Le marché de l'authentification se porte bien avec de nouveaux produits PKI (Public Key Infrastructure) pour la gestion de certificats électroniques et une diversité des technologies permettant un stockage sûr de clés privées (token USB, carte à puce, puce ibutton). Ce succès est du aux nombreux domaines d'utilisation des certificats (VPN, messagerie sécurisée, commerce électronique), mais on peut s'interroger quant à la fiabilité des PKI. En effet, le rôle d'une PKI est de garantir à tout demandeur l'authenticité de l'association entre une clé publique et un identifiant (utilisateur, machine), mais cela suppose une relation de confiance entre le demandeur et l'autorité de certification (CA) de la PKI (en charge de la création de certificats). Cette confiance est fondamentale car le risque est grand d'avoir affaire à une CA factice et donc à un certificat forgé de toute pièce.
Pour répondre au problème de confiance des PKI, le projet CI 2003 CADDISC2 (Couplage des Annuaires LDAP et DNSsec pour la DIstribution Sécurisée de Clés) a proposé de définir une PKI à deux niveaux, au niveau global par DNSsec (DNS security extension) [RFC2535] et au niveau local (entreprises, écoles) par LDAP (Lightweigth Directory Access Protocol) [RFC1559, RFC2251, RFC2587], la relation de confiance entre les différentes PKI LDAP étant assurée par DNSsec.
Forte de l'expérience acquise, et souhaitant exploiter conjointement la plate-forme CADDISC (cf. figure 1), l'équipe de CADDISC propose de poursuivre l'expérience de la PKI au sein du GET, et ce, avec quatre objectifs :
- Introduire dans LDAP certaines fonctions de sécurité liées à la certification : LDAP n'a pas été spécifiquement conçu pour rendre un service de publication de certificats. A supposer que des certificats soient disponibles du grand public dans la base LDAP, ceci pour permettre à tout internaute de pouvoir authentifier un employé du GET par exemple. Il est donc possible à tout internaute de faire une recherche exhaustive de tous les certificats enregistrés dans la base LDAP et ainsi de récupérer les identifiants de l'ensemble du personnel (les sujets des certificats). Ces identifiants correspondant bien souvent à des adresses email, des fichiers d'adresses email peuvent donc être constitués et servir à alimenter le spam.
Pour pallier à ce problème, l'idée de n'autoriser l'accès à une entrée de la base LDAP que si la requête LDAP spécifie le chemin (DN - Distinguished Name) complet a été discutée avec le groupe de développeurs de OpenLDAP lors du meeting de l'IETF à Vienne en juillet 2003. Sur leurs conseils, elle sera prochainement soumise à l'une des mailing lists de OpenLDAP.
- Prouver la fonctionnalité de CADDISC au travers d'une utilisation possible de CADDISC : l'authentification dans un contexte IEEE 802.11. Pour cela, il est envisagé de s'appuyer sur le projet CI 2002 Authentis [Hec02] (service d'authentification inter-sites du GET) qui vise à permettre à des employés du GET de se connecter depuis l'une des trois écoles ENST, INT, et ENST-Bretagne sur un réseau IEEE 802.11. L'authentification se base sur le protocole EAP-TLS [RFC2716] et sur les certificats présentés par les employés. La procédure de vérification des certificats est simplifiée car tous les certificats du GET sont supposés gérés par une même autorité de certification et à ce titre peuvent être vérifiés localement à chaque école. Ce schéma de certification à un seul niveau est peu réaliste. Qui plus est, il risque de ne pas trouver d'émules car, pour des raisons pratiques et de sécurité, il est fort probable que chaque école souhaitera gérer les certificats de ses propres utilisateurs et, à ce titre, hébergera sa propre CA.
Le projet VériCert propose d'appliquer le schéma de certification plus réaliste de CADDISC où chaque école dispose de sa propre CA, et de tester la fonction de vérification de CADDISC (qui sera appelée par le serveur d'authentification de Authentis). Ce travail sera principalement réalisé à partir de l'étude SP4 de CADDISC (prévu pour fin octobre 2003) visant à étudier l'utilisation de CADDISC dans le projet Authentis.
- La vérification de certificats dans un environnement PANA d'opérateur. Le protocole PANA (Protocol for carrying Authentication for Network Access) [For03] qui est en cours de spécification à l'IETF vise à définir un protocole permettant à des utilisateurs de s'authentifier auprès du réseau d'accès (Agent PANA), et ce quelle que soit la technologie d'accès. VériCert propose de développer un client/agent PANA et d'intégrer au niveau de l'agent PANA le client SCVP (cf. figure 1) de CADDISC pour mener à bien l'authentification des utilisateurs. FTR&D s'est montré très intéressé par cette application.
- La vérification de certificats dans un contexte de VPN-IPsec: Des écoles mettent à disposition des personnels en déplacement un accès à distance sécurisé par IPsec (Virtual Private Network IPsec). Le protocole de gestion des associations de sécurité d'IPsec, IKE (Internet Key Excahnge), propose typiquement une authentification par secret partagé au préalable, inutilisable pour des accès distants depuis une adresse dynamique, et l'utilisation d'un certificat. Malheureusement IKE est notoirement peu adapté à la manipulation de certificats et est donc un bon candidat à l'utilisation de SCVP.
