Chapitre 3. Considérations relatives à l'archivage de clés. IBM 5.30

Chapitre 3.

Considérations relatives à l’archivage de clés

Les mots de passe et les clés fonctionnent ensemble, ainsi qu’avec d’autres unités d’authentification, pour vérifier l’identité des utilisateurs système.

La

figure 4

illustre le fonctionnement entre le Sous-système de sécurité intégré IBM et le Logiciel IBM Client Security.

La fenêtre d’ouverture de session Windows invite tout d’abord l’Utilisateur A à ouvrir une session.

L’Utilisateur A s’exécute.

Le

Logiciel IBM Client Security détermine ensuite la nature de l’utilisateur en cours à partir des informations fournies par le système d’exploitation.

La clé privée administrateur, qui est chiffrée à l’aide de la clé matérielle publique, est chargée dans la puce de sécurité intégrée.

Figure 4.

La clé privée administrateur, qui est chiffrée à l’aide de la clé matérielle publique.

est chargée dans la puce de sécurité intégrée.

© Copyright IBM Corp.

2004

7

La clé matérielle privée (disponible uniquement dans la puce) permet de déchiffrer la clé privée administrateur, comme illustré dans la

figure 5.

La clé privée administrateur est désormais disponible pour être utilisée dans la puce.

Figure 5.

La clé privée administrateur est disponible pour utilisation dans la puce de sécurité.

Puisque l’Utilisateur A est connecté à l’ordinateur, la clé privée de cet utilisateur

(chiffrée à l’aide de la clé publique administrateur) est transférée dans la puce, comme illustré à la

figure 6 à la page 9.

8

Logiciel IBM Client Security version 5.30

Guide de déploiement

Figure 6.

La clé privée de l’Utilisateur A, qui est chiffrée à l’aide de la clé publique administrateur, est transférée dans la puce de sécurité.

La clé privée administrateur est utilisée pour déchiffrer la clé privée de l’Utilisateur

A.

La clé privée de l’Utilisateur A est alors prête pour utilisation (voir la

figure 7 à la page 10).

Chapitre 3.

Considérations relatives à l’archivage de clés

9

Figure 7.

La clé privée de l’Utilisateur A est prête pour utilisation.

D’autres clés peuvent être chiffrées à l’aide de la clé publique de l’Utilisateur A.

C’est le cas, par exemple, d’une clé privée utilisée pour la signature des courriers

électroniques.

Lorsque l’Utilisateur A va envoyer un courrier électronique signé, la clé privée utilisée pour la signature (chiffrée à l’aide de la clé publique de l’Utilisateur A) est transférée dans le puce.

La clé privée de l’Utilisateur A (déjà dans la puce) est utilisée pour déchiffrer la clé de signature privée de l’Utilisateur

A.

Cette dernière est alors disponible dans la puce pour effectuer l’opération souhaitée, dans ce cas la création d’une signature numérique (chiffrement de hachage).

Il est à noter que le même processus de déplacement des clés à l’intérieur et à l’extérieur de la puce serait mis en oeuvre si un Utilisateur B se connectait à l’ordinateur.

Pourquoi utiliser une paire de clés administrateur ?

Il est nécessaire de disposer d’une paire de clés administrateur pour des raisons de capacité d’archivage et de restauration.

La paire de clés administrateur sert de couche d’abstraction entre la puce et les accréditations utilisateur.

Les informations de clé privée spécifiques d’un utilisateur sont chiffrées à l’aide de la clé publique de l’administrateur, comme illustré dans la

figure 8 à la page 11.

10

Logiciel IBM Client Security version 5.30

Guide de déploiement

Important :

Vous devez développer une stratégie pour la gestion des paires de clés administrateur.

Il est possible que chaque ordinateur doté d’une puce de sécurité intégrée utilise la même paire de clés administrateur, si l’administrateur informatique ou l’administrateur de la sécurité l’a décidé ainsi.

Néanmoins, chaque service ou chaque immeuble peut également se voir attribuer des paires de clés administrateur différentes.

Figure 8.

