8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfyF47GhIGfHfYT64VQbnj756

--boundary42--

8

Versions actuelles « S/MIME capable »Versions actuelles « S/MIME capable »

Office Outlook 2003 SP1 (Office 11) – Office 12Office Outlook 2003 SP1 (Office 11) – Office 12 Outlook Express 6 (Windows XP SP2) - Windows Mail (Vista)Outlook Express 6 (Windows XP SP2) - Windows Mail (Vista) Exchange 2003 SP2 – OWAExchange 2003 SP2 – OWA

Contrôle ActiveX S/MIME pour OWAContrôle ActiveX S/MIME pour OWA Pocket Outlook Windows Mobile 5.0 (OS Windows CE 5.0)Pocket Outlook Windows Mobile 5.0 (OS Windows CE 5.0)

http://www.microsoft.com/windowsmobile/5/default.mspxhttp://www.microsoft.com/windowsmobile/5/default.mspx http://www.microsoft.com/windowsmobile/articles/msfp.mspxhttp://www.microsoft.com/windowsmobile/articles/msfp.mspx

Ces clients de messagerie se veulent conformes au standard S/MIME V3 à Ces clients de messagerie se veulent conformes au standard S/MIME V3 à partir de:partir de: Outlook 2000 SR1Outlook 2000 SR1 Outlook Express 5.01Outlook Express 5.01 Contrôle ActiveX S/MIME pour OWA (Exchange 2003)Contrôle ActiveX S/MIME pour OWA (Exchange 2003)

HistoriqueHistorique Office 2000 – Outlook 2000, Outlook 2000 SR1 – Version 9Office 2000 – Outlook 2000, Outlook 2000 SR1 – Version 9 Office 2002 – Outlook XP – Version 10Office 2002 – Outlook XP – Version 10 Office 2003 – Outlook 2003 – Version 11Office 2003 – Outlook 2003 – Version 11

Outlook Express 5.0, 5.01, 5.5Outlook Express 5.0, 5.01, 5.5 Outlook Express 6.0 (Windows XP)Outlook Express 6.0 (Windows XP)

Versions clients messagerieVersions clients messagerie

Nouveau

http://www.microsoft.com/windowsmobile/5/default.mspx

http://www.microsoft.com/windowsmobile/articles/msfp.mspx

9

HistoriqueHistorique Exchange Server 5.0/Outlook 97Exchange Server 5.0/Outlook 97

Advanced Security - Advanced Security - Northern Telecom, Inc.'s Entrust TechnologiesNorthern Telecom, Inc.'s Entrust Technologies Gestion des clés et des certificats par KMS (séquestre)Gestion des clés et des certificats par KMS (séquestre) Certificats X509v1 – publication annuaire ExchangeCertificats X509v1 – publication annuaire Exchange Chiffrement/signature messages clé publique avec CAST3 ou DES/MD5, et RSAChiffrement/signature messages clé publique avec CAST3 ou DES/MD5, et RSA Utilise ses propres CSPsUtilise ses propres CSPs

Exchange Server 5.5/Outlook 98Exchange Server 5.5/Outlook 98 Support S/MIME v2Support S/MIME v2 Gestion des clés par KMS (séquestre)Gestion des clés par KMS (séquestre) Protocole d’enrôlement (KMS)Protocole d’enrôlement (KMS)

S’appuie sur Certificate Server pour la gestion des certificatsS’appuie sur Certificate Server pour la gestion des certificats Certificats X509v3 – publication annuaire ExchangeCertificats X509v3 – publication annuaire Exchange S’appuie sur les CSP de la plateformeS’appuie sur les CSP de la plateforme

Exchange Server 2000Exchange Server 2000 Annuaire d’Active DirectoryAnnuaire d’Active Directory Gestion des clés par KMS (séquestre)Gestion des clés par KMS (séquestre) Certificate Server publie les certificats dans Active DirectoryCertificate Server publie les certificats dans Active Directory

Templates ExchangeUser ExchagneUserSigningTemplates ExchangeUser ExchagneUserSigning Exchange Server 2003Exchange Server 2003

N’est pas impliqué dans la partie PKI, sauf validation certificats OWAN’est pas impliqué dans la partie PKI, sauf validation certificats OWA Pas de KMS, pas de protocole d’enrôlementPas de KMS, pas de protocole d’enrôlement

Messagerie sécurisée S/MIMEMessagerie sécurisée S/MIMER

ôle

serv

eu

r décro

issan

t con

cern

an

t la

PK

I

10

Messagerie sécurisée S/MIMEMessagerie sécurisée S/MIME Essentiellement une fonction du clientEssentiellement une fonction du client

Client MAPI (Office Outlook)Client MAPI (Office Outlook) Clients POP3/IMAP4 – Outlook Express, autres…Clients POP3/IMAP4 – Outlook Express, autres…

Le serveur Exchange assureLe serveur Exchange assure Transport/stockage des messages S/MIMETransport/stockage des messages S/MIME Recherche et validation des certificats des correspondants pour Recherche et validation des certificats des correspondants pour

OWAOWA Paramétrage du contrôle S/MIME pour OWA (entrées registre)Paramétrage du contrôle S/MIME pour OWA (entrées registre)

SmartCardOnly, AlwaysSignSmartCardOnly, AlwaysSign, , AlwaysEncryptAlwaysEncrypt, , ClearSign, ClearSign, defaultSigningAlgorithm, TripleWrap, defaultSigningAlgorithm, TripleWrap, EncryptionAlgorithmsEncryptionAlgorithms

Programmes « serveur » pouvant être affectés par S/MIMEProgrammes « serveur » pouvant être affectés par S/MIME Event Sink – altération de messages peut invalider la signatureEvent Sink – altération de messages peut invalider la signature

Scanners anti-virusScanners anti-virus A partir de Exchange Server 2003 SP1: Virus Scanning API 2.5 A partir de Exchange Server 2003 SP1: Virus Scanning API 2.5

permet au scanner d’accéder aux messages signés S/MIME sans permet au scanner d’accéder aux messages signés S/MIME sans avoir à les décoderavoir à les décoder

Chiffrement est incompatible avec les anti-virusChiffrement est incompatible avec les anti-virus

11

Le serveur Exchange: un rôle Le serveur Exchange: un rôle décroissant?décroissant?

Pour la gestion des clés et de l’infrastructure PKI Pour la gestion des clés et de l’infrastructure PKI peut-être…peut-être… Mais pas pour la messagerie sécurisée!Mais pas pour la messagerie sécurisée!

OWAOWA

BiztalkBiztalk

Messagerie sécurisée GatewayMessagerie sécurisée Gateway Server Exchange 12 (Fonction Server Exchange 12 (Fonction EdgeEdge)) Chiffrement/authentification serveur à serveurChiffrement/authentification serveur à serveur

12

Attributs stockage certificatsAttributs stockage certificatsLDAP (InetOrgPerson – RFC 2798), Active Directory (User Object)LDAP (InetOrgPerson – RFC 2798), Active Directory (User Object)

userCertificateuserCertificate Encodage DEREncodage DER Attribut utilisée par la CA Windows pour publier les certificatsAttribut utilisée par la CA Windows pour publier les certificats User and ComputersUser and Computers – – Published CertificatesPublished Certificates Attribut préféré pour intégration S/MIME avec une PKI d’entrepriseAttribut préféré pour intégration S/MIME avec une PKI d’entreprise

userSMIMECertificateuserSMIMECertificate Format PKCS#7Format PKCS#7 Prévu pour S/MIME en dehors d’une infrastructure PKI d’entreprisePrévu pour S/MIME en dehors d’une infrastructure PKI d’entreprise Stocke la chaine complète (sauf racine) et Stocke la chaine complète (sauf racine) et capabilitiescapabilities

Permet un fonctionnement hors AIAPermet un fonctionnement hors AIA Non accessible par les outils d’admin AD ou la MMC certificatesNon accessible par les outils d’admin AD ou la MMC certificates Par défaut non présent dans Active Directory global cachePar défaut non présent dans Active Directory global cache

13

Office Outlook 2003Office Outlook 2003

Recherche d’un certificat S/MIME de chiffrementRecherche d’un certificat S/MIME de chiffrement

Correspondant Correspondant Global Address ListGlobal Address List Dans Active Directory Dans Active Directory user objectuser object Dans Offline Address BookDans Offline Address Book

C:\Documents and Settings\jeanypo\Local Settings\Application Data\Microsoft\C:\Documents and Settings\jeanypo\Local Settings\Application Data\Microsoft\OutlookOutlook

Correspondant Correspondant ContactsContacts Dans la fiche du contactDans la fiche du contact

Correspondant annuaire LDAPCorrespondant annuaire LDAP Dans annuaire LDAPDans annuaire LDAP

Attributs (dans cet ordre)Attributs (dans cet ordre) userSMIMECertificateuserSMIMECertificate

