Smart Card Logon / Biométrie / PKINIT / Match on Card
15
e-Xpert Solutions SA | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 | www.e-xpertsolutions.com le bon sens et l’expérience Biométrie & Protection des données en entreprise 22 mai 2008 e-Xpert Solutions S.A.
-
Upload
sylvain-maret -
Category
Technology
-
view
1.946 -
download
0
description
Une présentation sur l'intégration de la technologie PKINIT et la Biométrie Match on Card
Transcript of Smart Card Logon / Biométrie / PKINIT / Match on Card
e-Xpert Solutions SA | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 | www.e-xpertsolutions.com
le bon sens et l’expérience
Biométrie &Protection des données en entreprise
22 mai 2008e-Xpert Solutions S.A.
Le bon sens et l’expériencewww.e-xpertsolutions.com
“ L’art de fortifier ne consiste pas dans des règles et des systèmesmais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de VaubanIngénieur Architecte 1633-1707
e-Xpert Solutions SA | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 | www.e-xpertsolutions.com
le bon sens et l’expérience
Biométrie dans un environnement Microsoft
Philippe Logean / Sylvain Marete-Xpert Solutions SA
Le bon sens et l’expériencewww.e-xpertsolutions.com
Pourquoi mettre en œuvre la biométrie avec Microsoft ?
Intégration de PKINIT et de l’utilisation des certificats numérique couplée à la biométrique
Bref rappel sur le protocole Kerberos Crack d’un mot de passe Kerberos Protocole PKINIT (Smart Card Logon) Validation Online d’une identité numérique
Protocole OCSP
Le bon sens et l’expériencewww.e-xpertsolutions.com
Authentification d’un utilisateur avec Kerberos
Poste Client DC (KCA)
Active Directory
AS
TGS
GINA
SSP Kerberos
Server
GINA: Cryptographic Identification and AuthenticationKDC: Key Distribution CenterAS: Authentication ServiceTGS: Ticket Granting ServiceTGT: Ticket Granting TicketSSP: Security Support Provider
AS Req: (Authenticator)C_key
C_key: Domain Password MD5 (clé symetrique)
C_key
C_key
AS Res: (TGT)TGS_key + (C-T_key)C_key(TGT)TGS_key
C-T_key
TGS_keyC-T_key
TGS Req: (TGT)TGS_key + (Authenticator)C-T_key +ticket req. for server
TGS Res: (ST)S_key + (C-S_key)C-T_key(ST)S_keyC-S_key
S_keyC-S_key
AP Req: (ST)S_key + (Authenticator)C-S_keyAP Res: (Timestamp)C-S_key
Le bon sens et l’expériencewww.e-xpertsolutions.com
Principe de l’attaque avec ARP Spoofing
Réseau « switché »
KDC
Client Microsoft
Attaque ARP
Attaque ARP
Kerberos
Kerberos
RoutageRenifleur
Le bon sens et l’expériencewww.e-xpertsolutions.com
Démonstration: Crack d’un mot de passe Microsoft Kerberos
Le bon sens et l’expériencewww.e-xpertsolutions.com
Exemple d’architecture avec RSA Security
Le bon sens et l’expériencewww.e-xpertsolutions.com
Authentification d’un utilisateur avec PKINIT
Poste Client DC (KCA)
Active Directory
AS
TGS
GINA
SSP Kerberos
Driver Athena
CSP
U_Cert
KCA_Cert
U_Cert
1
2
2
Sing_U_priv_key4
5
5
6
AS Req: U_Cert + [Authenticator]Sing_U_priv_key7
AS Res: [ ( (TGT)TGS_key + C-T_key + KCA_Cert )Rdm_key+ (Rdm_key)U_pub_key ]Sign_KCA_priv_key(TGT)TGS_key
C-T_key
TGS_keyC-T_key
8 9
10
3
Le bon sens et l’expériencewww.e-xpertsolutions.com
Authentification d’un utilisateur avec PKINIT (suite)
1. Saisie des empreintes dans Winlogon lors de l’insertion de la carte à puce dans le lecteur. Transmis au SSP Kerberos
2. Appel au driver d’Athena. Envoi des minutie biométrique pour accéder aux données contenues dans la carte à puce
3. Récupération du certificat utilisateur par le SSP
4. Génération, par le SSP, d’un authentifieur contenant un Timestamp. Transmis au CSP
5. Signature de l’authentifieur par le CSP (réalisé dans la carte à puce)
Le bon sens et l’expériencewww.e-xpertsolutions.com
Authentification d’un utilisateur avec PKINIT (suite)
6. Signature retournée au SSP
7. Requête AS (Authentication Service) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature
8. Vérification de la validité du certificat (Certification Path, CRL, trust CA). Vérification de la signature. Recherche des informations de l’utilisateur (user@domain)
9. Récupération des informations utilisateur (user SID (Security Identifier), group SID) pour construire le TGT
10. Réponse AS contenant le TGT. Chiffré avec la clé publique du client et signée par le KDC
[ ( (TGT)TGS_key + C-T_key + KCA_Cert )Rdm_key + (Rdm_key)U_pub_key ]Sign_KCA_priv_key
Le bon sens et l’expériencewww.e-xpertsolutions.com
Démonstration: Microsoft Smart Card Logon (PKINIT)
Le bon sens et l’expériencewww.e-xpertsolutions.com
Validation online d’une identité numérique (OCSP)
KDC / AD Microsoft
RSA® Validation Manager
OCSP request
ValidePas valideInconnu
Client OCSP
Le bon sens et l’expériencewww.e-xpertsolutions.com
Démonstration OCSP
Le bon sens et l’expériencewww.e-xpertsolutions.com
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier :
La sécurité des systèmes d'information
Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.
