Le projet incitatif CADDISC (jan 2003-déc 2003)

English version

Le projet VERICERT fait suite au projet CADDISC

Introduction

Référence web :

Quatre partenaires

• le département LOR de l' INT
• le département RSM de l' ENST de Bretagne
• le département INFRES de l' ENST
• le département IR de l' ENIC

Résumé

Nous proposons dans ce projet de coupler les avancées faites dans les domaines DNSsec et LDAP pour réaliser une infrastructure de gestion de clés fiable (ou PKI pour Public Key Infrastructure). DNSsec qui est actuellement un standard (RFC 2535) proposé par l'IETF visant à sécuriser le DNS (Domain Name System) devrait connaître un fort déploiement dans les toutes prochaines années. DNSsec souffre cependant du problème de la gestion des informations éphémères. C'est pourquoi, nous souhaitons nous appuyer sur LDAP (Lightweigth Directory Access Protocol), très bien implanté dans le milieu professionnel, pour gérer les certificats de clés publiques d'utilisateurs ou machines (serveurs, PCs...). Le but est en fait d'obtenir un PKI à deux niveaux, au niveau global par DNSsec et au niveau local (entreprises, écoles) par LDAP.

Contexte scientifique

La sécurité des communications a connu un essor considérable ces dernières années. Pourtant, il est un domaine clé qui n'en est qu'à ces balbutiements et sur lequel une grande partie de la sécurité repose : la distribution de clés publiques. En effet, nombre de protocoles font appel aux clés publiques pour mettre en ?uvre des services de sécurité (authentification...) que ce soit dans un contexte de VPN (IPsec), de commerce électronique (SSL/TLS) ou de messagerie sécurisée (S/MIME). Toute la difficulté est de faire confiance à une clé publique, avoir l'assurance qu'elle appartient bien à l'entité que l'on souhaite authentifier. Cette relation de confiance peut être apportée par les certificats de clés publiques dont l'authenticité est garantie par une autorité de certification (AC). En théorie (RFC 2459), il devrait exister un CA racine de niveau global, et des CA intermédiaires habilités par l'AC racine pour gérer les certificats d'un groupe d'entités (utilisateurs, équipements), ce que l'on appelle plus communément les PKI (Public Key Infrastructure). Dans la pratique, il existe des sociétés de service de certification (PSC) tenant le rôle de CA comme Verisign Inc., Certplus, Certinomis... mais pour des raisons commerciales et juridiques, elles n'ont aucun lien entre elles. Cela oblige donc les entités à faire confiance à chaque CA de façon indépendante en prenant à chaque fois le risque d'avoir affaire à un CA factice et donc à un certificat forgé de toute pièce. Le projet CADDISC propose de définir un PKI à deux niveaux, au niveau global par DNSsec et au niveau local (entreprises, écoles) par LDAP :
• DNSsec qui est actuellement un standard (RFC 2535) proposé par l'IETF visant à sécuriser le DNS (Domain Name System) devrait connaître un fort déploiement dans les toutes prochaines années. DNSsec tel qu'il est défini permet de distribuer des clés publiques associées à des noms de domaines ou à des adresses IP. La structure de délégation arborescente du DNS est donc particulièrement adaptée au contexte de PKI global. Par contre, DNSsec souffre du problème de la gestion d'informations éphémères et de ce fait ne convient pas aux environnements plus dynamiques (entreprises, écoles...) où les mouvements d'employés et de machines sont fréquents.
• LDAP (Lightweigth Directory Access Protocol) (RFC 2251) qui est bien implanté dans le milieu professionnel pour gérer les caractéristiques des utilisateurs (nom, login, service, privilèges, mot de passe...) apparaît approprié pour gérer les clés publiques des utilisateurs ou équipements. En effet, il est souple et répond bien aux besoins de dynamique de l'entreprise.
En quelque sorte, cela revient à considérer le système PKI comme une forêt avec un PKI LDAP pour chaque arbre et DNSsec pour la gestion de la forêt elle-même.

Positionnement de CADDISC vis à vis d'autres projets de recherche en cours sur le domaine

L'objectif du projet RNRT IDsA (Infrastructure DNSsec et Applications) [IDsA] auquel participe l'ENST Bretagne est le prosélytisme en faveur de DNSsec. Les applications visées tournent autour d'IPsec. CADDISC apparaît concurrent de IDsA, mais il offre les avantages suivants :
• LDAP est bien introduit dans le milieu professionnel. Ce serait dommage de ne pas en profiter. LDAPv3 prévoit la gestion de certificats [RFC1559, RFC2587].
• LDAP est adapté à la dynamique d'une société contrairement à DNSsec.
• LDAP peut indifféremment gérer des clés d'utilisateurs ou de machines.
CADDISC ne vient pas en concurrence mais en complément du projet incitatif 2001 Authentis [Hec02]. En effet, Authentis s'intéresse au déploiement d'un système d'authentification permettant aux employés du GET de se connecter depuis l'une des trois écoles ENST, INT ou ENST Bretagne sur un réseau Wi-Fi (IEEE 802.11b). Authentis propose entre autres d'authentifier un utilisateur à partir de son certificat en utilisant EAP-TLS. Son but n'étant pas de fiabiliser la distribution de clés, il se repose sur le principe que la validité d'un certificat peut-être vérifiée localement (sans l'aide de leur école d'origine) car il suppose que les certificats des écoles sont tous gérés par un même CA et donc que tout le GET a connaissance de la clé publique du CA. Dans la réalité, ce principe risque de ne pas trouver d'émules : pour des raisons pratiques et de sécurité, il est fort probable que chaque école souhaitera gérer les certificats de ses propres utilisateurs et, à ce titre, hébergera son propre CA qui devra bien entendu avoir été certifié par le CA racine du GET. Enfin, il est bon de noter que cette approche ne permet pas l'authentification d'utilisateurs en dehors du contexte du GET.

