xcom : uma ca baseada em ldap Évora, novembro de 2003
TRANSCRIPT
XCOM : uma CA baseada em LDAP
Évora, Novembro de 2003
Agenda
● LDAP● Um pouco de história...● Surge o LDAP!● LDAP Models● Prós e Contras● APIs● Aplicações
• Certification Authority (CA)• Entidades Certificadoras• Public Key Infrastructure• Chave Privada da CA• Aplicações
• XCOM• Nova Marca• Protecção da Chave da CA• Infra-estrutura Segurança• Inserção em Hierarquia Mundial• Hierarquia de Certificação• TimeStamping• XCOM + LDAP
Um pouco de história...
• Directorias baseadas em papel estao fora de uso
• Cada aplicação disponibiliza o seu próprio serviço (e-mail, contactos, recursos humanos, etc) e todas precisam de estar sincronizadas.
• Surge o standard X.500, desenvolvido pela International Telecommunications Unit (ITU / CCITT)
• X.500 = grande, pesado, e com regras muito rígidas (ex : corre sobre stack OSI)
Nao servia para o dia-a-dia!
Surge o LDAP!
• LDAP (Lightweigth DirectoryAccess Protocol) criado na University of Michigan
• Desenhado inicialmente para accesso a directorias X.500
● 90% das funcionalidades● 10% do “custo”
• Baseado em TCP
• Definido atraves de 4 modelos:
● LDAP Information Model● LDAP Naming Model● LDAP Functional Model● LDAP Security Model
LDAP Information Model
• Define tipos de dados
• Unidade básica de uma directoria: Entrada (objecto)
• Entrada: conjunto de atributos, cada qual com um ou mais valores, definidos num schema
dn: CN=mreis, OU=isp, O=novis, C=ptobjectclass: topobjectclass: inetOrgPersoncn: miguelsn: reispostalcode: 1000locality: lisboamobile: 931234567mobile: 969876543
LDAP Naming Model
• Define o tipo de estruturas que se conseguem construir a partir de Entradas
• Entradas colocadas numa “árvore invertida”
C=PT
O=NovisO=UE
OU=ISPOU= MIU
CN=mreis
dn: CN=mreis, OU=isp, O=novis, C=ptobjectclass: topobjectclass: inetOrgPersoncn: miguelsn: reispostalcode: 1000locality: lisboamobile: 931234567mobile: 969876543
LDAP Naming Model
• Diferenças para hierarquia do sistema de ficheiros :
● Não existe uma entrada base (como, por exemplo, a entrada “/” num sistema UNIX
● Cada entrada contem dados e pode ser hierarquicamente superior a outras entradas ao mesmo tempo (filesystem: ou ficheiro ou directoria)
● O “nome da entrada” (DN) é chamado de forma contrária a um ficheiro:
CN=mreis, OU=isp, O=novis, C=PT
/pt/novis/isp/mreis
LDAP Functional Model
• Define os métodos de acesso às entradas da directoria
• Conjunto de operações:
Interrogação: search compare (razões históricas – X.500)
Actualização: adddeleterename (modify DN)modify
Autenticação: bindunbind
LDAP Functional Model
• Exemplo:
Bind user: cn=mreisAdmin, c=ptpassword: xpto
Search base: “c=pt”scope: onelevelfilter: (&(objectclass=inetOrgPerson)(cn=m*))attributes: locality, mobile
Modify dn: “cn=mreis, ou=isp, o=novis, c=ptchangetype: modifyadd: mobilemobile: 912345678
Unbind
LDAP Security Model
• Define métodos de autenticação de clientes do servico de LDAP
• Cliente autenticado: operacao bind
servidor LDAP procura na entrada o atributo userpassword e compara com a password
fornecida
fornece ao utilizador um conjunto de permissões para realizar diferentes operações (controlo de acesso)
Controlo de acesso: não existe um standard... mas todos os servidores LDAP os definem
aci: (targetattr = "*")(version 3.0; acl "Allow self entry modify"; allow (write)userdn = "ldap:///self";)
aci: (targetattr = "*")(version 3.0; acl "Configuration Adminstrator"; allow (all) userdn = "ldap:///uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot";)
Prós e contras
• Deve ser utilizado para informação...
● acedida por diferentes tipos de aplicações● acedida de varias localizações● que necessita de ser lida muito mais frequentemente que escrita
• Nao deve ser utilizado para informação...