Les informations de clé privée spécifiques à un utilisateur sont chiffrées à l’aide de la clé publique de l’administrateur.

La nécessité de signer le fichier de stratégie de Client Security constitue une autre bonne raison de disposer d’une paire de clés administrateur.

Cela permet d’empêcher quiconque, à l’exception de l’administrateur, de modifier la stratégie de sécurité.

Si vous souhaitez définir un degré de sécurité élevé pour le fichier de stratégie de sécurité client, vous pouvez scinder la clé privée administrateur entre plusieurs individus (cinq au maximum).

Dans ce cas, la présence des cinq individus, détenant chacun une portion de la clé privée, est requise pour la signature et le chiffrement de fichiers tels que le fichier de stratégie de sécurité client.

Cela permet d’éviter qu’une seule personne puisse exécuter des fonctions d’administrateur de manière unilatérale.

Pour plus d’informations concernant la scission de la clé privée administrateur, reportez-vous au paramètre Keysplit=1 dans le

tableau 4 à la page 39.

Pendant l’initialisation du Logiciel IBM Client Security, les paires de clés administrateur peuvent être créées par le logiciel ou importées à partir d’un fichier externe.

Si vous souhaitez utiliser une paire de clés administrateur standard, vous devez indiquer l’emplacement des fichiers nécessaires pendant l’installation du client.

Les informations spécifiques de l’utilisateur sont sauvegardées (écrites) dans un emplacement d’archive défini par l’administrateur, comme illustré à la

figure 8

Cet emplacement d’archive peut être tout type de support physiquement ou logiquement connecté au client.

La section relative à l’installation du Logiciel IBM

Client Security fournit des informations concernant les emplacements d’archive les plus couramment définis.

Les clés publique et privée de l’administrateur ne sont pas archivées.

Les données utilisateur stockées dans l’emplacement d’archive sont chiffrées à l’aide de la clé publique administrateur.

Disposer des données archivées ne vous sera d’aucune utilité si vous ne possédez pas la clé privée d’archive nécessaire pour les déverrouiller.

La clé publique administrateur et la clé privée d’archive sont souvent appelées

″paire de clés d’archive

″ dans la documentation relative au Logiciel IBM

Chapitre 3.

Considérations relatives à l’archivage de clés

11

Client Security.

Il est à noter que la clé privée d’archive n’est pas chiffrée.

Il importe donc de stocker et de protéger avec soin la paire de clés d’archive.

Figure 9.

Les clés publique et privée de l’administrateur constituent la paire de clés d’archive.

Comme indiqué précédemment, l’une des plus importantes fonctions des clés publique et privée de l’administrateur consiste à sauvegarder et à restaurer le contenu des disques.

Cette capacité est illustrée dans les figures

10

à

15.

Les étapes nécessaires à l’exécution d’une telle opération sont les suivantes :

1.

Le Client A, pour une raison quelconque, devient inutilisable pour l’Utilisateur

A.

Dans cet exemple, l’ordinateur, Client A, a été frappé par la foudre.

Voir la

figure 10 à la page 13.

12

Logiciel IBM Client Security version 5.30

Guide de déploiement

Figure 10.

L’ordinateur de l’Utilisateur A est frappé par la foudre, ce qui le rend inutilisable.

2.

L’Utilisateur A reçoit un nouvel ordinateur IBM de type amélioré, appelé Client

B.

Le Client B est différent du Client A en ce sens que ses clés matérielles publique et privée sont différentes de celles du Client A.

Cette différence est visuellement représentée par les clés sur fond gris sur le Client B et les clés sur

Chapitre 3.

Considérations relatives à l’archivage de clés

13

fond vert sur le Client A.

Néanmoins, le mot de passe administrateur est identique sur le Client B et le Client A.

Figure 11.

L’Utilisateur A reçoit un nouvel ordinateur, le Client B, doté d’une nouvelle puce de sécurité intégrée.

3.

Le Client B nécessite à présent les mêmes accréditations utilisateur que celles qui figuraient sur le Client A.

Ces informations ont été archivées sur le Client

A.