Format PKCS#7Format PKCS#7 Eventuellement capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)Eventuellement capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)

Attribut signé par la clé privée du titulaire du certificatAttribut signé par la clé privée du titulaire du certificat userCertificateuserCertificate

Format encodage DERFormat encodage DER AD Users and Computer onglet “Published Certificates”AD Users and Computer onglet “Published Certificates”

14

Office Outlook 2003Office Outlook 2003 Get Digital IDGet Digital ID

Pointe sur une page Web d’enrôlementPointe sur une page Web d’enrôlement Typiquement, les certificats obtenus sont stockés dans le Typiquement, les certificats obtenus sont stockés dans le

magasin personnel (voir xenroll MSDN)magasin personnel (voir xenroll MSDN) Peut se désactiver ou se customiserPeut se désactiver ou se customiser

Microsoft Office 2003 Editions Resource KitMicrosoft Office 2003 Editions Resource Kit ( (http://http://go.microsoft.com/fwlink/?LinkIdgo.microsoft.com/fwlink/?LinkId=21757=21757))

Publish to GALPublish to GAL Publication des certificats S/MIME du magasin personnel vers Publication des certificats S/MIME du magasin personnel vers

Active DirectoryActive Directory Attribut userSMIMECertificateAttribut userSMIMECertificate

Format PKCS#7 – inclut la chaine (sauf racine)?Format PKCS#7 – inclut la chaine (sauf racine)?• Permet un fonctionnement hors AIAPermet un fonctionnement hors AIA

Publie les capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)Publie les capacités S/MIME (SMIMECapabilities 1.2.840.113549.1.9.15)• Attribut signé par la clé privée de l’utilisateurAttribut signé par la clé privée de l’utilisateur• Déduites du CSP hébergeant la clé du certificatDéduites du CSP hébergeant la clé du certificat

Attribut userCertificateAttribut userCertificate Format encodage DERFormat encodage DER

Peut se désactiverPeut se désactiver A faire dans un environnement PKI d’entreprise pour lequel A faire dans un environnement PKI d’entreprise pour lequel

l’utilisateur ne gère pas ses certificatsl’utilisateur ne gère pas ses certificats E.g. PKI Windows Active Directory (AC Certificate Services en mode E.g. PKI Windows Active Directory (AC Certificate Services en mode

EnterpriseEnterprise))

http://go.microsoft.com/fwlink/?LinkId=21757



15

Outlook ExpressOutlook Express


Correspondant Correspondant Windows Address Book Windows Address Book Dans la fiche du contactDans la fiche du contact

Contient les capacités S/MIMEContient les capacités S/MIME Obtenues depuis un message signé (SMIMECapabilities)Obtenues depuis un message signé (SMIMECapabilities)

Correspondant annuaire LDAPCorrespondant annuaire LDAP Dans annuaire LDAPDans annuaire LDAP AttributsAttributs

userSMIMECertificateuserSMIMECertificate userCertificateuserCertificate

16

Contrôle S/MIME OWAContrôle S/MIME OWA


Recherche du premier certificat valide dansRecherche du premier certificat valide dans userCertificate user object Active DirectoryuserCertificate user object Active Directory userSMIMECertificate user object Active DirectoryuserSMIMECertificate user object Active Directory userCertificate contact object Active Directory (Contacts userCertificate contact object Active Directory (Contacts

folder)folder) userSMIMECertificate contact object Active Directory userSMIMECertificate contact object Active Directory

(Contacts folder)(Contacts folder)

Sélectionne le certificat avec l’usage (Key Usage et Sélectionne le certificat avec l’usage (Key Usage et EKU) le plus restrictifEKU) le plus restrictif

Note: OWA ne permet de rajouter un certificat pour Note: OWA ne permet de rajouter un certificat pour un contact (utiliser Office Outlook)un contact (utiliser Office Outlook)

17

Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Client effectueClient effectue

La gestion des certificats de l’utilisateur et sa clé privéeLa gestion des certificats de l’utilisateur et sa clé privée Les opérations à base de clé publique/privéeLes opérations à base de clé publique/privée

Clé privée - déchiffrement/signatureClé privée - déchiffrement/signature Clé publique - chiffrement/vérification de signatureClé publique - chiffrement/vérification de signature

Serveur effectue la validation des certificats des Serveur effectue la validation des certificats des correspondantscorrespondants Magasins des racines de confiance sur les serveurs Magasins des racines de confiance sur les serveurs

doivent contenir les certificats des CA racinesdoivent contenir les certificats des CA racines Connectivité pour la vérification de la révocationConnectivité pour la vérification de la révocation

Typiquement HTTP ou LDAPTypiquement HTTP ou LDAP

Pièces jointes des messages S/MIME sont effacées Pièces jointes des messages S/MIME sont effacées du cache IEdu cache IE

DémoDémo

S/MIME et LDAPS/MIME et LDAPet auto-enrôlementet auto-enrôlement

Interopérabilité Interopérabilité PKIPKI

20

Format des certificats S/MIMEFormat des certificats S/MIME X509v3 (RFC 3280)X509v3 (RFC 3280) Champ Champ SubjectSubject contient adresse e-mail RFC 822 contient adresse e-mail RFC 822

Exemple Exemple [email protected][email protected] Ou extension Ou extension Subject Alternative NameSubject Alternative Name contient adresse e-mail contient adresse e-mail

RFC 822, exemple RFC 822, exemple RFC822 [email protected] [email protected] Exigence débrayable Outlook et OWAExigence débrayable Outlook et OWA

Champ Champ Key UsageKey Usage doit contenir Digital Signature et/ou doit contenir Digital Signature et/ou Data/Key Encipherment selon l’usage du certificat S/MIME Data/Key Encipherment selon l’usage du certificat S/MIME (signature et/ou confidentialité)(signature et/ou confidentialité)

Si présente, extension Si présente, extension Extended Key UsageExtended Key Usage doit indiquer doit indiquer Secure Email (1.3.6.1.5.5.7.3.4)Secure Email (1.3.6.1.5.5.7.3.4)

Extension AIA – si présente, facilite la construction de la chaine Extension AIA – si présente, facilite la construction de la chaine de certificats tout en permettant une taille des messages de certificats tout en permettant une taille des messages réduiteréduite Pour Outlook et OWAPour Outlook et OWA

Extension CDP – si présente, facilite la vérification de la Extension CDP – si présente, facilite la vérification de la révocationrévocation

Extension Extension SMIME CapabilitiesSMIME Capabilities – si présente, facilite le choix – si présente, facilite le choix d’un algorithme fort tout en maintenant la lisibilitéd’un algorithme fort tout en maintenant la lisibilité Office Outlook seulementOffice Outlook seulement

21

PKI non Windows pour Office Outlook PKI non Windows pour Office Outlook 20032003

En une slide…En une slide… Emettre des certificats S/MIME pour les utilisateursEmettre des certificats S/MIME pour les utilisateurs Infrastructure PKIInfrastructure PKI Mettre en œuvre les extensions AIA et CDP ainsi que la Mettre en œuvre les extensions AIA et CDP ainsi que la

connectivité réseau nécessaire (LDAP, ou HTTP)connectivité réseau nécessaire (LDAP, ou HTTP)

Déployer le certificat de la CA racine sur les postesDéployer le certificat de la CA racine sur les postes Magasin des autorités racines de confianceMagasin des autorités racines de confiance

Déployer les certificats S/MIME dans l’annuaireDéployer les certificats S/MIME dans l’annuaire Active Directory ou annuaire LDAPActive Directory ou annuaire LDAP Utiliser de préférence l’attribut Utiliser de préférence l’attribut userCertificatesuserCertificates S’assurer que S’assurer que userSMIMECertificatesuserSMIMECertificates ne contient pas de ne contient pas de

certificatscertificats

Déployer/configurer les Déployer/configurer les security policysecurity policy de Outlook de Outlook http://office.microsoft.com/en-us/assistance/HA011402891033.ahttp://office.microsoft.com/en-us/assistance/HA011402891033.a

spxspx AlwaysEncrypt, AlwaysSign, ClearSign, PublishtoGalDisabled, AlwaysEncrypt, AlwaysSign, ClearSign, PublishtoGalDisabled,

EnrollPageURL, MinEncKey,EnrollPageURL, MinEncKey, etc… etc… Exigence de match entre les adresses e-mail des correspondants Exigence de match entre les adresses e-mail des correspondants

et celles des certificatset celles des certificats

http://office.microsoft.com/en-us/assistance/HA011402891033.aspx

http://office.microsoft.com/en-us/assistance/HA011402891033.aspx

22

PKI non Windows pour Outlook ExpressPKI non Windows pour Outlook ExpressEn une slide…En une slide…

