Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Utilisation et gestion du chiffrement

Le chiffrement est utilisé pour assurer la confidentialité et l'intégrité des données du serveur en mémoire et dans le référentiel, ainsi que celles de toutes les données transmises entre le serveur Identity Manager et la passerelle.

Les sections suivantes fournissent des informations supplémentaires sur l'utilisation et la gestion du chiffrement dans le serveur Identity Manager et la passerelle, et répondent aux questions relatives aux clés de chiffrement du serveur et de la passerelle.

Données protégées par chiffrement

Le tableau suivant indique les types de données qui sont protégés par chiffrement dans le produit Identity Manager ainsi que les codes utilisés pour protéger chaque type de données.

Tableau 12–1 Types de données protégés par chiffrement


Type de données	RSAMD5	Clé NIST Triple DES 168 bits (DESede/ECB/NoPadding)	Clé PKCS#5 basée sur des mots de passe Crypto 56 bits (PBEwithMD5andDES)
Clés de chiffrement du serveur		Valeur par défaut	Option de configuration
Clés de chiffrement de la passerelle		Valeur par défaut	Option de configuration
Mots du dictionnaire des stratégies	Oui
Mots de passe utilisateur		Oui
Historique des mots de passe utilisateur		Oui
Réponses de l'utilisateur		Oui
Mots de passe des ressources		Oui
Historique des mots de passe des ressources	Oui
Toute la charge utile entre le serveur et les passerelles		Oui

Foire Aux Questions relative aux clés de chiffrement du serveur

Vous trouverez dans les sections suivantes les réponses aux questions fréquemment posées sur la source, l'emplacement, la maintenance et l'utilisation des clés de chiffrement du serveur.

Question :

D'où viennent les clés de chiffrement du serveur ?

Réponse :

Les clés de chiffrement du serveur sont des clés Triple-DES symétriques de 168 bits.

Le serveur prend en charge les deux types de clés suivants :

Clé par défaut. Cette clé est compilée dans le code du serveur.
Clé générée de manière aléatoire. Cette clé peut être générée au démarrage initial du serveur ou à tout moment où la sécurité de la clé actuelle est en question.

Question :

Où les clés de chiffrement du serveur sont-elles conservées ?

Réponse :

Les clés de chiffrement du serveur sont des objets conservés dans le référentiel. Il peut y avoir de nombreuses clés de chiffrement de données dans tout référentiel.

Question :

Comment le serveur sait-il quelles clés utiliser pour le chiffrement et le rechiffrement des données chiffrées ?

Réponse :

Toute donnée chiffrée stockée dans le référentiel comporte un préfixe qui est l'ID de la clé de chiffrement du serveur qui a été utilisée pour la chiffrer. Lorsqu'un objet contenant des données chiffrées est lu en mémoire, Identity Manager utilise la clé de chiffrement de serveur associée au préfixe ID des données chiffrées à déchiffrer puis les rechiffre avec la même clé si les données sont modifiées.

Question :

Comment puis-je mettre à jour les clés de chiffrement du serveur ?

Réponse :

Identity Manager fournit une tâche appelée Gérer le chiffrement du serveur.

Cette tâche permet à un administrateur de sécurité autorisé d'effectuer plusieurs tâches de gestion de clés, notamment :

générer une nouvelle clé de serveur « actuelle » ;
re-chiffrer des objets existants, par type, contenant des données chiffrées avec la clé de serveur « actuelle ».

Pour plus d'informations sur l'utilisation de cette tâche, voir Gestion du chiffrement du serveur dans ce même chapitre.

Question :

Qu'arrive-t-il aux données chiffrées existantes si la clé de serveur « actuelle » est changée ?

Réponse :

Rien. Les données chiffrées existantes continueront à être déchiffrées ou rechiffrées avec la clé référencée par le préfixe ID des données chiffrées. Si une nouvelle clé de chiffrement du serveur est générée et définie comme étant la clé « actuelle », toutes les nouvelles données à chiffrer utiliseront cette nouvelle clé du serveur.

Pour éviter les problèmes liés à la cœxistence de plusieurs clés tout en maintenant un haut niveau d'intégrité des données, utilisez la tâche Gérer le chiffrement du serveur pour rechiffrer toutes les données chiffrées existantes avec la clé de chiffrement de serveur « actuelle ».