Si vous retournez à la

figure 8 à la page 11,

vous verrez que les clés de l’utilisateur sont chiffrés à l’aide de la clé publique administrateur et stockées dans un emplacement d’archive.

Pour que les accréditations utilisateur soient disponibles sur le Client B, il est nécessaire de transférer les clés publique et privée de l’administrateur sur cette machine.

La Figure 12 illustre l’extraction par le Client B des clés publique et privée de l’administrateur afin de procéder

à la récupération de données utilisateur à partir de l’emplacement d’archive.

14

Logiciel IBM Client Security version 5.30

Guide de déploiement

Figure 12.

Le Client B extrait les clés publique et privée de l’administrateur à partir de l’emplacement d’archive.

4.

La

figure 13 à la page 16

illustre le chiffrement de la clé privée administrateur à l’aide de la clé matérielle publique du Client B.

Chapitre 3.

Considérations relatives à l’archivage de clés

15

Figure 13.

La clé privée de l’administrateur est chiffrée à l’aide de la clé matérielle du Client B.

A présent que la clé privée de l’administrateur a été chiffrée à l’aide de la clé matérielle publique, les accréditations de l’Utilisateur A peuvent être transférées sur le Client B.

Cette opération est illustrée dans la

figure 14 à la page 17.

16

Logiciel IBM Client Security version 5.30

Guide de déploiement

Figure 14.

Les accréditations de l’Utilisateur A peuvent être chargées sur le Client B une fois que la clé privée de l’administrateur a été chiffrée.

La

figure 15 à la page 18

illustre la restauration complète de l’Utilisateur A sur le

Client B.

Remarque : La clé privée de l’Utilisateur A a été chiffrée à l’aide de la clé publique de l’administrateur sur le serveur d’archives.

La clé publique de l’administrateur est une clé RSA 2048 bits virtuellement impossible à briser.

Cela signifie qu’il n’est pas nécessaire que l’emplacement d’archive soit protégé ou ou qu’il dispose d’une liste de contrôle d’accès renforcée.

Tant que la paire de clés d’archive (clés publique et privée de l’administrateur) et plus spécifiquement la clé

Chapitre 3.

Considérations relatives à l’archivage de clés

17

privée de l’administrateur, sont conservées en lieu sûr, l’emplacement d’archive des accréditations de l’utilisateur importe peu.

Figure 15.

Restauration complète de l’Utilisateur A sur le Client B

18

Logiciel IBM Client Security version 5.30

Guide de déploiement

La définition du mot de passe administrateur, les emplacements d’archive, etc., sont présentés de façon plus détaillée dans la section relative à l’installation du logiciel.

La Figure 16 illustre une vue d’ensemble des composants dans un environnement de sous-système intégré (ESS).

Elle indique clairement que chaque client est unique du point de vue des clés matérielles privée et publique, mais que ses clés publique et privée administrateur sont communes.

Les clients disposent d’un emplacement d’archive commun mais ce dernier peut être pour un segment ou un groupe d’utilisateurs.

Figure 16.

Principaux composants du Logiciel IBM Client Security.

Prenons l’exemple qui suit.

Supposons que le service des Ressources humaines dispose d’un emplacement d’archive distinct au niveau du service Informatique.

L’archivage est effectué par nom d’utilisateur et par nom d’ordinateur.

Le Logiciel

IBM Client Security archive les données utilisateur d’un système à l’emplacement d’archive défini, sur la base du nom d’utilisateur et du nom d’ordinateur, comme indiqué plus haut pour l’Utilisateur A et l’Utilisateur B.

Notez également que les clés publique et privée de l’administrateur figurent dans un emplacement sécurisé.

Remarque :

Chaque nom d’ordinateur et chaque nom d’utilisateur à archiver dans un même emplacement doit être unique.

Tout nom d’ordinateur ou nom d’utilisateur en double remplace toute archive portant le même nom.

Chapitre 3.

Considérations relatives à l’archivage de clés

19

20

Logiciel IBM Client Security version 5.30

Guide de déploiement