Emettre des certificats S/MIME pour les utilisateursEmettre des certificats S/MIME pour les utilisateurs Infrastructure PKIInfrastructure PKI Respect format (Key Usage et EKU) et adresse e-mailRespect format (Key Usage et EKU) et adresse e-mail Mettre en œuvre les extensions AIA et CDP ainsi que la Mettre en œuvre les extensions AIA et CDP ainsi que la

connectivité réseau nécessaire (LDAP, ou HTTP)connectivité réseau nécessaire (LDAP, ou HTTP) Par défaut, Outlook Express fonctionne sansPar défaut, Outlook Express fonctionne sans

Inclusion de la chaine complèteInclusion de la chaine complète Pas de vérification de la révocationPas de vérification de la révocation

Déployer le certificat de la CA racine sur les postesDéployer le certificat de la CA racine sur les postes Magasin des autorités racines de confianceMagasin des autorités racines de confiance

Déployer les certificats S/MIME dans l’annuaire Déployer les certificats S/MIME dans l’annuaire LDAPLDAP Attributs Attributs userCertificates, userSMIMECertificatesuserCertificates, userSMIMECertificates

23

PKI non Windows pour OWA d’Exchange PKI non Windows pour OWA d’Exchange 20032003

En une slide…En une slide… Emettre des certificats S/MIME pour les utilisateursEmettre des certificats S/MIME pour les utilisateurs

Infrastructure PKIInfrastructure PKI Mettre en œuvre les extensions AIA et CDP ainsi que la Mettre en œuvre les extensions AIA et CDP ainsi que la

connectivité réseau nécessaire (LDAP, ou HTTP) pour le serveurconnectivité réseau nécessaire (LDAP, ou HTTP) pour le serveur

Déployer le certificat de la CA racine sur les postes et Déployer le certificat de la CA racine sur les postes et serveurs exchangeserveurs exchange Magasin des autorités racines de confianceMagasin des autorités racines de confiance

Déployer les certificats S/MIME dans l’annuaireDéployer les certificats S/MIME dans l’annuaire Active DirectoryActive Directory Utiliser de préférence l’attribut Utiliser de préférence l’attribut userCertificatesuserCertificates S’assurer que S’assurer que userSMIMECertificatesuserSMIMECertificates ne contient pas de ne contient pas de

certificats (dans le cas d’une mixité avec Outlook 2003)certificats (dans le cas d’une mixité avec Outlook 2003)

Déployer/configurer les options de S/MIME OWA au niveau du Déployer/configurer les options de S/MIME OWA au niveau du serveurserveur AlwaysSign, AlwaysEncryptAlwaysSign, AlwaysEncrypt……

24

Echanges entre organisationsEchanges entre organisationsDeux approches possiblesDeux approches possibles

Racine communeRacine commune Exemple racine commerciale publiqueExemple racine commerciale publique

GTE CyberTrust Global RootGTE CyberTrust Global Root

Certification croiséeCertification croisée On certifie les CA tierces desquelles on souhaite accepter On certifie les CA tierces desquelles on souhaite accepter

des certificatsdes certificats Dans ce certificat pour la CA tierce, on place des contraintesDans ce certificat pour la CA tierce, on place des contraintes

E.g. un certificat tiers pourra être accepté pour le courrier E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, électronique (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages.même si le certificat spécifie les deux usages.

Certification croiséeCertification croisée Deux hiérarchies ce certifient mutuellementDeux hiérarchies ce certifient mutuellement N hiérarchies se certifient via un relais (bridge)N hiérarchies se certifient via un relais (bridge)

25

Le modèle de confiance traditionnelLe modèle de confiance traditionnel

Issuer: ContCASubject: BobIssuer: ContCASubject: Bob

Issuer: ContRootSubject: ContCAIssuer: ContRootSubject: ContCA

Issuer: ContRootSubject: ContRootIssuer: ContRootSubject: ContRoot

Contoso’s Trusted Root




Contoso Consulting

Jim


26





Issuer:NWindCASubject: AliceIssuer:NWindCASubject: Alice

Issuer: NWindRootSubject: NWindRootIssuer: NWindRootSubject: NWindRoot

Issuer: NWindRootSubject: NWindCAIssuer: NWindRootSubject: NWindCA

Issuer: NWindCASubject: AliceIssuer: NWindCASubject: Alice




Northwind Traders Contoso Consulting

Jim


Northwind Traders Untrusted Root

Jim

27

Certification croiséeCertification croisée

ContosoConsulting

ContosoConsulting

Issuer: PolicyCASubject: BobIssuer: PolicyCASubject: Bob

Issuer: PartnerCASubject: PolicyCAIssuer: PartnerCASubject: PolicyCA

Issuer: PartnerCASubject: PartnerCAIssuer: PartnerCASubject: PartnerCA

Issuer: IssuingCASubject: AliceIssuer: IssuingCASubject: Alice

NorthwindTraders

NorthwindTraders

Issuer: CorpCASubject: CorpCAIssuer: CorpCASubject: CorpCA

Issuer: ContCASubject: NWindRootIssuer: ContCASubject: NWindRoot

Issuer: CorpCASubject: IssuingCAIssuer: CorpCASubject: IssuingCA

Contoso’s Trusted Root





Issuer: NWindCASubject: ContRootIssuer: NWindCASubject: ContRoot




DémoDémo

Certification croiséeCertification croisée

29

Lecture des anciens message Lecture des anciens message chiffréschiffrés

Les clés privées doivent être présentes sur le poste Les clés privées doivent être présentes sur le poste (disque dur, ou carte à puce)(disque dur, ou carte à puce)

Issuer/Serial NumberIssuer/Serial Number Le message fait référence au certificat de chiffrementLe message fait référence au certificat de chiffrement

Optionnellement Optionnellement Subject Key IdentifierSubject Key Identifier - Contrôle S/MIME pour - Contrôle S/MIME pour OWA OWA

Architecture particuliersArchitecture particuliers Les utilisateurs doivent sauvegarder leurs clés/certificats de Les utilisateurs doivent sauvegarder leurs clés/certificats de

chiffrement – format PKCS#12 (.pfx)chiffrement – format PKCS#12 (.pfx) Outlook 2003 – Outlook 2003 – Tools/Options/Security/Import/Export…Tools/Options/Security/Import/Export…

Environnement d’entrepriseEnvironnement d’entreprise Séquestre des clés de chiffrement par l’infrastructure PKISéquestre des clés de chiffrement par l’infrastructure PKI L’administrateur PKI (ou agent de récupération si séparation L’administrateur PKI (ou agent de récupération si séparation

des rôles) fournit aux utilisateurs leurs anciennes clés au des rôles) fournit aux utilisateurs leurs anciennes clés au format pfxformat pfx

DémoDémo

Récupération de cléRécupération de clé

31

Best PracticesBest Practices PKI, PKI, PKI…PKI, PKI, PKI…

Hiérarchie de CAHiérarchie de CA Emission/RenouvellementEmission/Renouvellement RévocationRévocation RécupérationRécupération Clé dual – chiffrement/signatureClé dual – chiffrement/signature

End userEnd user Savoir examiner un certificatSavoir examiner un certificat Pérennité des donnéesPérennité des données

Sauvegarde des clésSauvegarde des clés Récupération du mot de passe (Windows XP)Récupération du mot de passe (Windows XP)

Attention au sujet du message (ni confidentialité, ni Attention au sujet du message (ni confidentialité, ni signature)signature) Les pièces jointes elles sont protégéesLes pièces jointes elles sont protégées

Questions/Questions/réponsesréponses

33

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

http://www.microsoft.com/france

Transparents Transparents supplémentairessupplémentaires

36

Office Outlook 2003Office Outlook 2003Choix de l’algorithmeChoix de l’algorithme

En cas de capacités connues, favorise l’algorithme le plus En cas de capacités connues, favorise l’algorithme le plus fortfort SMIMECapabilitiesSMIMECapabilities – Attribut signé OID 1.2.840.113549.1.9.15 – Attribut signé OID 1.2.840.113549.1.9.15

Attribut d’un message signé déjà reçuAttribut d’un message signé déjà reçu Attribut dans Attribut dans userSMIMECertificateuserSMIMECertificate Attribut d’un certificat S/MIMEAttribut d’un certificat S/MIME

En cas de capacités non déterminées, favorise la lisibilité En cas de capacités non déterminées, favorise la lisibilité RC2 40 bitRC2 40 bit Paramétrable avec Paramétrable avec UseAlternateDefaultEncryptionAlg (DWORD)UseAlternateDefaultEncryptionAlg (DWORD)

HKCU\Software\Microsoft\Office\11.0\Outlook\SecurityHKCU\Software\Microsoft\Office\11.0\Outlook\Security Voir fiche KB 307472 pour detailsVoir fiche KB 307472 pour details

MinEncKeyMinEncKey security policy (DWORD 40, 64, 128, 168) security policy (DWORD 40, 64, 128, 168) HKCU\Software\Policies\Microsoft\Office\11.0\Outlook\SecurityHKCU\Software\Policies\Microsoft\Office\11.0\Outlook\Security

