Stéphane SAUNIER TSP Sécurité Microsoft France [email protected].
-
Upload
lotte-imbert -
Category
Documents
-
view
112 -
download
2
Transcript of Stéphane SAUNIER TSP Sécurité Microsoft France [email protected].
Protection des données dans
Stéphane SAUNIERTSP SécuritéMicrosoft [email protected]
Sommaire
Les menacesAperçu de Bitlocker Drive EncryptionAperçu d’EFSAperçu de RMS et des nouveauté du produit sous VistaPositionnement des trois technologies
Compromission volontaire de données
Vol d’un bien pour les
données qu’il contient
Perte due à une
négligence
Internes ou externes
Intentionnelles
Accidentelles Ciblées
Menaces pesant sur l’information
Le département de la justice aux Etats-Unis a estimé que le vol de propriété intellectuelle avait coûté 250 milliards de $ aux entreprises en 2004Perte de revenu, de capitalisation boursière, d’avantage compétitif
La fuite de mails confidentiels peut être embarrassanteLa transfert non intentionnel d’informations sensibles peut affecter de manière significative l’image et la crédibilité d’une entreprise
Augmentation de la réglementation : SOX, LSF, Bâle 2Amener une société à la conformité réglementaire peut être complexe et coûteuxLa non conformité peut conduire à des amendes significatives
Financier
Image et Crédibilité
Conformité légale et
réglementaire
La perte d’informations est coûteuseLa perte d’information, que ce soit sous forme de perte ou de fuite, est coûteuse à plusieurs niveaux
Pourquoi ces technologies ?
“After virus infections, businesses report unintended forwarding of e-mails and loss of mobile devices more frequently than they do any other security breach”
Jupiter Research Report, 2004
Protection de l’information
Les besoins métierLes documents doivent être protégés quel que soit l’endroit où ils voyagentLes données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisésLes biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique
Solution = RMS, EFS, BitLocker™Définition d’une politique de sécurité et obligation de respecter cette politique faite au niveau de la plateforme (inclusion du client RMS)Chiffrement des fichiers par utilisateur (EFS)Chiffrement de disque reposant sur des mécanismes matériels (Bitlocker Drive Encryption)
BitLocker™ Drive Encryption
Une grande multinationale qui souhaite garder l’anonymat perd en moyenne un ordinateur portable par jour ouvré dans les taxis d’une seule grande ville américaine
Conception de la solution Bitlocker™Besoin d’une solution qui
Se trouve en dessous de WindowsA des clés disponibles au démarrage
Impossibilité de demander à l’utilisateur de se connecter pour fonctionner
Sécurise les données systèmeSécurise les données utilisateurSécurise la base de registreFonctionne de manière transparente avec la plateforme (intégrité du code) Sécurise les secrets « racine »Protège contre les attaques en mode déconnectéSoit très facile à utiliser
SolutionChiffrer le disque entier (presque) Protéger la clé de chiffrement en la « scellant » au moyen d’un Trusted Platform Module (TPM) au bénéfice unique d’un loader autorisé
Plus d’autres options (voir plus loin)
Seuls les loaders autorisés peuvent récupérer la clé de chiffrement du volume
De quoi Bitlocker™ vous protège-t-il ?Niveaux de protection
Un rappel préalable : la sécurité n’est jamais absolue…BDE est utilisable par tous
Depuis l’utilisateur standard …
Portable attaqué non ciblé…au « super paranoïaque »….
Portable attaqué cibléBDE protège contre les attaques logicielles en mode déconnectéLorsque le système à démarré le déchiffrement des bloques de données de la partition est transparente.
Options de configurationEquilibre entre la facilité d’utilisation et la sécurité
TPM seul – amélioration de la protection, très peu d’impact sur l’utilisateurAjout d’un PIN – permet d’adresser des attaques matérielles sérieuses ; l’utilisateur doit se souvenir de quelque choseClé USB seule (sans TPM) – bonne protection mais le maillon faible devient la CléClé USB et TPM
Facilité d’utilisation et sécurité : un équilibre à trouver
Sécurité
Fac
ilité
d’u
tilis
a ti o
n
TPM Seul« Ce que c’est »Protège contre : Attaque logiciel
seulVulnérable à :
attaques matérielles (y compris des
attaques potentiellement
« faciles »)
TPM + PIN« Ce que vous
savez »Protège contre : De
nombreuses attaques hardwareVulnérable à : des
attaques pour casser le TPM
Clé Seule« Ce que vous
avez » Protège contre :
Toutes les attaques hardware
Vulnerable à : Perte de la clé
Attaque pre-OS
TPM + Clé« Deux choses
que je possède »Protège contre : De nombreuses
attaques hardware
Vulnerable à : des attaques hardware
*******
BDE offre un large spectre de protectionpermettant de trouver un équilibre entre lafacilité d’utilisation et le profil des menaces contre lesquelles on cherche à se protéger
Pourquoi utiliser un TPM ?