Question :

Que se passe-t-il quand vous importez des données chiffrées pour lesquelles aucune clé de chiffrement n'est disponible ?

Réponse :

Si vous importez un objet contenant des données chiffrées, mais que ces données ont été chiffrées avec une clé qui ne figure pas dans le référentiel dans lequel elles sont importées, ces données seront importées mais pas déchiffrées.

Question :

Comment les clés du serveur sont-elles protégées ?

Réponse :

Si le serveur n'est pas configuré pour utiliser le chiffrement basé sur les mots de passe (PBE) - PKCS#5 (défini dans l'objet Configuration système en utilisant l'attribut pbeEncrypt ou la tâche Gérer le chiffrement du serveur), la clé par défaut est utilisée pour chiffrer les clés du serveur. La clé par défaut est la même pour toutes les installations d'Identity Manager.

Si le serveur est configuré pour utiliser le chiffrement PBE, une clé PBE est générée à chaque fois que le serveur est démarré. La clé PBE est générée en fournissant un mot de passe, généré à partir d'un secret spécifique au serveur, au chiffrement PBEwithMD5andDES. La clé PBE est uniquement conservée dans la mémoire et n'est jamais persistante. De plus, la clé PBE est la même pour tous les serveurs partageant le même référentiel.

Pour activer le chiffrement PBE des clés du serveur, le chiffrement PBEwithMD5andDES doit être disponible. Identity Manager n'inclut pas par défaut ce chiffrement dans ses packages mais il s'agit d'un standard PKCS#5 disponible dans de nombreuses implémentations de fournisseurs JCE tels que ceux fournis par Sun et IBM.

Question :

Puis-je exporter les clés du serveur pour les stocker de manière sûre à l'extérieur ?

Réponse :

Oui. Si les clés du serveur sont chiffrées avec PBE, elle seront déchiffrées puis rechiffrées avec la clé par défaut avant d'être exportées. Ceci permettra de les importer sur le même ou sur un autre serveur à une date ultérieure, indépendamment de la clé PBE du serveur local. Si les clés du serveur sont chiffrées avec la clé par défaut, aucun traitement ne sera effectué avant leur exportation.

Lorsqu'elles sont importées sur un serveur configuré pour les clés PBE, les clés sont déchiffrées puis rechiffrées avec la clé PBE du serveur local si ce serveur est configuré pour le chiffrement par clés PBE.

Question :

Quelles sont les données chiffrées entre le serveur et la passerelle ?

Réponse :

Toutes les données (la charge utile) transmises entre le serveur et la passerelle sont chiffrées avec Triple-DES avec une clé symétrique par session serveur-passerelle générée de manière aléatoire de 168 bits.

Foire Aux Questions relative aux clés de passerelle

Vous trouverez dans les sections suivantes les réponses aux questions fréquemment posées sur la source, le stockage, la maintenance et la protection des clés de passerelle.

Question :

Quelle est la source des clés de passerelle employées pour chiffrer ou déchiffrer les données ?

Réponse :

À chaque fois qu'un serveur Identity Manager se connecte à une passerelle, le handshake initial génère une nouvelle clé Triple-DES aléatoire de 168 bits. Cette clé est utilisée pour chiffrer ou déchiffrer toutes les données transmises par la suite entre le serveur et cette passerelle. Une clé de session unique est générée pour chaque paire serveur/passerelle.

Question :

Comment les clés sont-elles distribuées aux passerelles ?

Réponse :

Les clés de session sont générées de manière aléatoire par le serveur puis échangées de manière sécurisée entre le serveur et la passerelle en étant chiffrées avec la clé maîtresse secrète partagée dans le cadre de l'handshake serveur-passerelle initial.

Lors du handshake initial, le serveur interroge la passerelle pour déterminer le mode que celle-ci prend en charge. La passerelle peut fonctionner dans les deux modes suivants :

Mode par défaut . Le handshake de protocole serveur-passerelle initial est chiffré avec la clé Triple-DES de 168 bits par défaut, qui est compilée dans le code du serveur.
Mode sécurisé. Une clé de passerelle Triple-DES aléatoire par référentiel partagé de 168 bits est générée et communiquée du serveur à la passerelle dans la cadre du protocole de handshake initial. Cette clé de passerelle est stockée dans le référentiel du serveur à l'instar des autres clés de chiffrement et l'est également par la passerelle dans le registre local de cette dernière.