37

Outlook ExpressOutlook ExpressChoix de l’algorithmeChoix de l’algorithme

En cas de capacités connues, favorise l’algorithme En cas de capacités connues, favorise l’algorithme le plus fortle plus fort SMIMECapabilitiesSMIMECapabilities de la fiche contact ou l’annuaire LDAP de la fiche contact ou l’annuaire LDAP

Lorsque les « Lorsque les « capabilitiescapabilities » ne sont pas connues » ne sont pas connues Par défaut, chiffre à 40 bits (favorise la lisibilité)Par défaut, chiffre à 40 bits (favorise la lisibilité) Pour utiliser 3DES (Windows XP SP2)Pour utiliser 3DES (Windows XP SP2)

Fiche KB 331488Fiche KB 331488 Clé KEY_CURRENT_USER\Identities\<identity>\Software\Clé KEY_CURRENT_USER\Identities\<identity>\Software\

Microsoft\Outlook Express\5.0\Encrypt Using 3DESMicrosoft\Outlook Express\5.0\Encrypt Using 3DES

Option « Option « Warn on encrypting with less thanWarn on encrypting with less than… »… » Par default 168 bitsPar default 168 bits

38

RévocationRévocation Office Outlook 2003Office Outlook 2003

Activée par défautActivée par défaut DébrayableDébrayable

HKCU\software\microsoft\office\11.0\outlook\security\UseCRLChasingHKCU\software\microsoft\office\11.0\outlook\security\UseCRLChasing

Outlook ExpressOutlook Express Non activée par défautNon activée par défaut Activable par Activable par Options/Security/Advanced/Revocation Options/Security/Advanced/Revocation

CheckingChecking

Contrôle S/MIME OWAContrôle S/MIME OWA Activée par défautActivée par défaut Peut se désactiver (clé registre Peut se désactiver (clé registre DisableCRLCheckDisableCRLCheck – coté – coté

serveur)serveur) RevocationURLRetrievalTimeoutRevocationURLRetrievalTimeout, , CertURLRetrievalTimeoutCertURLRetrievalTimeout

39

RévocationRévocation RFC 2459, CDP, CRL X509v2RFC 2459, CDP, CRL X509v2

Fonctionnement CryptoAPI – Fonctionnement CryptoAPI – Revocation ProviderRevocation Provider1.1. Recherche dans le cache (WinInet) la CRL indiquée par la CDPRecherche dans le cache (WinInet) la CRL indiquée par la CDP2.2. Recherche dans le magasin des autorités intermédiairesRecherche dans le magasin des autorités intermédiaires3.3. Tente de récupérer la CRL indiquée par la CDP sur le réseau et la place Tente de récupérer la CRL indiquée par la CDP sur le réseau et la place

dans le cache (WinInet) dans le cache (WinInet)

Pas de moyen Pas de moyen supportésupporté de forcer un téléchargement client alors de forcer un téléchargement client alors que les CRL en cache sont validesque les CRL en cache sont valides Ne télécharge une nouvelle CRL (extension CDP) que lorsque la CRL en Ne télécharge une nouvelle CRL (extension CDP) que lorsque la CRL en

cache est expiréecache est expirée On peut tenter de purger le cacheOn peut tenter de purger le cache

CrytoAPI ne place pas de CRL dans le magasin des intermédiairesCrytoAPI ne place pas de CRL dans le magasin des intermédiaires

Pour tester l’accès aux CRLPour tester l’accès aux CRL certutil –URL c:\cert.cercertutil –URL c:\cert.cer

Livre blanc sur la validation des certificats, en particulier la vérification de révocation http://www.microsoft.com/technet/security/topics/cryptographyetc/tshtcrl.mspx

http://www.microsoft.com/technet/security/topics/cryptographyetc/tshtcrl.mspx

40

RévocationRévocationDelta CRLDelta CRL

Delta CRL référencée par l’extension freshestCRL de la CRL Faible tailleFaible taille Fréquence de publication élevéeFréquence de publication élevée Permet de déclencher le renouvellement d’une CRL de base Permet de déclencher le renouvellement d’une CRL de base

non expirée sur les postes clientsnon expirée sur les postes clients Se configure de la même manière que les CRLs de baseSe configure de la même manière que les CRLs de base

Base

Base

Base

OCSPOCSP Validation en ligne auprès d’une autorité de validation (VA) - RFC Validation en ligne auprès d’une autorité de validation (VA) - RFC

25602560 L’extension AIA comporte les informations nécessaires pour contacter L’extension AIA comporte les informations nécessaires pour contacter

l’autorité de validationl’autorité de validation Certificate Services (CA Windows) permet de générer des certificats pour Certificate Services (CA Windows) permet de générer des certificats pour

OCSP – AIA avec location du responderOCSP – AIA avec location du responder CryptoAPI supporte la notion de CryptoAPI supporte la notion de Revocation ProvidersRevocation Providers

Le support d’OCSP coté client consiste à installer un provider de révocation Le support d’OCSP coté client consiste à installer un provider de révocation OCSPOCSP

API API CertVerifyRevocationCertVerifyRevocation, , WinVerifyTrustWinVerifyTrust Les applications CryptoAPI (dont Outlook, Outlook Express, OWA) en tirent Les applications CryptoAPI (dont Outlook, Outlook Express, OWA) en tirent

partiparti Windows Vista (Longhorn) supporte OCSPWindows Vista (Longhorn) supporte OCSP

Client OCSP (Client OCSP (Revocation ProviderRevocation Provider) opérationnel depuis Octobre 2003 (PDC ) opérationnel depuis Octobre 2003 (PDC build)build)

Les builds actuels incorporent le Les builds actuels incorporent le ResponderResponder OCSP Longhorn OCSP Longhorn Technologies OCSP pour Windows disponibles sur le marchéTechnologies OCSP pour Windows disponibles sur le marché

E.g. Alacris, Valicert, KyberPassE.g. Alacris, Valicert, KyberPass

OCSP est adapté pour des transactions à forte valeurOCSP est adapté pour des transactions à forte valeur Pas pour des gros volumes à faible valeurPas pour des gros volumes à faible valeur

OCSP ne veut pas forcement dire une validation en « temps réel »OCSP ne veut pas forcement dire une validation en « temps réel » Typiquement les serveurs OCSP utilisent des CRL et CRL deltaTypiquement les serveurs OCSP utilisent des CRL et CRL delta Plus une question d’architecture que de technologiePlus une question d’architecture que de technologie

43

PKI Windows 2003PKI Windows 2003La valeur de l’offreLa valeur de l’offre

Certificate ServicesCertificate Services Technologie permettant la mise en œuvre d’une Autorité Technologie permettant la mise en œuvre d’une Autorité

de Certification et le déploiement de certificatsde Certification et le déploiement de certificats

MaturitéMaturité Richesse des fonctionsRichesse des fonctions Respect des standardsRespect des standards Dimensionnement, fiabilité, souplesseDimensionnement, fiabilité, souplesse TCO le plus basTCO le plus bas

Un service de la plateformeUn service de la plateforme Dans le cadre d’une infrastructure Windows/Active Dans le cadre d’une infrastructure Windows/Active

Directory, c’est le moyen le plus direct de déployer des Directory, c’est le moyen le plus direct de déployer des certificats et de tirer parti des applications qui les utilisentcertificats et de tirer parti des applications qui les utilisent

44

PKI Windows 2003PKI Windows 2003Les fonctionnalitésLes fonctionnalités

Serveur autorité de certification Serveur autorité de certification Intégration Active DirectoryIntégration Active Directory Enrôlement automatiqueEnrôlement automatique CRL deltaCRL delta Modèles de certificats modifiablesModèles de certificats modifiables Séquestre de clésSéquestre de clés Certification croiséeCertification croisée Séparation des rôles d’administrationSéparation des rôles d’administration Application Web d’enregistrementApplication Web d’enregistrement Support des cartes à puceSupport des cartes à puce Audit/journalisationAudit/journalisation APIs de programmationAPIs de programmation

Certificate Services API, CryptoAPI, CAPICOM, Certificate Services API, CryptoAPI, CAPICOM, Classes .Net/WSEClasses .Net/WSE

45

CertutilCertutil Certutil.exeCertutil.exe

L’outil privilégié pour la gestion de la CA en ligne de L’outil privilégié pour la gestion de la CA en ligne de commande et par scriptscommande et par scripts Certutil –store « My »Certutil –store « My » Certutil –Certutil –dumpdump CeCertutil –keyrtutil –key CCertertuutil –verifytil –verify CCertutil –scinfoertutil –scinfo CCertutil ertutil ––getcrlgetcrl CCertutil -isvalidertutil -isvalid

46

CryptoAPICryptoAPIUne architecture en providersUne architecture en providers

CSP

BaseClés

Crypto APICrypto API

Gestion certificats etproviders de stockage

Gestion certificats etproviders de stockage

Opérations cryptographiquesOpérations cryptographiques

StockageCertificats

Inetcomm.dll (S/MIME)Inetcomm.dll (S/MIME)

