XCOM : uma CA baseada em LDAP

Évora, Novembro de 2003

Agenda

● LDAP● Um pouco de história...● Surge o LDAP!● LDAP Models● Prós e Contras● APIs● Aplicações

• Certification Authority (CA)• Entidades Certificadoras• Public Key Infrastructure• Chave Privada da CA• Aplicações

• XCOM• Nova Marca• Protecção da Chave da CA• Infra-estrutura Segurança• Inserção em Hierarquia Mundial• Hierarquia de Certificação• TimeStamping• XCOM + LDAP

Um pouco de história...

• Directorias baseadas em papel estao fora de uso

• Cada aplicação disponibiliza o seu próprio serviço (e-mail, contactos, recursos humanos, etc) e todas precisam de estar sincronizadas.

• Surge o standard X.500, desenvolvido pela International Telecommunications Unit (ITU / CCITT)

• X.500 = grande, pesado, e com regras muito rígidas (ex : corre sobre stack OSI)

Nao servia para o dia-a-dia!

Surge o LDAP!

• LDAP (Lightweigth DirectoryAccess Protocol) criado na University of Michigan

• Desenhado inicialmente para accesso a directorias X.500

● 90% das funcionalidades● 10% do “custo”

• Baseado em TCP

• Definido atraves de 4 modelos:

● LDAP Information Model● LDAP Naming Model● LDAP Functional Model● LDAP Security Model

LDAP Information Model

• Define tipos de dados

• Unidade básica de uma directoria: Entrada (objecto)

• Entrada: conjunto de atributos, cada qual com um ou mais valores, definidos num schema

dn: CN=mreis, OU=isp, O=novis, C=ptobjectclass: topobjectclass: inetOrgPersoncn: miguelsn: reispostalcode: 1000locality: lisboamobile: 931234567mobile: 969876543

LDAP Naming Model

• Define o tipo de estruturas que se conseguem construir a partir de Entradas

• Entradas colocadas numa “árvore invertida”

C=PT

O=NovisO=UE

OU=ISPOU= MIU

CN=mreis

dn: CN=mreis, OU=isp, O=novis, C=ptobjectclass: topobjectclass: inetOrgPersoncn: miguelsn: reispostalcode: 1000locality: lisboamobile: 931234567mobile: 969876543

LDAP Naming Model

• Diferenças para hierarquia do sistema de ficheiros :

● Não existe uma entrada base (como, por exemplo, a entrada “/” num sistema UNIX

● Cada entrada contem dados e pode ser hierarquicamente superior a outras entradas ao mesmo tempo (filesystem: ou ficheiro ou directoria)

● O “nome da entrada” (DN) é chamado de forma contrária a um ficheiro:

CN=mreis, OU=isp, O=novis, C=PT

/pt/novis/isp/mreis

LDAP Functional Model

• Define os métodos de acesso às entradas da directoria

• Conjunto de operações:

Interrogação: search compare (razões históricas – X.500)

Actualização: adddeleterename (modify DN)modify

Autenticação: bindunbind

LDAP Functional Model

• Exemplo:

Bind user: cn=mreisAdmin, c=ptpassword: xpto

Search base: “c=pt”scope: onelevelfilter: (&(objectclass=inetOrgPerson)(cn=m*))attributes: locality, mobile

Modify dn: “cn=mreis, ou=isp, o=novis, c=ptchangetype: modifyadd: mobilemobile: 912345678

Unbind

LDAP Security Model

• Define métodos de autenticação de clientes do servico de LDAP

• Cliente autenticado: operacao bind

servidor LDAP procura na entrada o atributo userpassword e compara com a password

fornecida

fornece ao utilizador um conjunto de permissões para realizar diferentes operações (controlo de acesso)

Controlo de acesso: não existe um standard... mas todos os servidores LDAP os definem

aci: (targetattr = "*")(version 3.0; acl "Allow self entry modify"; allow (write)userdn = "ldap:///self";)

aci: (targetattr = "*")(version 3.0; acl "Configuration Adminstrator"; allow (all) userdn = "ldap:///uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot";)

Prós e contras

• Deve ser utilizado para informação...

● acedida por diferentes tipos de aplicações● acedida de varias localizações● que necessita de ser lida muito mais frequentemente que escrita

• Nao deve ser utilizado para informação...