● actualizada frequentemente (alternativa: base de dados relacional)● não estruturada (alternativa: file system)
APIs
• Java• C / C++• Perl• JavaScript• UNIX e Windows/DOS command line
http://developer.netscape.com/tech/directory/downloads.html
Aplicações
• Clientes de e-mail (pesquisa pelo atributo mail)
• Aplicações comerciais:
Sun Directory Server (www.sun.com)ISODE M-Vault (www.isode.com)OpenLdap (www.openldap.org)
http://www.ietf.org/html.charters/ldapbis-charter.html
Agenda
• LDAP• Um pouco de história...• Surge o LDAP!• LDAP Models• Prós e Contras• APIs• Aplicações
● Certification Authority (CA)● Entidades Certificadoras● Public Key Infrastructure● Chave Privada da CA● Aplicações
● XCOM● Nova Marca● Protecção da Chave da CA● Infra-estrutura Segurança● Inserção em Hierarquia Mundial● Hierarquia de Certificação● TimeStamping● XCOM + LDAP
Entidades Certificadoras
Entidades emissoras de certificados digitais
● Credenciais de identidade electrónica● Essenciais para o desenvolvimento da Sociedade de Informação● “Notários Digitais”
Necessitam de confiança do mercado:
● Solidez e qualidade● Cumprimento rigoroso de procedimentos e normas● Know-how tecnológico adequado
Enquadramento legal:
● Dec. Lei 290-D/99 (regime jurídico dos documentos electrónicos e da assinatura electrónica)
● Dec. Lei 62/2003● Directiva 1999/93/CE
Public Key Infrastructure
• Duas chaves complementares
● uma pública, pode ser conhecida por toda a gente● outra privada, só pode ser conhecida pelo seu proprietário● o que uma “fecha” só pode ser “aberto” pela outra
• Chaves privadas são utilizadas para gerar assinaturas electrónicas
• Estas assinaturas são validadas pelas respectivas chaves públicas, obtidas a partir de certificados digitais
Chave Privada da CA
• É o elemento fundamental da infra-estrutura
• utilizada como “raíz” de todos os certificados emitidos
É a base de toda a confiança depositada na Entidade Certificadora (Certification Authority – CA) enquanto entidade emissora de certificados digitais
A Entidade Certificadora empregará todos os meios ao seu alcance para proteger a confidencialidade desta chave
Aplicações
• WEB Servers (SSL – Secure Sockets Layer)
● Home-Banking● Comercio Electrónico● Intranets
• E-mail (S/MIME)
• Protocolos (ex: XML Signature, TimeStamping, etc)
www.pki-page.org www.ietf.org/html.charters/pkix-charter.html
Agenda
• LDAP• Um pouco de história...• Surge o LDAP!• LDAP Models• Prós e Contras• APIs• Aplicações
• Certification Authority (CA)• Entidades Certificadoras• Public Key Infrastructure• Chave Privada da CA• Aplicações
•XCOM• Nova Marca• Protecção da Chave da CA• Infra-estrutura Segurança• Inserção em Hierarquia Mundial• Hierarquia de Certificação• TimeStamping• XCOM + LDAP
Nova Marca
A Entidade Certificadora da Novis é a:
Protecção da chave da CA
• A chave privada da CA é protegida com recurso a hardware criptográfico
• A chave é dividida em partes, cada uma armazenada num smartcard
• Utiliza-se uma política de “K de N” para controlar os acessos à chave
Infra-estrutura Segurança
• Segurança Data Center
• Camâras Vigilância
• Acesso Cartão Proximidade
• Acesso Biométrico
• Jaula
• Sensores de Movimento
• Cofre Documentos
• Cofre IT
Inserção em Hierarquia Mundial
ROOT
• Necessidade de reconhecimento automático pelas aplicações
• Browsers, leitores de e-mail, ERP’s
• Parceiro escolhido: RSA• Líder no mercado da segurança informática
• “The most trusted name in e-security”
Personal Application Server Business Mobile Professional
Hierarquia de Certificação
TimeStamping
• Fonte temporal: Observatório Astronómico de Lisboa, detentor da hora legal em Portugal
• Selo Temporal aplicado a Documentos Digitais (RFC3161)
• autenticidade
• não-repúdio
• Infraestrutura: Symmetricom (antiga Datum)
XCOM + LDAP
LDAPCA
ServidorAdministracao
CA
Servidor PedidoCertificados
https://www.xcom.pt
LDAPUtilizadores
AUTENTICACÃOUTILIZADORES
LDAPCERTIFICADOS
PEDIDO DECERTIFICADO
PUBLICAÇÃOCERTIFICADO
The End
Questões ?