OutlookOutlook Outlook ExpressOutlook Express Contrôle OWAContrôle OWA

47

Inetcomm.dllInetcomm.dll Mise en œuvre de S/MIME factorisée dans l’OSMise en œuvre de S/MIME factorisée dans l’OS

Microsoft Internet Messaging API, v. 6.0.2900.2670Microsoft Internet Messaging API, v. 6.0.2900.2670 Clients Outlook, Outlook Express, OWA, Biztalk…Clients Outlook, Outlook Express, OWA, Biztalk…

48

RévocationRévocationMeilleures pratiquesMeilleures pratiques

Attention aux expirations de CRLs – CA émettrice, Attention aux expirations de CRLs – CA émettrice, et CAs de la chaîneet CAs de la chaîne Si une nouvelle CRL n’est pas disponible, les certificats ne Si une nouvelle CRL n’est pas disponible, les certificats ne

peuvent être validés, les applications se figentpeuvent être validés, les applications se figent Prévoir la publication des CRL pour les CA hors lignePrévoir la publication des CRL pour les CA hors ligne Prévoir la publication des CRL en cas de panne ou Prévoir la publication des CRL en cas de panne ou

indisponibilité de la CAindisponibilité de la CA Assurer un accès à la clé pour pouvoir signer des CRL Assurer un accès à la clé pour pouvoir signer des CRL

manuellement (certutil)manuellement (certutil) Ne pas utiliser de delta CRL pour les CA offlineNe pas utiliser de delta CRL pour les CA offline

Prendre en compte les temps de latence dus à la Prendre en compte les temps de latence dus à la réplication d’active directoryréplication d’active directory Prévoir un recouvrement du renouvellement Prévoir un recouvrement du renouvellement

suffisamment important pour les CRL de basesuffisamment important pour les CRL de base Incompatible avec les exigences du durée de validité Incompatible avec les exigences du durée de validité

courte des CRL Deltacourte des CRL Delta

49

RévocationRévocationMeilleures pratiquesMeilleures pratiques

Publication de la CRL de base via LDAP (AD)Publication de la CRL de base via LDAP (AD) Souplesse et disponibilité géographiqueSouplesse et disponibilité géographique Contrôle éventuel par des URL LDAP complètes (nom du Contrôle éventuel par des URL LDAP complètes (nom du

serveur) plutôt que relativesserveur) plutôt que relativesIncompatible avec une utilisation externeIncompatible avec une utilisation externe

Publication de la CRL delta via HTTPPublication de la CRL delta via HTTP Maîtrise des temps de latence, disponibilité immédiateMaîtrise des temps de latence, disponibilité immédiate Prévoir un (des) seveur(s) Web à haute disponibilitéPrévoir un (des) seveur(s) Web à haute disponibilité

Ordre des URLs de la CDP est importantOrdre des URLs de la CDP est important Utiliser les chemins et conventions de nommage Utiliser les chemins et conventions de nommage

qui ne révèlent pas la structure interne du réseauqui ne révèlent pas la structure interne du réseau Fréquences typiquesFréquences typiques

CRL CA intermédiaires: 90-180 joursCRL CA intermédiaires: 90-180 jours CRL de base CA émettrices: 7 joursCRL de base CA émettrices: 7 jours CRL Delta CA émettrice: 1 jourCRL Delta CA émettrice: 1 jour

50

Protection de la clé privéeProtection de la clé privéeCSP logicielCSP logiciel

Chiffrement via DPAPI (Data Protection API)Chiffrement via DPAPI (Data Protection API) CryptProtectData, CryptUnprotectDataCryptProtectData, CryptUnprotectData Seul le même utilisateur peut retrouver l’information en Seul le même utilisateur peut retrouver l’information en

clair – c’est le même utilisateur qui doit invoquer protect clair – c’est le même utilisateur qui doit invoquer protect et unprotectet unprotect

Source d’entropieSource d’entropie CrédentielsCrédentiels de l’utilisateur (NTHash du mot de passe) de l’utilisateur (NTHash du mot de passe) Entropie supplémentaire spécifique à l’informationEntropie supplémentaire spécifique à l’information

« Strong key protection »« Strong key protection » Phrase secrète utilisateurPhrase secrète utilisateur

Gestion des changements de mot de passeGestion des changements de mot de passe

Stockage du « blob » DPAPI dans le profil de Stockage du « blob » DPAPI dans le profil de l’utilisateurl’utilisateur c:\Documents and Settings\<username>\Application c:\Documents and Settings\<username>\Application

Data\Microsoft\Protect\<textual user SID>Data\Microsoft\Protect\<textual user SID>

51

AIA et CDPAIA et CDPValidation d’un certificat – RFC 2459/3280Validation d’un certificat – RFC 2459/3280

Extension authorityInfoAccessExtension authorityInfoAccess Construction de la chaîne de certificationConstruction de la chaîne de certification Permet de retrouver le certificat de l’autorité émettrice, et ainsi de suite Permet de retrouver le certificat de l’autorité émettrice, et ainsi de suite

jusqu’à la racinejusqu’à la racine Les AC publient leur certificat à cette finLes AC publient leur certificat à cette fin

http://www.unico.com/pki/CertEnroll/SRV-CA-ISSUING.unico.com_ca-issuing.crthttp://www.unico.com/pki/CertEnroll/SRV-CA-ISSUING.unico.com_ca-issuing.crt ldap:///CN=ca-issuing,CN=AIA,CN=Public%20Keyldap:///CN=ca-issuing,CN=AIA,CN=Public%20Key

%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?cACertificate?base?objectClass=certificationAuthoritycACertificate?base?objectClass=certificationAuthority

Etc…Etc… Extension cRLDistributionPointsExtension cRLDistributionPoints

Vérification de la révocation de chacun des certificats de la chaîneVérification de la révocation de chacun des certificats de la chaîne Permet de retrouver la CRL, delta CRL, ou une autorité de validation Permet de retrouver la CRL, delta CRL, ou une autorité de validation

OCSPOCSP Les AC publient leurs CRLs à cette finLes AC publient leurs CRLs à cette fin

http://www.unico.com/pki/CertEnroll/ca-issuing.crlhttp://www.unico.com/pki/CertEnroll/ca-issuing.crl ldap:///CN=ca-issuing,CN=SRV-CA-ISSUING,CN=CDP,CN=Public%20Keyldap:///CN=ca-issuing,CN=SRV-CA-ISSUING,CN=CDP,CN=Public%20Key

%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?%20Services,CN=Services,CN=Configuration,DC=unico,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPointcertificateRevocationList?base?objectClass=cRLDistributionPoint

Etc…Etc… Pour les systèmes Windows, les certificats des AC (Pour les systèmes Windows, les certificats des AC (mais pas les mais pas les

CRLsCRLs), une fois retrouves par CryptoAPI sont conservés dans le ), une fois retrouves par CryptoAPI sont conservés dans le magasin des autorités intermédiaires (géré par CryptoAPI)magasin des autorités intermédiaires (géré par CryptoAPI)

52

CryptoAPICryptoAPILien entre certificat du titulaire et clé privéeLien entre certificat du titulaire et clé privée

L’utilisateur d’un certificat n’a que le certificatL’utilisateur d’un certificat n’a que le certificat Le titulaire/détenteur d’un certificat possède le Le titulaire/détenteur d’un certificat possède le

certificat et la clé privée correspondantecertificat et la clé privée correspondante Stockée avec le certificat se trouve une référence Stockée avec le certificat se trouve une référence

vers la clé privéevers la clé privée Extended Properties CERT_KEY_PROV_INFO_PROP_IDExtended Properties CERT_KEY_PROV_INFO_PROP_ID

Structure CRYPT_KEY_PROV_INFO: Contient toutes les Structure CRYPT_KEY_PROV_INFO: Contient toutes les informations nécessaires pour acquérir un contexte sur le informations nécessaires pour acquérir un contexte sur le CSP hébergeant la clé privée - typiquement les paramètres CSP hébergeant la clé privée - typiquement les paramètres de de CryptAcquireContextCryptAcquireContext

Basecertificats

Certificat(signé par CA)

Propriétés

Contexte de certificat

CRYPT_KEY_PROV_INFO ContainerName ProvName ProvType ProvParam …

CERT_KEY_PROV_INFO_PROP_IDCSP

BaseClés

53

CryptoAPICryptoAPIBases, ou magasins de certificatsBases, ou magasins de certificats

Par utilisateur, machine, ou servicePar utilisateur, machine, ou service PluginPlugin MMC MMC CertificatesCertificates Certutil.exeCertutil.exe

