Presentation Fonctionnalités du Classic Client Software

Transcription

MIDDLEWARE CLASSIC CLIENT
Le middleware de Gemalto proposé avec les cartes Classic TPC IM CC v3 est appelé « Classic Client ». Ce
middleware supporte l'ensemble des cartes de la gamme « Classic TPC ».
Caractéristiques générales
Logiciel
Cryptographie à clé publique RSA
Authentification SSL
Signature et chiffrement S/MIME
Support CryptoAPI pour les applications Microsoft
Support PKCS #11 pour les applications tierces
Génération de bi-clé sur la carte
Smart card logon natif sous Windows 2000, XP, Vista et 2003
Signature/chiffrement des documents Office
Signature/chiffrement des documents Adobe Acrobat
Support clients VPN
Autentification WiFi par carte à puce/ certificats
Support Citrix et Terminal Services
Support IdenTrust
Création de packages d'installation utilisateurs: utilitaire de création par
l'administrateur de package de setup destinés au déploiement par les utilisateurs
finaux.
 Gestion de certificats:: propagation automatique, visualisation, import, export (sauf clé
privée) et suppression.
 Gestion de code PIN: Politique de PIN, changement de PIN à la première utilisation en
option, interface de changement et déblocage de code PIN














Lecteurs de carte
1. Support pour tout lecteur compatible PC/SC
2. Support pour le lecteur sécurisé à clavier et écran Gemalto PC Pinpad
Net Informatique Service (N I S) – Le Grand Bosquet – Bât C – Chemin de Font Sereine
13 420 GEMENOS - FRANCE
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
Email : [email protected] - Http://www.nis-infor.com
SAS Capital 300000 € - Siret 40193223100038 – NAF : 524Z – Intracom : FR84401932231
Architecture de Classic Client
Classic Client est fondé sur des APIs standard: PKCS#11 et CAPI. Celles-ci sont installées sur
le poste client, afin que les applications faisant usage de modules cryptographiques puissent
avoir accès aux certificats et biclés présents sur les cartes.
Grâce à cette architecture, les applications n'ont ainsi pas besoin de connaître le type de carte
à puce ou clé USB employé et la manière de communiquer avec elles: c'est le rôle de Classic
Client.
Utilitaire Classic Client Toolbox
Tous les outils fournis par Classic Client sont regroupés dans un utilitaire appelé “Classic Client
Toolbox”, qui founit un certain nombre de fonctionnalités à l'utilisateur. Cet outil est disponible
dans de nombreux langages dont le français – voir liste complète plus loin dans ce document.
1 Administration de la carte
1.1. Changement du PIN et déblocage (si autorisé)
2 Contenu de la carte
 Voir les informations sur la carte
 Voir les Certificates stockés sur la carte (et choisir le cas échéant le certificat
par défaut pour le logon par carte à puce)
3 Diagnostics (destiné aux interactions avec le support technique)
 Informations détaillées sur le produit et son installation
Ci dessous, l'interface de changement de code PIN:
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
Figure - Gestion du code PIN
Import et export de certificats
Le “Classic Client Toolbox” permet d'importer et exporter des certificats. La disponibilité de ces
fonctions peut être configurée (permise ou non) par l'administrateur lors de la création du setup
utlisateur. Dans le dossier “Certificats”, l'utilisateur peut:
•
Importer un certificat dans la carte à puce, depuis le magasin de certificats Windows
ou bien depuis un fichier dans un des formats suivants:
 Fichier PKCS#12 (*.p12, *.pfx)
 Fichier binaire (*.der, *.cer, *.crt)
 PKCS#7 (*.p7b)
 Certificat encodé Base 64 (*.b64)
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
•
Exporter un certificat depuis la carte à puce vers le magasin Windows ou bien un
fichier

