Je cherches des informations sur un système d'authentification des
utilisateurs via des clé USB. Le système visé s'appuie sur des certificats
X.509 que je pense embarqué dans la clé.
Je ne suis pas encore rentré dans les détails mais plusieurs questions se
posent :
Comment sécurisé la clé USB de façon a protéger l'intégrité du certificat et
évité sa copie ?
Si tel est le cas, comment administrer le certificat dans la clé en toute
sécurité ?
Existe t'il des solutions opensource (car google me donne que des
commerciales) d'un tel système ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Dans sa prose, Soon nous ecrivait : [Doongle crypto USB]
La principe de ce type de clé n'est pas d'offrir un moyen de stockage, auquel cas il n'apporte rien par rapport au stockage du certificat sur un disque dur, une disquette, un CD ou une clé de stockage USB. L'intérêt de la clé est de posséder un processeur cryptographique léger chargé d'effectuer les opérations de déchiffrement et de signature à partir de la (ou les) clé(s) privée(s) stockée(s) dans la clé. De cette manière, la clé privée n'a jamais besoin de sortir du dongle USB auquel on demande d'effectuer les opérations.
Comment sécurisé la clé USB de façon a protéger l'intégrité du certificat et évité sa copie ?
Une fois le certificat chargé dans la clé, la clé privée n'est plus accessible de l'extérieur. Elle demeure dans la clé jusqu'à ce que son container soit détruit.
Si tel est le cas, comment administrer le certificat dans la clé en toute sécurité ?
La clé dispose de deux type de PIN code pour protéger son accès. Un PIN code par container (i.e. par certificat) et un PIN code master qui sert à administrer la clé. Tu auras un administrateur qui aura le PIN master et qui lui servira à faire des updates sur les certificats contenus dans la clé : insertion, révocation, suppression, etc. Ensuite, l'utilisateur possède un PIN code pour pouvoir utiliser son certificat.
Existe t'il des solutions opensource (car google me donne que des commerciales) d'un tel système ?
Sous Linux, on a des projets pour gérer ça, en particulier MUSCLE qui vise à offrir un support SmartCard et assimilés pour Linux :
http://www.linuxnet.com/middle.html
Pour gérer le stockage, voir OpenSC pour le stockage de certificat X509 dans les cartes/dongle supportant le protocole PKCS15 (ce qui est généralement le cas) :
http://www.opensc.org/
Ils fournissent un module PAM, le support OpenSSH et des outils pour explorer le stockage de la carte.
:~$ openct-control status No. Name Info ================================================== 0 Aladdin eToken PRO slot0: card present
Il parait qu'il y a aussi un support GnuPG, mais je n'ai pas trouvé grand chose là-dessus.
-- oû se trouve la boîte aux lettre de Outlook Express ? J'en ai besoin pour configurer mon modem Olitec smart memory, lorsqu'il daignera fonctionner correctement !! -+- DV in : Guide du Neuneu Usenetien - Tout est dans tout... -+-
Dans sa prose, Soon nous ecrivait :
[Doongle crypto USB]
La principe de ce type de clé n'est pas d'offrir un moyen de stockage,
auquel cas il n'apporte rien par rapport au stockage du certificat sur un
disque dur, une disquette, un CD ou une clé de stockage USB. L'intérêt
de la clé est de posséder un processeur cryptographique léger chargé
d'effectuer les opérations de déchiffrement et de signature à partir de
la (ou les) clé(s) privée(s) stockée(s) dans la clé. De cette
manière, la clé privée n'a jamais besoin de sortir du dongle USB auquel
on demande d'effectuer les opérations.
Comment sécurisé la clé USB de façon a protéger l'intégrité du
certificat et évité sa copie ?
Une fois le certificat chargé dans la clé, la clé privée n'est plus
accessible de l'extérieur. Elle demeure dans la clé jusqu'à ce que son
container soit détruit.
Si tel est le cas, comment administrer le certificat dans la clé en
toute sécurité ?