Nom CryptoAPI Nom d’affichage Description

My Personal Les certificats du titulaireLes certificats du titulaire

Root Trusted Root Certification Authorities

Les racines de confiance

Trust Enterprise Trust Certificate Trust Lists

CA Intermediate Certification Authorities

Cache des CA intermédiaires et des listes de révocation

UserDS Active Directory User Object Les certificats du titulaire dans Active Directory – attribut du compte, userCertificate

Autres…

54

Standard S/MIMEStandard S/MIME Sécurisation d’entités MIME, pas des entêtes RFC Sécurisation d’entités MIME, pas des entêtes RFC

822822 MIME body partMIME body part

Content-type Content-type application/pkcs7-mimeapplication/pkcs7-mime Comment mettre du MIME dans un message PKCS#7Comment mettre du MIME dans un message PKCS#7 Opaque pour les gateways MIMEOpaque pour les gateways MIME Contenu PKCS#7 - RFC 2315 (v2) ou CMS – RFC 2630 (v3)Contenu PKCS#7 - RFC 2315 (v2) ou CMS – RFC 2630 (v3)

Syntaxe ASN.1, encodage DERSyntaxe ASN.1, encodage DER Type SignedData, EnvelopedData, SignedAndEnvelopedDataType SignedData, EnvelopedData, SignedAndEnvelopedData

smime-type – permet de connaître le contenu/format du blob smime-type – permet de connaître le contenu/format du blob PKCS#7 sans avoir à l’ouvrirPKCS#7 sans avoir à l’ouvrir enveloped-dataenveloped-data signed-datasigned-data

L’entité MIME à sécuriser est placée dans un message PKCS#7, qui est lui-même transmis en tant qu’entité MIME. Cette transmission de l’entité MIME peut se faire sur n’importe quel protocole/format, et non pas seulement SMTP/POP

55

Standard S/MIMEStandard S/MIME MIME body partMIME body part

Content-type Content-type multipart/signedmultipart/signed Première partie – entité MIMEPremière partie – entité MIME

Blob MIME, objet de la signatureBlob MIME, objet de la signature Deuxième partie – entité MIMEDeuxième partie – entité MIME

Signature détachéeSignature détachée Content-type Content-type application/pkcs7-signatureapplication/pkcs7-signature smime-type = signed-datasmime-type = signed-data

• PKCS#7 de type signedDataPKCS#7 de type signedData Le PKCS#7 n’a pas de contenu: signature seuleLe PKCS#7 n’a pas de contenu: signature seule

Clear Signing – multipart/signed et application/pkcs7-Clear Signing – multipart/signed et application/pkcs7-signaturesignature Contenu signé est lisible par un destinataire dont le logiciel Contenu signé est lisible par un destinataire dont le logiciel

ne supporte pas S/MIMEne supporte pas S/MIME la signature est « à coté » du contenula signature est « à coté » du contenu

Opaque Signing – application/pkcs7-mimeOpaque Signing – application/pkcs7-mime Contenu du message signé lisible que par un décodeur Contenu du message signé lisible que par un décodeur

S/MIME (la signature est intégrée au contenu – formatage S/MIME (la signature est intégrée au contenu – formatage PKCS#7/CMSPKCS#7/CMS

56

Opaque Signing vs Clear SigningOpaque Signing vs Clear Signing Pour le clients S/MIME Microsoft, c’est au choix de l’utilisateurPour le clients S/MIME Microsoft, c’est au choix de l’utilisateur

Outlook ExpressOutlook Express Configuration globale (menu Configuration globale (menu Tools/Options/Security/AdvancedTools/Options/Security/Advanced)) Défaut Défaut Clear SignClear Sign

Office OutlookOffice Outlook Configuration globale du choix par défaut (menu Configuration globale du choix par défaut (menu

Tools/Options/SecurityTools/Options/Security), ensuite modifiable message par message), ensuite modifiable message par message Imposable par policy Imposable par policy ClearSignClearSign

Contrôle S/MIME OWAContrôle S/MIME OWA Clé registre Clé registre ClearSignClearSign (coté serveur) (coté serveur) Défaut Clear SignDéfaut Clear Sign

Clients non-S/MIME pour lesquels le message doit comporter Clients non-S/MIME pour lesquels le message doit comporter une signature « une signature « Clear SigningClear Signing » afin d’être lisible » afin d’être lisible OWA sans le contrôle S/MIME (OWA Basic)OWA sans le contrôle S/MIME (OWA Basic) MobilesMobiles

Outlook Mobile Access (OMA)Outlook Mobile Access (OMA) Exchange ActiveSyncExchange ActiveSync

57

Dumper un message S/MIME d’Outlook Dumper un message S/MIME d’Outlook ExpressExpress

1.1. Dans OE, sauvegarder le message en tant que fichier Dans OE, sauvegarder le message en tant que fichier .eml.eml Le fichier texte contient le corps MIME au format PKCS#7/CMS Le fichier texte contient le corps MIME au format PKCS#7/CMS

encodé base64encodé base64 Il y a deux cas:Il y a deux cas:

Content type Content type application/x-pkcs7-mimeapplication/x-pkcs7-mime pour signature opaque ou pour signature opaque ou message chiffré (message chiffré (signedDatasignedData, , envelopedDataenvelopedData, , signedAndEnvelopedDatasignedAndEnvelopedData). Nom de la pièce jointe ). Nom de la pièce jointe smime.p7msmime.p7m

Content type Content type application/x-pkcs7-signature application/x-pkcs7-signature pour signature détachée. pour signature détachée. Nom de la pièce jointe Nom de la pièce jointe smime.p7ssmime.p7s

2.2. Extraire la pièce jointe vers un fichier Extraire la pièce jointe vers un fichier smime.p7msmime.p7m ou ou smime.p7ssmime.p7s Avec Avec notepadnotepad, extraire la partie MIME vers un fichier temporaire , extraire la partie MIME vers un fichier temporaire

(uuencoded.txt – le texte commence par MIAGCSq….) et décoder (uuencoded.txt – le texte commence par MIAGCSq….) et décoder le fichier temporaire vers un fichier smime.p7m ou smime.p7s le fichier temporaire vers un fichier smime.p7m ou smime.p7s (le binaire doit commencer par 33 80…) (le binaire doit commencer par 33 80…) certutil -v -f -decode uuencoded.txt smime.p7mcertutil -v -f -decode uuencoded.txt smime.p7m hexdump smime.p7mhexdump smime.p7m

0x00000000 30 80 06 09 2A 86 48 86 F7 0D 01 07 02 A0 80 30 0x00000000 30 80 06 09 2A 86 48 86 F7 0D 01 07 02 A0 80 30 0...*.H........00...*.H........0

3.3. Décoder le fichier .p7m ou p7s avec un décodeur Décoder le fichier .p7m ou p7s avec un décodeur PKCS#7/CMSPKCS#7/CMS certutil -dump signed.p7mcertutil -dump signed.p7m

58

S/MIME Diffie HellmanS/MIME Diffie Hellman Support de Diffie-Hellman et DSA (Digital Signature Support de Diffie-Hellman et DSA (Digital Signature

Algorithm) par Outlook à partir de Outlook 2000 Algorithm) par Outlook à partir de Outlook 2000 SR1SR1 Et aussi Outlook Express et OWA puisque mise en œuvre Et aussi Outlook Express et OWA puisque mise en œuvre

dans l’OS (inetcomm.dll et CryptoAPI)dans l’OS (inetcomm.dll et CryptoAPI)

Diffie-Hellman – RFC 2632Diffie-Hellman – RFC 2632 Hmmm… on peut pas chiffrer avec Diffie-Hellman…Hmmm… on peut pas chiffrer avec Diffie-Hellman… Comment chiffre-t-on la clé de session pour les lock box?Comment chiffre-t-on la clé de session pour les lock box?