● actualizada frequentemente (alternativa: base de dados relacional)● não estruturada (alternativa: file system)

APIs

• Java• C / C++• Perl• JavaScript• UNIX e Windows/DOS command line

http://developer.netscape.com/tech/directory/downloads.html

Aplicações

• Clientes de e-mail (pesquisa pelo atributo mail)

• Aplicações comerciais:

Sun Directory Server (www.sun.com)ISODE M-Vault (www.isode.com)OpenLdap (www.openldap.org)

http://www.ietf.org/html.charters/ldapbis-charter.html

Agenda

• LDAP• Um pouco de história...• Surge o LDAP!• LDAP Models• Prós e Contras• APIs• Aplicações

● Certification Authority (CA)● Entidades Certificadoras● Public Key Infrastructure● Chave Privada da CA● Aplicações

● XCOM● Nova Marca● Protecção da Chave da CA● Infra-estrutura Segurança● Inserção em Hierarquia Mundial● Hierarquia de Certificação● TimeStamping● XCOM + LDAP

Entidades Certificadoras

Entidades emissoras de certificados digitais

● Credenciais de identidade electrónica● Essenciais para o desenvolvimento da Sociedade de Informação● “Notários Digitais”

Necessitam de confiança do mercado:

● Solidez e qualidade● Cumprimento rigoroso de procedimentos e normas● Know-how tecnológico adequado

Enquadramento legal:

● Dec. Lei 290-D/99 (regime jurídico dos documentos electrónicos e da assinatura electrónica)

● Dec. Lei 62/2003● Directiva 1999/93/CE

Public Key Infrastructure

• Duas chaves complementares

● uma pública, pode ser conhecida por toda a gente● outra privada, só pode ser conhecida pelo seu proprietário● o que uma “fecha” só pode ser “aberto” pela outra

• Chaves privadas são utilizadas para gerar assinaturas electrónicas

• Estas assinaturas são validadas pelas respectivas chaves públicas, obtidas a partir de certificados digitais

Chave Privada da CA

• É o elemento fundamental da infra-estrutura

• utilizada como “raíz” de todos os certificados emitidos

É a base de toda a confiança depositada na Entidade Certificadora (Certification Authority – CA) enquanto entidade emissora de certificados digitais

A Entidade Certificadora empregará todos os meios ao seu alcance para proteger a confidencialidade desta chave

Aplicações

• WEB Servers (SSL – Secure Sockets Layer)

● Home-Banking● Comercio Electrónico● Intranets

• E-mail (S/MIME)

• Protocolos (ex: XML Signature, TimeStamping, etc)

www.pki-page.org www.ietf.org/html.charters/pkix-charter.html

Agenda

• LDAP• Um pouco de história...• Surge o LDAP!• LDAP Models• Prós e Contras• APIs• Aplicações

• Certification Authority (CA)• Entidades Certificadoras• Public Key Infrastructure• Chave Privada da CA• Aplicações

•XCOM• Nova Marca• Protecção da Chave da CA• Infra-estrutura Segurança• Inserção em Hierarquia Mundial• Hierarquia de Certificação• TimeStamping• XCOM + LDAP

Nova Marca

A Entidade Certificadora da Novis é a:

Protecção da chave da CA

• A chave privada da CA é protegida com recurso a hardware criptográfico

                                                                           • A chave é dividida em partes, cada uma armazenada num smartcard

• Utiliza-se uma política de “K de N” para controlar os acessos à chave

Infra-estrutura Segurança

• Segurança Data Center

• Camâras Vigilância

• Acesso Cartão Proximidade

• Acesso Biométrico

• Jaula

• Sensores de Movimento

• Cofre Documentos

• Cofre IT

Inserção em Hierarquia Mundial

ROOT

• Necessidade de reconhecimento automático pelas aplicações

• Browsers, leitores de e-mail, ERP’s

• Parceiro escolhido: RSA• Líder no mercado da segurança informática

• “The most trusted name in e-security”

Personal Application Server Business Mobile Professional

Hierarquia de Certificação

TimeStamping

• Fonte temporal: Observatório Astronómico de Lisboa, detentor da hora legal em Portugal

• Selo Temporal aplicado a Documentos Digitais (RFC3161)

• autenticidade

• não-repúdio

• Infraestrutura: Symmetricom (antiga Datum)

XCOM + LDAP

LDAPCA

ServidorAdministracao

CA

Servidor PedidoCertificados

https://www.xcom.pt

LDAPUtilizadores

AUTENTICACÃOUTILIZADORES

LDAPCERTIFICADOS

PEDIDO DECERTIFICADO

PUBLICAÇÃOCERTIFICADO

The End

Questões ?