XCOM : uma CA baseada em LDAP Évora, Novembro de 2003.

Apresentação em tema: "XCOM : uma CA baseada em LDAP Évora, Novembro de 2003."— Transcrição da apresentação:

1 XCOM : uma CA baseada em LDAP Évora, Novembro de 2003

2 Agenda ● LDAP ● Um pouco de história... ● Surge o LDAP! ● LDAP Models ● Prós e Contras ● APIs ● Aplicações Certification Authority (CA) Entidades Certificadoras Public Key Infrastructure Chave Privada da CA Aplicações XCOM Nova Marca Protecção da Chave da CA Infra-estrutura Segurança Inserção em Hierarquia Mundial Hierarquia de Certificação TimeStamping XCOM + LDAP

3 Um pouco de história... Directorias baseadas em papel estao fora de uso Cada aplicação disponibiliza o seu próprio serviço (e-mail, contactos, recursos humanos, etc) e todas precisam de estar sincronizadas. Surge o standard X.500, desenvolvido pela International Telecommunications Unit (ITU / CCITT) X.500 = grande, pesado, e com regras muito rígidas (ex : corre sobre stack OSI) Nao servia para o dia-a-dia!

4 Surge o LDAP! LDAP (Lightweigth DirectoryAccess Protocol) criado na University of Michigan Desenhado inicialmente para accesso a directorias X.500 ● 90% das funcionalidades ● 10% do “custo” Baseado em TCP Definido atraves de 4 modelos: ● LDAP Information Model ● LDAP Naming Model ● LDAP Functional Model ● LDAP Security Model

5 LDAP Information Model Define tipos de dados Unidade básica de uma directoria: Entrada (objecto) Entrada: conjunto de atributos, cada qual com um ou mais valores, definidos num schema dn: CN=mreis, OU=isp, O=novis, C=pt objectclass: top objectclass: inetOrgPerson cn: miguel sn: reis postalcode: 1000 locality: lisboa mobile: 931234567 mobile: 969876543

6 LDAP Naming Model Define o tipo de estruturas que se conseguem construir a partir de Entradas Entradas colocadas numa “árvore invertida” C=PT O=NovisO=UE OU=ISPOU= MIU CN=mreis dn: CN=mreis, OU=isp, O=novis, C=pt objectclass: top objectclass: inetOrgPerson cn: miguel sn: reis postalcode: 1000 locality: lisboa mobile: 931234567 mobile: 969876543

7 LDAP Naming Model Diferenças para hierarquia do sistema de ficheiros : ● Não existe uma entrada base (como, por exemplo, a entrada “/” num sistema UNIX ● Cada entrada contem dados e pode ser hierarquicamente superior a outras entradas ao mesmo tempo (filesystem: ou ficheiro ou directoria) ● O “nome da entrada” (DN) é chamado de forma contrária a um ficheiro: CN=mreis, OU=isp, O=novis, C=PT /pt/novis/isp/mreis

8 LDAP Functional Model Define os métodos de acesso às entradas da directoria Conjunto de operações: Interrogação: search compare (razões históricas – X.500) Actualização:add delete rename (modify DN) modify Autenticação:bind unbind

9 LDAP Functional Model Exemplo: Binduser: cn=mreisAdmin, c=pt password: xpto Searchbase: “c=pt” scope: onelevel filter: (&(objectclass=inetOrgPerson)(cn=m*)) attributes: locality, mobile Modifydn: “cn=mreis, ou=isp, o=novis, c=pt changetype: modify add: mobile mobile: 912345678 Unbind

10 LDAP Security Model Define métodos de autenticação de clientes do servico de LDAP Cliente autenticado: operacao bind servidor LDAP procura na entrada o atributo userpassword e compara com a password fornecida fornece ao utilizador um conjunto de permissões para realizar diferentes operações (controlo de acesso) Controlo de acesso: não existe um standard... mas todos os servidores LDAP os definem aci: (targetattr = "*")(version 3.0; acl "Allow self entry modify"; allow (write)userdn = "ldap:///self";)ldap:///self aci: (targetattr = "*")(version 3.0; acl "Configuration Adminstrator"; allow (all) userdn = "ldap:///uid=admin, ou=Administrators, ou=TopologyManagement, o=NetscapeRoot";)

11 Prós e contras Deve ser utilizado para informação... ● acedida por diferentes tipos de aplicações ● acedida de varias localizações ● que necessita de ser lida muito mais frequentemente que escrita Nao deve ser utilizado para informação... ● actualizada frequentemente (alternativa: base de dados relacional) ● não estruturada (alternativa: file system)