Réponse: on chiffre avec un algorithme symétrique et une Réponse: on chiffre avec un algorithme symétrique et une clé de chiffrement dérivée de l’échange Diffie-Hellmanclé de chiffrement dérivée de l’échange Diffie-Hellman

Quel échange?Quel échange? La clé publique DH du destinataire doit être statique (connue La clé publique DH du destinataire doit être statique (connue

de l’émetteur), et certifiée – comme pour RSA!de l’émetteur), et certifiée – comme pour RSA! La clé publique DH de l’émetteur peut être éphémère pour La clé publique DH de l’émetteur peut être éphémère pour

un ou des messages, et envoyée avec le messageun ou des messages, et envoyée avec le message Modes static-static, ephéméral-staticModes static-static, ephéméral-static

S/MIME et Office S/MIME et Office Outlook 2003Outlook 2003

60

Office Outlook 2003Office Outlook 2003Chiffrement pour soi-mêmeChiffrement pour soi-même

SystématiqueSystématique Utilise certificat de chiffrement configuré dans Utilise certificat de chiffrement configuré dans

Options/Security/SettingsOptions/Security/Settings Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin

des certificats personnels et configure Outlook des certificats personnels et configure Outlook (Security Settings) avec ce certificat(Security Settings) avec ce certificat

61

Office Outlook 2003Office Outlook 2003Recherche certificat pour signatureRecherche certificat pour signature

Utilise certificat de signature configuré dans Utilise certificat de signature configuré dans Options/Security/SettingsOptions/Security/Settings

Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure Outlook des certificats personnels et configure Outlook (Security Settings) avec ce certificat(Security Settings) avec ce certificat

62

Office Outlook 2003Office Outlook 2003 L’adresse e-mail des entités en jeu doit L’adresse e-mail des entités en jeu doit

correspondre à celle indiquée par les certificatscorrespondre à celle indiquée par les certificats Exigence débrayableExigence débrayable

Fiche KB 276597Fiche KB 276597 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\

Outlook\Security\SupressNameChecksOutlook\Security\SupressNameChecks

Vérification de la révocation active par défautVérification de la révocation active par défaut DébrayableDébrayable

HKCU\software\microsoft\office\11.0\outlook\HKCU\software\microsoft\office\11.0\outlook\security\"UseCRLChasing« security\"UseCRLChasing«

Inclut la chaine des certificats, sauf racine Inclut la chaine des certificats, sauf racine (conforme RFC)(conforme RFC)

63

Outlook 2003Outlook 2003 Lock boxLock box fait référence au numéro de série du fait référence au numéro de série du

certificat et la CA émettrice (IssuerName)certificat et la CA émettrice (IssuerName) Si la Si la lock boxlock box fait référence au Subject Key Identifier, fait référence au Subject Key Identifier,

Outlook 2003 sait l’exploiter et retrouver la cléOutlook 2003 sait l’exploiter et retrouver la clé Ne génère pas de telles lock boxesNe génère pas de telles lock boxes

Option Option Options/Security/Settings/Send these Options/Security/Settings/Send these certificates with signed messagescertificates with signed messages Par défaut, Outlook 2003 inclut la chaine des certificats Par défaut, Outlook 2003 inclut la chaine des certificats

complète, y compris la racinecomplète, y compris la racine Permet de retrouver les CA intermédiaires en l’absence d’AIAPermet de retrouver les CA intermédiaires en l’absence d’AIA

Si cette option est désactivée, Outlook n’inclut que le Si cette option est désactivée, Outlook n’inclut que le certificat de l’émetteurcertificat de l’émetteur

64

Office Outlook 2003 Office Outlook 2003 Label policyLabel policy (S/MIME v3) (S/MIME v3)

Security LabelSecurity Label Propriété optionnelle d’un message signéPropriété optionnelle d’un message signé

« Top Secret », « Confidentiel », «Accès Restreint », « Equipe « Top Secret », « Confidentiel », «Accès Restreint », « Equipe Médicale », « Service Paye »Médicale », « Service Paye »

Apposé lors de la signature du messageApposé lors de la signature du message A l’ouverture, la « policy » permet l’accès au message A l’ouverture, la « policy » permet l’accès au message

selon la politique en vigueur selon la sémantique du labelselon la politique en vigueur selon la sémantique du label La classification du message est affichée à l’écranLa classification du message est affichée à l’écran

Exemple/documentation pour le développement de Exemple/documentation pour le développement de label policylabel policy http://office.microsoft.com/search/redir.aspx?AssetID=XT0http://office.microsoft.com/search/redir.aspx?AssetID=XT0

11420871033&CTT=5&Origin=HA01140287103311420871033&CTT=5&Origin=HA011402871033 Code fourni dans label.zipCode fourni dans label.zip

http://office.microsoft.com/search/redir.aspx?AssetID=XT011420871033&CTT=5&Origin=HA011402871033

http://office.microsoft.com/search/redir.aspx?AssetID=XT011420871033&CTT=5&Origin=HA011402871033

S/MIME et Outlook S/MIME et Outlook ExpressExpress

66

Outlook ExpressOutlook ExpressChiffrement pour soi-mêmeChiffrement pour soi-même

Option Option ""Always encrypt to myself when sending Always encrypt to myself when sending encrypted mailencrypted mail""

Utilise certificat de chiffrement configuré dans Utilise certificat de chiffrement configuré dans Accounts/Properties/SecurityAccounts/Properties/Security

Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte des certificats personnels et configure le compte Outlook Express avec ce certificatOutlook Express avec ce certificat

67

Outlook ExpressOutlook ExpressRecherche certificat pour signatureRecherche certificat pour signature

Utilise certificat de signature configuré dans Utilise certificat de signature configuré dans Accounts/Properties/SecurityAccounts/Properties/Security

Sinon, recherche certificat S/MIME dans magasin Sinon, recherche certificat S/MIME dans magasin des certificats personnels et configure le compte des certificats personnels et configure le compte Outlook Express avec ce certificatOutlook Express avec ce certificat

Option « Option « Include my Digital ID when sending Include my Digital ID when sending signed messages »signed messages » Par défaut, OE inclut la chaine des certificats complète, y Par défaut, OE inclut la chaine des certificats complète, y

compris la racinecompris la racine Permet de retrouver les CA intermédiaires en l’absence d’AIAPermet de retrouver les CA intermédiaires en l’absence d’AIA

Si cette option est désactivée, OE n’inclut aucun certificatSi cette option est désactivée, OE n’inclut aucun certificat

68

Labellisation SMIMEv3 pour Outlook Labellisation SMIMEv3 pour Outlook ExpressExpress

Mise en œuvre par DLL de policyMise en œuvre par DLL de policy Idem/Proche Outlook 2003Idem/Proche Outlook 2003

S/MIME et OWAS/MIME et OWA

70

Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Nécessite IE 6.0Nécessite IE 6.0

Et minimum OS Windows 2000Et minimum OS Windows 2000

InstallationInstallation Download par l’utilisateurDownload par l’utilisateur

Menu Options/E-Mail Security de OWAMenu Options/E-Mail Security de OWA Nécessite droits d’adminNécessite droits d’admin Attention URLScanAttention URLScan

Déploiement images ou SMSDéploiement images ou SMS A partir de Exchange Server 2003 SP1: fichier MSIA partir de Exchange Server 2003 SP1: fichier MSI

71

Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Chiffrement/signature message par message à la Chiffrement/signature message par message à la

discrétion de l’utilisateurdiscrétion de l’utilisateur Chiffrement/signature pour tous les messages Chiffrement/signature pour tous les messages

configurable par l’utilisateurconfigurable par l’utilisateur Menu Options/E-Mail SecurityMenu Options/E-Mail Security

Chiffrement/signature pour tous les messages Chiffrement/signature pour tous les messages obligatoire (configurable par l’administrateur)obligatoire (configurable par l’administrateur) Registry serveur Exchange: Registry serveur Exchange: AlwaysSignAlwaysSign, , AlwaysEncryptAlwaysEncrypt Attention: cela reste une fonction du contrôle ActiveXAttention: cela reste une fonction du contrôle ActiveX

72

Sélection certificat par le contrôle Sélection certificat par le contrôle S/MIMES/MIME

Déchiffrement et signatureDéchiffrement et signature Certificat dans magasin personnelCertificat dans magasin personnel Pour signature, OWA favorise les certificats sur carte à Pour signature, OWA favorise les certificats sur carte à

puce (ou matériel – puce (ou matériel – hardware basedhardware based))

Clé de registre Clé de registre SmartCardOnlySmartCardOnly (coté serveur) (coté serveur) Pour la signature, le contrôle n’utilise que des certificats Pour la signature, le contrôle n’utilise que des certificats

dont la clé privée se trouve sur une carte à pucedont la clé privée se trouve sur une carte à puce

73

Sélection certificat par le contrôle Sélection certificat par le contrôle S/MIMES/MIME

Adresse utilisateur (Adresse utilisateur (routing addressrouting address)) Champ Champ SubjectSubject Extension Extension Subject Alternative NameSubject Alternative Name

Certificat doit être valideCertificat doit être valide Validité temporelleValidité temporelle Vérification de non révocation, active par defaultVérification de non révocation, active par default

Peut se désactiver (clé registre Peut se désactiver (clé registre DisableCRLCheckDisableCRLCheck – coté – coté serveur)serveur)

RevocationURLRetrievalTimeoutRevocationURLRetrievalTimeout, , CertURLRetrievalTimeoutCertURLRetrievalTimeout Vérification de la chaine jusqu’à une CA racine de Vérification de la chaine jusqu’à une CA racine de

confiance (référencée dans le magasin des AC racines de confiance (référencée dans le magasin des AC racines de confiance)confiance)

74

Contrôle S/MIME pour OWAContrôle S/MIME pour OWA Par défaut, OWA ne place pas la chaine des Par défaut, OWA ne place pas la chaine des

certificats dans le messagecertificats dans le message SecurityFlagsSecurityFlags (coté serveur) – pour inclure la chaine, avec (coté serveur) – pour inclure la chaine, avec

ou sans la racineou sans la racine Flags 0x01 et 0x02Flags 0x01 et 0x02 Nécessaire en l’absence d’AIANécessaire en l’absence d’AIA