Les plateformes dignes de confiance utilisent des racines de confiance
Un TPM est la mise en œuvre d’une racine de confiance
Une racine de confiance implémentée en hardware a des avantages spécifiques
Le logiciel peut être trompé par le logicielIl est difficile d’enraciner la confiance dans un logiciel qui doit se valider lui-même
Le matériel peut être rendu résistant aux attaquesCertification possible
Le logiciel et le matériel ensemble peuvent mieux protéger les secrets « racine » que le logiciel seul
Authentification du logiciel
Résulte de la même étape simple répétée plusieurs fois
Le module n « mesure » (hash) le module n+1Le module n enregistre (fonction « extend ») le hash du module n+1 dans le TPMLe module n transfère le contrôle au module n+1On « nettoie » et on recommence
A n’importe quel moment, le TPM contient une « mesure » de tous les logiciels qui ont été chargés jusqu’alors
On ne peut desceller le contenu que si ces informations sont « correctes »
Racine de confiance
CRTM statique Mise à jour PCR 0-7
PreOS OS Dynamique
Mise à jour PCR 8
Tous les Boot Blobs dévérouillés
Mise à jour PCR 9 Mise à jour PCR 10 Mise à jour PCR 11
1er 512 octetsde la partition NTFS
1er 512 octets du disque de
boot
1er 16 x 512 octetsde la partition NTFS
PCR Extend of INT19
VolumeBLOB Key
BIOS
PCR ExtendPCR ExtendPCR ExtendPCR Extend UnSeal
Temps
TPMDisque (les premiers 16 secteurs non chiffrés)
Non accessibledepuis le mode protégé
OS Loader Un-sealMBR PCR
Ext. BootSector PCRExt. BootBlock PCR
Ext. Boot Manager PCRExt.
BootBLOB
Key +Hash Table
Un-seal
Compare
Démarrage de l’OS
UnSeal
Volume Blob de l’OS cible déverrouillé
Architecture de Secure Startup SRTM des premiers composants de l’amorçage
L’organisation du disque et le stockage des clés
Boot
La partition Windows contient• Le système d’exploitation
chiffré• Le fichier de pagination
chiffré• Les fichiers temporaires
chiffrés• Les donnée chiffrés• Le fichier d’hibernation
chiffré
La partition de Boot contient :MBR, Loader, utilitaires de boot(Non chiffrée, petite)
Où sont les clés de chiffrement ?1. SRK (Storage Root Key) contenu dans le
TPM
2. La SRK chiffre la VEK (Volume Encryption Key) protégé par TPM/PIN/Dongle
3. La VEK est stockée (chiffrée par la SRK) sur le disque dur dans la partition de bootVEK
2
3
Windows
1
La valeur apportée par Bitlocker™ BDE améliore la sécurité de la base de
registre, des fichiers de configuration, de pagination et d’hibernation qui sont stockés sur le volume qui est complètement chiffré
Le chiffrement du fichier d’hibernationProtège contre les problèmes de sécurité posés par l’hibernation d’un PC portable ayant des documents confidentiels ouverts
La destruction de la clé racine permet le redéploiement du hardware existant en toute sécurité en rendant les anciennes données inaccessibles
Ce n’est PAS une fonctionnalité accessible pour l’utilisateur final
Une récupération (en cas de perte de clé ou d’autre scénarios) est possible pour toute personne disposant d’un téléphone lui permettant d’accéder à son administrateur
Démo Bitlocker : démarrage sécurisé
Interface d’administrationVisibilité lors d’une attaque deconnectées
EFS
EFS (Encrypting File System)
Chiffre individuellement chaque fichierTransparent pour l’utilisateurProtège contre les fichiers de données désignés contre les attaques offlineNouveau dans Windows Vista
Support de la carte à puce
I/O manager
EFS.sys
NTFS
User mode
Kernel mode
Win32 layer
Applications
FSRTL callouts
Encrypted on-disk data storage
Crypto API
LPC communicationfor all key management support
EFSservice
Architecture
Les méthodes de chiffrementDeux algorithmes de chiffrement sont
utilisés:Le cryptage des données sur disque utilise un algorithme de clé symétrique (DESX) pour générer la FEK (File Encryption Key)
Clé sur 56 bits Le chiffrement de la FEK utilise un algorithme de clé asymétrique (RSA) pour générer la DDF (Data Decryption Field), et les DRF (Data Recovery Field)
Clé sur 1024 bits
L'algorithme de clé asymétrique utilise : La clé publique de l'utilisateur et de chaque agent de recouvrement pour crypter la FEKLa clé privée de l'utilisateur et de chaque agent de recouvrement pour décrypter la FEK
Data RecoveryField generation
(RSA)DRF
Clé publiqueAgent de recouvrement(certificate)
Informationsecrete
Data DecryptionField generation
(RSA)
DDF
CléPublique utilisateur(certificate)
RNG
File Encryption Key(FEK)
File encryption(DES)
*#$fjda^ju539!3t
t389E *&\@5e%32\^kd
Les méthodes de chiffrement
File encryption(AES 256)
Vista
25
EFS/SC: le problème
Les cartes a puces sont trop lentes pour permettre une utilisation a chaque accès de fichierUtilisation d’un mode acceleré:
On derive une clé symetrique depuis la clé privée residant dans la carte a puce.On utilise cette clé pour chiffrer la FEK.Cette clé ne peut etre obtenu qu’en presence de la clé privé sur la carte a puce.