Lorsqu'une passerelle en mode sécurisé est contactée par un serveur, le serveur chiffre les données de test avec la clé de la passerelle et les envoie à la passerelle. La passerelle tente alors de déchiffrer les données de test, d'ajouter des données propres aux données de test, de rechiffrer le tout puis de renvoyer les données au serveur. Si le serveur réussit à déchiffrer les données de test et les données propres à la passerelle, il génère une clé de session serveur-passerelle unique qu'il chiffre avec la clé de la passerelle et l'envoie à cette dernière. À la réception, la passerelle déchiffre la clé de session et la conserve pour l'utiliser pendant la vie de la session serveur-à-passerelle. Si le serveur ne réussit pas à déchiffrer les données de test et les données propres à la passerelle, il chiffre la clé de la passerelle en utilisant la clé par défaut et les envoie à la passerelle. La passerelle déchiffre la clé de passerelle en utilisant sa clé par défaut compilée et stocke la clé de passerelle dans son registre. Le serveur chiffre ensuite la clé de session serveur-passerelle unique avec la clé de la passerelle puis l'envoie à la passerelle qui l'utilisera pendant la vie de la session serveur-à-passerelle.

À partir de ce moment, la passerelle n'acceptera plus que les demandes émanant de serveurs ayant chiffré la clé de session avec sa clé de passerelle. Au démarrage, la passerelle contrôle s'il y a une clé dans le registre. S'il y en a une, elle l'utilise. S'il n'y en a pas, elle utilise celle par défaut. Une fois qu'elle a une clé définie dans le registre, la passerelle n'autorise plus l'établissement des sessions avec la clé par défaut, ce qui empêche des tiers de configurer un serveur indésirable et d'établir une connexion avec la passerelle.

Question :

Puis-je mettre à jour les clés de passerelle utilisées pour chiffrer ou déchiffrer la charge utile serveur-à-passerelle ?

Réponse :

Identity Manager fournit une tâche appelée Gérer le chiffrement du serveur qui permet à un administrateur de sécurité autorisé d'effectuer plusieurs tâches de gestion de clés et notamment de générer une nouvelle clé de passerelle « actuelle » et de mettre à jour toutes les passerelles avec cette clé de passerelle « actuelle ». Cette clé est celle utilisée pour chiffrer la clé par session utilisée pour protéger l'ensemble de la charge utile transmise entre le serveur et la passerelle. La clé de passerelle nouvellement générée sera chiffrée avec au choix la clé par défaut ou la clé PBE, selon la valeur de l'attribut pbeEncrypt dans l'objet Configuration système (Édition des objets Configuration Identity Manager).

Question :

Où les clés de passerelle sont-elles stockées sur le serveur, sur la passerelle ?

Réponse :

Sur le serveur, la clé de la passerelle est stockée dans le référentiel comme les clés du serveur. Sur la passerelle, la clé de la passerelle est stockée dans une clé de registre locale.

Question :

Comment les clés de la passerelle sont-elles protégées ?

Réponse :

La clé de la passerelle est protégée de la même façon que les clés du serveur. Si le serveur est configuré pour utiliser le chiffrement PBE, la clé de la passerelle sera chiffrée avec une clé générée par PBE. Si l'option est false, elle sera chiffrée avec la clé par défaut. Pour plus d'informations, voir Foire Aux Questions relative aux clés de chiffrement du serveur .

Question :

Puis-je exporter les clés de la passerelle pour les stocker de manière sûre à l'extérieur ?

Réponse :

La clé de la passerelle peut être exportée en utilisant la tâche Gérer le chiffrement du serveur comme les clés du serveur. Pour plus d'informations, voir Foire Aux Questions relative aux clés de chiffrement du serveur .

Question :

Comment les clés du serveur et de la passerelle sont-elles détruites ?

Réponse :

Pour détruire les clés du serveur et de la passerelle, vous devez les supprimer du référentiel du serveur. Vous remarquerez qu'aucune clé ne doit être supprimée tant qu'il reste des données du serveur chiffrées avec cette clé ou une passerelle reposant sur cette clé. Utilisez la tâche Gérer le chiffrement du serveur pour rechiffrer toutes les données du serveur avec la clé actuelle du serveur et pour synchroniser la clé actuelle de la passerelle avec toutes les passerelles pour assurer qu'aucune clé obsolète n'est encore utilisée avant sa suppression.