La clé dispose de deux type de PIN code pour protéger son accès. Un PIN
code par container (i.e. par certificat) et un PIN code master qui sert à
administrer la clé. Tu auras un administrateur qui aura le PIN master et
qui lui servira à faire des updates sur les certificats contenus dans la
clé : insertion, révocation, suppression, etc. Ensuite, l'utilisateur
possède un PIN code pour pouvoir utiliser son certificat.
Existe t'il des solutions opensource (car google me donne que des
commerciales) d'un tel système ?
Sous Linux, on a des projets pour gérer ça, en particulier MUSCLE qui
vise à offrir un support SmartCard et assimilés pour Linux :
http://www.linuxnet.com/middle.html
Pour gérer le stockage, voir OpenSC pour le stockage de certificat X509
dans les cartes/dongle supportant le protocole PKCS15 (ce qui est
généralement le cas) :
http://www.opensc.org/
Ils fournissent un module PAM, le support OpenSSH et des outils pour
explorer le stockage de la carte.
cbr@elendil:~$ openct-control status
No. Name Info
================================================== 0 Aladdin eToken PRO slot0: card present
Il parait qu'il y a aussi un support GnuPG, mais je n'ai pas trouvé grand
chose là-dessus.
--
oû se trouve la boîte aux lettre de Outlook Express ?
J'en ai besoin pour configurer mon modem Olitec smart memory, lorsqu'il
daignera fonctionner correctement !!
-+- DV in : Guide du Neuneu Usenetien - Tout est dans tout... -+-
Dans sa prose, Soon nous ecrivait : [Doongle crypto USB]
La principe de ce type de clé n'est pas d'offrir un moyen de stockage, auquel cas il n'apporte rien par rapport au stockage du certificat sur un disque dur, une disquette, un CD ou une clé de stockage USB. L'intérêt de la clé est de posséder un processeur cryptographique léger chargé d'effectuer les opérations de déchiffrement et de signature à partir de la (ou les) clé(s) privée(s) stockée(s) dans la clé. De cette manière, la clé privée n'a jamais besoin de sortir du dongle USB auquel on demande d'effectuer les opérations.
Comment sécurisé la clé USB de façon a protéger l'intégrité du certificat et évité sa copie ?
Une fois le certificat chargé dans la clé, la clé privée n'est plus accessible de l'extérieur. Elle demeure dans la clé jusqu'à ce que son container soit détruit.
Si tel est le cas, comment administrer le certificat dans la clé en toute sécurité ?
La clé dispose de deux type de PIN code pour protéger son accès. Un PIN code par container (i.e. par certificat) et un PIN code master qui sert à administrer la clé. Tu auras un administrateur qui aura le PIN master et qui lui servira à faire des updates sur les certificats contenus dans la clé : insertion, révocation, suppression, etc. Ensuite, l'utilisateur possède un PIN code pour pouvoir utiliser son certificat.
Existe t'il des solutions opensource (car google me donne que des commerciales) d'un tel système ?
Sous Linux, on a des projets pour gérer ça, en particulier MUSCLE qui vise à offrir un support SmartCard et assimilés pour Linux :
http://www.linuxnet.com/middle.html
Pour gérer le stockage, voir OpenSC pour le stockage de certificat X509 dans les cartes/dongle supportant le protocole PKCS15 (ce qui est généralement le cas) :
http://www.opensc.org/
Ils fournissent un module PAM, le support OpenSSH et des outils pour explorer le stockage de la carte.
:~$ openct-control status No. Name Info ================================================== 0 Aladdin eToken PRO slot0: card present
Il parait qu'il y a aussi un support GnuPG, mais je n'ai pas trouvé grand chose là-dessus.
-- oû se trouve la boîte aux lettre de Outlook Express ? J'en ai besoin pour configurer mon modem Olitec smart memory, lorsqu'il daignera fonctionner correctement !! -+- DV in : Guide du Neuneu Usenetien - Tout est dans tout... -+-