12 APIs Java C / C++ Perl JavaScript UNIX e Windows/DOS command line http://developer.netscape.com/tech/directory/downloads.html

13 Aplicações Clientes de e-mail (pesquisa pelo atributo mail) Aplicações comerciais: Sun Directory Server (www.sun.com) ISODE M-Vault (www.isode.com) OpenLdap (www.openldap.org) http://www.ietf.org/html.charters/ldapbis-charter.html

14 Agenda LDAP Um pouco de história... Surge o LDAP! LDAP Models Prós e Contras APIs Aplicações ● Certification Authority (CA) ● Entidades Certificadoras ● Public Key Infrastructure ● Chave Privada da CA ● Aplicações ● XCOM ● Nova Marca ● Protecção da Chave da CA ● Infra-estrutura Segurança ● Inserção em Hierarquia Mundial ● Hierarquia de Certificação ● TimeStamping ● XCOM + LDAP

15 Entidades Certificadoras Entidades emissoras de certificados digitais ● Credenciais de identidade electrónica ● Essenciais para o desenvolvimento da Sociedade de Informação ● “Notários Digitais” Necessitam de confiança do mercado: ● Solidez e qualidade ● Cumprimento rigoroso de procedimentos e normas ● Know-how tecnológico adequado Enquadramento legal: ● Dec. Lei 290-D/99 (regime jurídico dos documentos electrónicos e da assinatura electrónica) ● Dec. Lei 62/2003 ● Directiva 1999/93/CE

16 Public Key Infrastructure Duas chaves complementares ● uma pública, pode ser conhecida por toda a gente ● outra privada, só pode ser conhecida pelo seu proprietário ● o que uma “fecha” só pode ser “aberto” pela outra Chaves privadas são utilizadas para gerar assinaturas electrónicas Estas assinaturas são validadas pelas respectivas chaves públicas, obtidas a partir de certificados digitais

17 Chave Privada da CA É o elemento fundamental da infra-estrutura utilizada como “raíz” de todos os certificados emitidos É a base de toda a confiança depositada na Entidade Certificadora (Certification Authority – CA) enquanto entidade emissora de certificados digitais A Entidade Certificadora empregará todos os meios ao seu alcance para proteger a confidencialidade desta chave

18 Aplicações WEB Servers (SSL – Secure Sockets Layer) ● Home-Banking ● Comercio Electrónico ● Intranets E-mail (S/MIME) Protocolos (ex: XML Signature, TimeStamping, etc) www.pki-page.org www.ietf.org/html.charters/pkix-charter.html

19 Agenda LDAP Um pouco de história... Surge o LDAP! LDAP Models Prós e Contras APIs Aplicações Certification Authority (CA) Entidades Certificadoras Public Key Infrastructure Chave Privada da CA Aplicações XCOM Nova Marca Protecção da Chave da CA Infra-estrutura Segurança Inserção em Hierarquia Mundial Hierarquia de Certificação TimeStamping XCOM + LDAP

20 Nova Marca A Entidade Certificadora da Novis é a:

21 Protecção da chave da CA A chave privada da CA é protegida com recurso a hardware criptográfico A chave é dividida em partes, cada uma armazenada num smartcard Utiliza-se uma política de “K de N” para controlar os acessos à chave

22 Infra-estrutura Segurança Segurança Data Center Camâras Vigilância Acesso Cartão Proximidade Acesso Biométrico Jaula Sensores de Movimento Cofre Documentos Cofre IT

23 Inserção em Hierarquia Mundial ROOT Necessidade de reconhecimento automático pelas aplicações Browsers, leitores de e-mail, ERP’s Parceiro escolhido: RSA Líder no mercado da segurança informática “The most trusted name in e-security”

24 PersonalApplicationServerBusinessMobileProfessional Hierarquia de Certificação

25 TimeStamping Fonte temporal: Observatório Astronómico de Lisboa, detentor da hora legal em Portugal Selo Temporal aplicado a Documentos Digitais (RFC3161) autenticidade não-repúdio Infraestrutura: Symmetricom (antiga Datum)

26 XCOM + LDAP LDAP CA Servidor Administracao CA Servidor Pedido Certificados https://www.xcom.pt LDAP Utilizadores AUTENTICACÃO UTILIZADORES LDAP CERTIFICADOS PEDIDO DE CERTIFICADO PUBLICAÇÃO CERTIFICADO

27 The End Questões ?