Smartcard Private Key
Derive a symmetric key
AES-256 key
Use as Software Private Key
(Accelerated)
Cache in LSA
Use to encrypt FEK
RSA mode
Mode acceleré
Limitations
Opération Fichier source Répertoire destination
Résultat
Copie/Dépla-cement
Crypté Non NTFS Non Crypté
Copie/Dépla-cement
Crypté NTFS non crypté
Crypté
Copie/dépla-cement
Crypté NTFS crypté Crypté
Copie/dépla-cement
Non Crypté NTFS crypté Crypté
Matrice de copie / déplacements de fichiers
Right Management Service
Rappels et evolutions
DRM pour l’entreprise et DRM pour les médias
Gestion de droits numériques en entreprise (IRM)
DRM pour les médias (Windows Media DRM)
Contenu EntrepriseDocuments, email,
pages web, etc.
Commercial contentMusique, films,
TV, etc.Authentification
Fondée sur l’identité Fondée sur la machine
Politique/Règles
Politique de l’entrepriseConfidentialitéCycle de vie des
documentsConformité
Règles businessAchatLocationSouscription
Que sont RMS et IRM?
Rights Management Services (RMS) est une plateforme pour la mise en place de solution de DRM en entreprise telle que décrite précédemment.
Supporte le développement de solutions tierces riches au dessus de RMS à l’aide du Software Development Kit (SDK) RMS
IRM est un développement que MS Office a effectué sur le socle RMS.
Caractéristiques des droits RMSDéfinir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec les données (possibilité d’utiliser des listes de distribution contenues dans Active Directory)Fixer une date d’expiration sur des messages électroniques ou des documents…
… à une date donnée… tous les n jours, en exigeant l’acquisition d’une nouvelle licence
Les droits peuvent s appliquer a l aide de Templates
Architecture
RMS Client •RMS Lockbox
•Client API
RMS Server•Certification
•Licensing
•Templates
Active Directory•Authentication•Service Discovery•Group MembershipSQL Server•Configuration data•Logging
Applications Clientes & Serveurs compatibles RMS
Auteur Destinataire
Serveur RMS
SQL Server Active Directory
2 3
4
5
2. L’auteur définit un ensemble de droits d’utilisation et de règles pour son fichier. l’application crée une licence de publication (PL) et chiffre le fichier.
3. L’auteur distribue le fichier.
4. Le destinataire ouvre le fichier, l’application appelle le serveur RMS qui vérifie que l’utilisateur est valide (RAC) et fournit une licence d’utilisation (UL).
5. L’application effectue le rendu du fichier et fait respecter les droits.
1. L’auteur reçoit des certificats (SPC/RAC/CLC) la première fois qu’il protège des informations.
1
Flux de publication RMS
Evolutions sur Vista et futures
RMS V2
La partie cliente dans Vista ( plus de téléchargement/distribution necessaire )
RMS V2 Client sera compatible avec RMS Server V1.
La partie serveur dans LongHorn Server.Nouveau Rôle ServeurCompatible avec des client V1Processus d activation simplifie
… Mais les évolutions attendues sont ailleurs …
Les scenarios serveur de fichiers
Consiste a mixer le meilleur des deux monde.Contrôle périmètrique lorsque le fichier est sur le serveur de fichier (Office Server 2007)Permet l indexation et les scan anti viraux… Application a la volée de droits RMS lors de la récupération d un fichier hors du serveur.
RMS sur Windows Mobile
Prévus … Sur Crossbow ( Non de code interne de Windows Mobile 6 )… Premières disponibilités en 2007Supportera le mail, mais aussi les documents office supportes par l OS.
La problématique des formats
Vista / .Net 3 adresse le problème de couverture des formats non officeC’est une approche containeur base sur le format XPS.Une imprimante virtuelle permet a toute application d imprimer dans ce format … Et d y appliquer une protection DRM.Un client XPS permettra de consommer ces protection … De même qu’Office 2007
Démo RMS : Protection d’une image
Positionnement des différentes solutionsScénario RMS EFS BitLockerTM
Respect à distance de la politique pour documentsProtection du contenu en transit
Protection du contenu durant la collaborationProtection locale des fichiers et dossiers sur une machine partagée par plusieurs utilisateursProtection des fichiers et dossiers distantsProtection de portable
Serveur dans une filiale
Protection de fichiers et dossiers dans un contexte mono utilisateur
Sur le meme sujet pendant la conference
© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.