Les délivrables du projet seront disponibles en ligne au fur et à mesure

• Document SP1.1 :
•  LDAP et la certification (ps), février 2003
• Gestion des certificats par LDAP, septembre 2002
• M. Laurent, M. Gardie, " LDAP et la certification ", Rapport de recherche du GET, 04001 LOR, 2004, .
• Document SP1.2 :
• DNSsec et la certification, février 2003
• Note sur la sécurité de DNSsec, février 2003
• Aide de dnssec-keygen
• Aide de dnssec-signzone
• Projet fédérateur G6-DNSsec
• Document SP1.3 : Spécifications du couplage de LDAP et DNSsec pour distribuer des clés publiques, octobre 2003
• Document SP2.1 :
• Fonctionnement de l'outil Apache/OpenCA", septembre 2003
• Installation et configuration de OpenLDAP et de logiciels le complétant, octobre 2003
• Installation de OpenCA, octobre 2003
• Configuration de la CA et de la RA avec OpenCA, octobre 2003
• Gestion des certificats par OpenCA, octobre 2003
• Fichiers de configuration de OpenCA, OpenSSL, Apache, OpenLDAP, octobre 2003
• Client CADDISC de vérification d'une chaine de certification LDAP, octobre 2003
• Document de mise à jour des fichiers d'installation de OpenLDAP et OpenCA produits en 2004, Sébastien Abaga, ENST-Bretagne, 2004.
• Document SP3.1 :
• Explications sur la génération de clés et signature de zone, nov. 2002
• Document SP4.1 : Résumé de Authentis, mars 2003
• Document SP4.2 : Etude de l'utilisation de CADDISC pour gérer les clés dans Authentis
• Document SP5.1 : Comparaison de IDsA et CADDISC, octobre 2003
• Document SP6.1 : Intégration des outils LDAP et DNSsec : obtention du module de vérification de certificats
• README (note sur les distributions LDAP et DNSsec)
• La distribution - module de vérification de certificat (SCVP/LDAP/DNSsec) :
• openssl-diffs (patch à appliquer à OpenSSL 0.9.7b)
• openssl-scvp.tgz (le module SCVP pour OpenSSL 0.9.7b)
• test-scvp.tgz (le client/serveur de test)
• Yann Busnel, "Simple Certificate Validation Protocol : Etude du protocole et ilplémentation de la vérification dans OpenSSL" , rapport de stage, juillet 2003.
• Document SP7.1 : Note sur le déploiement de l'infrastructure PKI
• Document SP8.1 : Rapport sur les tests effectués entre écoles

Publications sur LDAP, DNSsec, la sécurité IP

• [Ben03] Chaouqui Benhamed, Mohammed Oudrhiri, "SASL & LDAP" (fichier Word Winzippé), juin 2003.
• [Dup02] Francis Dupont, " DNSsec for IPsec: The RNRT "IDsA" Project ", IPsec 2002, Paris, Dec. 2002.
• [Hec02] A. Hecker, H. Labiod, A. Serhrouchni, " Authentis: Through Incremental Authentication Models to Secure Interconnected Wi-Fi WLANs ", Second IEEE Workshop on Applications and Services in Wireless Networks ASWN 2002, Paris, July 2002.
• [IDsA] Infrastructure DNSsec et Applications, www.telecom.gouv.fr/rnrt/projets/res_02_22.htm.
• [Lau01] M. Laurent, " La sécurité d'Internet ", Technique de l'Ingénieur, 2001.
• [Lau04] M. Laurent, "Les annuaires LDAP et DNSSEC au service d'une PKI global", 3ème Conférence sur la Sécurité et Architectures Réseaux, SAR 2004, La Londe, Côte d'Azur, France, juin 2004.
• [Ras02] N. Rasamoely, "Gestion des certificats par LDAP", septembre 2002.
• D.A. Wheeler, "Easier Email Security is on the Way?", November 2004 (original version April 2002)

Travaux de l'IETF

• [RFC1559] S. Boeyen, T. Howes, P. Richard, " Internet X.509 Public Key Infrastructure: Operational Protocols - LDAPv2 ", RFC 2559, April 1999.
• [RFC2251] M. Wahl, T. Howes, S. Kille, " Lightweight Directory Access Protocol (v3) ", RFC 2251, Dec. 1997.
• [RFC2459] R. Housley, W. Ford, W. Polk, D. Solo, " Internet X.509 Public Key Infrastructure Certificate and CRL Profile ", RFC 2459, Jan. 1999.
• [RFC2535] D. Eastlake, " Domain Name System Security Extensions ", RFC 2535, March 1999.
• [RFC2587] S. Boeyen, T. Howes, P. Richard, " Internet X.509 Public Key Infrastructure: LDAPv2 Schema ", RFC 2587, June 1999.