Cours Uni Genève 2002

1. La citadelle électronique Systèmes d’authentifications Sylvain Maret (sylvain.maret@e-xpertsolutions.com) Novembre 2002 Version 1.12

4. Introduction

8. Elements d’un système d’authentification

12. Login par mot de passe Mécanisme d’authentification Login Process Mécanisme de contrôle D’accès Propriétaire La personne Caractéristique unique Mot de passe Computer Ressources Mécanisme D’archivage

13. Les attaques

15. Facteurs d’authentifications

18. Que sécuriser ?

20. Quelle technologie d’authentification ?

22. Les « tokens »

25. Mode de fontionement Token + (PIN) = Base Secret Base Secret

27. Mode de fontionement Token + (PIN) Facteur commun changeant Facteur commun changeant = = Base Secret Base Secret

28. Counter Based Tokens Hash Counter +1 OTP Facteur commun Secret unique partagé Base Secret

29. Clock Based Tokens Hash OTP Secret unique partagé Base Secret

31. PIN Code interne Hash Clock or Counter PIN unlock Base Secret OTP Base Secret

32. PIN Code externe Hash Clock or Counter + PIN * OTP * Shoud use encryption (SSL, IPSEC, SSH Base Secret

34. RSA SecurID Seed Time 482392 ACE/Server Token Algorithm Seed Time 482392 Algorithm Same Seed Same Time

35. RSA ACE/Server (Primary) RSA ACE/Agents NT/ Unix Novell Intranet Firewall RSA ACE/Server (Replica) VPN RSA ACE/Agents Web Server RSA ACE/Agent Firewall RAS DMZ Internet

36. Challenge Response

38. Mode de fontionement nonce ( adf341gf) dupont nonce = adf341gf response = ff747dgd4 = Base Secret Base Secret

40. Norme X9.9 Hash (DES encrypt) Random Challenge Nonce OTP Response Base Secret

42. S/Key Hash Seed S/Key Response Counter (99, 98, 97, etc.) digest Table S/Key Human Readable Base Secret

43. Démo S/Key Counter Seed OTP Base Secret

46. Authentification indirecte

48. Authentification indirecte Authentication Server Resource Server or NAS Client Logon Request Logon Response Authentication Request Authentication Response Applications

51. Serveurs d’authentification OTP Authentication Server Radius Router with Agent radius Client Server OTP

56. Démonstration sécurisation des routeurs Cisco Authentication Server Radius AAA Router with Agent radius Client Ace Server

58. Kerberos

62. Key Distribution Center Master Key Database Unix Server « Kerberized » Software Logon Request TGT TGT Unix Server Ticket Unix Server Request With Ticket Unix Server Response Ka Ka Kb Kb

65. Biométrie

70. Personal trait Biometric Reader Feature Extraction 1=127 2=126 3=456 4=987 Biometric Signature dupont: 1=127,2= deraud: 1=878,2= marcus: 1=656,2= Biometric Matching Biometric Pattern ?

73. Equal Error Rate (EER)

76. Questions?

77. e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité d e périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix , Microsoft et des postes clients (firewall personnel).

78. Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]