Par défaut, OWA place aussi le certificat de Par défaut, OWA place aussi le certificat de chiffrement dans un message signé (en plus du chiffrement dans un message signé (en plus du certificat de signature)certificat de signature) SecurityFlagsSecurityFlags (coté serveur) – pour n’inclure que le (coté serveur) – pour n’inclure que le

certificat de signaturecertificat de signature

Par défaut, les Par défaut, les lock boxlock box font référence au numéro font référence au numéro de série du certificat et la CA émettrice de série du certificat et la CA émettrice (IssuerName)(IssuerName) Clé Clé UseKeyIdentifierUseKeyIdentifier

Permet de retrouver la clé en l’absence d’anciens certificatsPermet de retrouver la clé en l’absence d’anciens certificats

75

Contrôle ActiveX S/MIME pour OWAContrôle ActiveX S/MIME pour OWA Fonctionnalités similaires à Outlook et Outlook Fonctionnalités similaires à Outlook et Outlook

ExpressExpress Exception: N’offre par les avis de lecture sécurisés Exception: N’offre par les avis de lecture sécurisés

((Secure Read Receipt)Secure Read Receipt)

76

Contrôle S/MIME OWAContrôle S/MIME OWA Validation de signatureValidation de signature

Certificat se trouve dans le messageCertificat se trouve dans le message Mais pas la chaine (par défaut)Mais pas la chaine (par défaut)

Utiliser extension AIA de préférenceUtiliser extension AIA de préférence SecurityFlags SecurityFlags (paramètre registre coté serveur)(paramètre registre coté serveur)

77

Certification croiséeCertification croisée ProblèmeProblème

Établissement de relations de confiance entre hiérarchies Établissement de relations de confiance entre hiérarchies séparéesséparées

SolutionSolution On certifie les CA tierces desquelles on souhaite accepter des On certifie les CA tierces desquelles on souhaite accepter des

certificatscertificats Dans ce certificat pour la CA tierce, on place des contraintesDans ce certificat pour la CA tierce, on place des contraintes

E.g. un certificat tiers pourra être accepté pour le courrier électronique E.g. un certificat tiers pourra être accepté pour le courrier électronique (validation de signature), mais pas pour IPSEC, même si le certificat (validation de signature), mais pas pour IPSEC, même si le certificat spécifie les deux usages.spécifie les deux usages.

Certification croiséeCertification croisée Deux hiérarchies ce certifient mutuellementDeux hiérarchies ce certifient mutuellement N hiérarchies se certifient via un relais (bridge)N hiérarchies se certifient via un relais (bridge)

Autre usage possibleAutre usage possible Désactiver les racines de confiance par défaut de la plateforme Désactiver les racines de confiance par défaut de la plateforme

par GPOpar GPO Conserver la racine de l’entrepriseConserver la racine de l’entreprise Certifier les racines publiques avec subordination qualifiéeCertifier les racines publiques avec subordination qualifiée

Exclure l’espace de nommage de l’entrepriseExclure l’espace de nommage de l’entreprise

78

Certification croisée Certification croisée Mise en oeuvreMise en oeuvre

Obtenir un certificat pour la signature de la requêteObtenir un certificat pour la signature de la requête Principalement pour l’exigence Application PolicyPrincipalement pour l’exigence Application Policy

Qualified Subordination (1.3.6.1.4.1.311.10.3.10) Qualified Subordination (1.3.6.1.4.1.311.10.3.10) Créer une template spécifique à partir de la template Enrollment Créer une template spécifique à partir de la template Enrollment

AgentAgent Configurer la CA pour servir la template Configurer la CA pour servir la template Cross Certification Cross Certification

AuthorityAuthority C’est la template du certificat croisé à émettreC’est la template du certificat croisé à émettre

Créer la requete avec certreq –policyCréer la requete avec certreq –policy Certificat de la CA à certifierCertificat de la CA à certifier Policy.inf – paramètres de la requêtePolicy.inf – paramètres de la requête Certificat pour la signature de la requêteCertificat pour la signature de la requête

Soumettre la requête avec MMC Certificate AuthoritySoumettre la requête avec MMC Certificate Authority Le certificat est publié dans AD (AIA)Le certificat est publié dans AD (AIA) Visualiser le certificat croisé dans ADVisualiser le certificat croisé dans AD

certutil -viewstore "CN=<CAName>,CN=AIA,CN=Public Key certutil -viewstore "CN=<CAName>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<ForestRootDN>?Services,CN=Services,CN=Configuration,DC=<ForestRootDN>?crossCertificatePaircrossCertificatePair

79











Northwind Traders Contoso Consulting

Jim


Jim


80


Issuer: COMRootSubject: ContRootIssuer: COMRootSubject: ContRoot


Contoso Consulting



Issuer: COMRootSubject: NWindRootIssuer: COMRootSubject: NWindRoot




Northwind Traders

Jim

CA commercialeIssuer: COMRootSubject: COMRootIssuer: COMRootSubject: COMRootIssuer: COMRootSubject: COMRootIssuer: COMRootSubject: COMRoot

81

Certification croiséeCertification croisée ProblèmeProblème

Établissement de relations de confiance entre hiérarchies Établissement de relations de confiance entre hiérarchies et organisations séparéeset organisations séparées

Solution: certification croisée Solution: certification croisée On certifie les CA tierces desquelles on souhaite accepter On certifie les CA tierces desquelles on souhaite accepter

des certificatsdes certificats Deux hiérarchies se certifient mutuellementDeux hiérarchies se certifient mutuellement N hiérarchies se certifient via un relais (bridge)N hiérarchies se certifient via un relais (bridge)

La certification croisée adresse un aspect de La certification croisée adresse un aspect de l’interopérabilité entre déploiements PKIl’interopérabilité entre déploiements PKI Permet de spécifier des contraintesPermet de spécifier des contraintes Permet de truster des CA intermédiairesPermet de truster des CA intermédiaires

82

Certification croisée Certification croisée Rajout d’une nouvelle CARajout d’une nouvelle CA

ContosoConsulting

ContosoConsulting




NorthwindTraders

NorthwindTraders



Issuer: NWindCASubject: ContRootIssuer: NWindCASubject: ContRoot


Issuer: ProjectCASubject: TrevorFIssuer: ProjectCASubject: TrevorF

Issuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCA

NorthwindTraders

NorthwindTraders

Issuer: ProjectCASubject: trevorfIssuer: ProjectCASubject: trevorf



Issuer: ProjectCASubject: trevorfIssuer: ProjectCASubject: trevorf





ContosoConsulting

ContosoConsulting

83

Certification croisée Certification croisée Restreindre la relation de confiance à une partie de la hiérarchieRestreindre la relation de confiance à une partie de la hiérarchie

ContosoConsulting

ContosoConsulting




NorthwindTraders

NorthwindTraders


Issuer: ContCASubject: NWindCAIssuer: ContCASubject: NWindCA



Issuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCAIssuer: NWindRootSubject: ProjectCA



84

Issuer: NWindCASubject: BridgeCAIssuer: NWindCASubject: BridgeCA


Issuer: FabCASubject: BridgeCAIssuer: FabCASubject: BridgeCA

Issuer: ContCASubject: BridgeCAIssuer: ContCASubject: BridgeCA


Issuer: FabCASubject: CarolIssuer: FabCASubject: Carol

Issuer: FabRootSubject: FabCAIssuer: FabRootSubject: FabCA Issuer: ContCA

Subject: BobIssuer: ContCASubject: Bob


Issuer: BridgeCASubject: BridgeCAIssuer: BridgeCASubject: BridgeCA

Issuer: FabRootSubject: FabRootIssuer: FabRootSubject: FabRoot

Issuer: BridgeCASubject: FabRootIssuer: BridgeCASubject: FabRoot


Issuer: BridgeCASubject: ContRootIssuer: BridgeCASubject: ContRoot


Issuer: BridgeCASubject: NWindRootIssuer: BridgeCASubject: NWindRoot

Northwind TradersNorthwind Traders

Fabrikam Inc.Fabrikam Inc.

Contoso Consulting

Contoso Consulting

Certification croisée Certification croisée Utilisation d’un bridgeUtilisation d’un bridge

85



















Contoso Consulting

Contoso Consulting

Certification croisée Certification croisée Utilisation d’un bridgeUtilisation d’un bridge




86



















Contoso Consulting

Contoso Consulting

Certification croisée Certification croisée Utilisation d’une CA bridgeUtilisation d’une CA bridge





Issuer: FabRootSubject: FabCAIssuer: FabRootSubject: FabCA


87

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

http://www.microsoft.com/france

Messagerie sécurisée avec S/MIME Jean-Yves Poublan Microsoft France.

Documents

Transcript of Messagerie sécurisée avec S/MIME Jean-Yves Poublan Microsoft France.