Note: il n'est naturellement pas possible d'exporter vers un fichier PKCS#12, ce
format étant destiné à contenir et certificat et biclé entier: la carte à puce n'autorise
jamais l'export de la clé privée une fois que celle-ci a été soit générée à bord soit
chargée ultérieurement.
Figure - Gestion des certificats
1.1.1.1
Déblocage de PIN à distance
Si le PIN de la carte est bloqué (par défaut après trois tentatives), l'administrateur peut définir
plusieurs options:

L'utilisateur peut débloquer la carte directement à l'aide du PUK

L'utilisateur peut débloquer la carte en mode “challenge response” dans lequel il doit
appeler le support technique qui lui communiquera un code de déblocage à usage unique
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94

L'utilisateur n'est pas autorisé à débloquer sa carte (soit parce que seul l'administrateur a
accès à cette option, soit parce que le code de déblocage n'est pas initialisé)
L'option numéro deux ci dessus permet de mettre en place une procédure de déblocage plus
sécurisée que l'utilisation d'un simple code PUK
- L'utilisateur n'est pas obligé de faire appel à un administrateur pour débloquer sa
carte, le support technique habituel peut suffire.
-
L'administrateur ne communique jamais le véritable code PUK
L'utilisateur ne peut pas réutiliser le code de déblocage, celui-ci étant à usage
unique
Il n'est pas possible de débloquer une carte autre que celle de l'utilisateur à l'aide
de code de déblocage
Dans ce mode, l'utilisateur téléphone au support technique, s'identifie, et après communication
de son numéro de série de carte et du code aléatoire affiché dans la “Classic Client Toolbox”, le
helpdesk lui fournit un code de déblocage. Avec ce code déblocage, qui n'est valide qu'une
seule fois, l'utilisateur peut débloquer sa carte et choisir un nouveau PIN.
L'utilisateur choisit l'option “Administration de la carte” dans le “Classic Client Toolbox” et
choisit l'option “Déblocage de PIN”. L'utilisateur appelle alors le support technique et, après
identification, communique le numéro de série et aléa qui sont affichés:
1.
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
Figure - Déblocage de PIN à distance
Le support technique communique alors un code temporaire de déblocage (en réalité le
code PUK chiffré) que l'utilisateur peut alors taper. La carte est alors débloquée et l'utilisateur
choisit un nouveau code PIN.
2.
Figure - Déblocage et choix du nouveau PIN
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
Notes importantes sur l'utilisation du déblocage de PIN à distance:
• L'utilisation de cet outil nécessite que l'opérateur du support technique ait accès à
l'application de déblocage correspondante, afin de pouvoir:
1 Entrer le numéro de série de la carte de l'utilisateur ainsi que l'aléa
2 Calculer le code de déblocage à communiquer au téléphone.
• Cette application peut être facilement intégrée dans les workflows des supports
techniques, ou même à l'intérieur d'applications de 'Card Management Systems'.
• L'opérateur du support technique doit posséder une carte dédiée qui stocke les
codes de déblocage de manière sécurisée et calcule les codes de déblocage.
Fonctions administrateur de Classic Client Toolbox
Le logiciel “Classic Client” livré sur CDROM ou bien via un site web sécurisé est par défaut un
package administrateur, qui permet à l'intégrateur de définir lui-même l'ensemble des
paramètres qui seront accessibles aux utilisateurs finaux de Classic Client. Ce package contient
ainsi une option “Administrateur” spécifique permettant à un administrateur de définir ces
options, et de générer le “Setup” d'installation correspondant.
De cette manière, l'intégrateur ou l'administrateur peut définit précisément les réglages de
sécurité ainsi que de politique de code PIN, ainsi que les options de configuration, et créer un
exécutable déployé chez les utilisateurs.
Durant la création d'un installateur destiné aux utilisateurs finaux, trois grandes étapes sont
proposées:
1. Réglages de configuration
2. Politique de code PIN
3. Spécifications du paquet d'installation
Naturellement, le paquet d'installation utilisateur ainsi généré ne contiendra aucune des options
administrateur.
Réglages de configuration:
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
Lors de cette étape, l'administrateur définit à travers une interface graphique les options de
configuration du setup utilisateur:
• Si l'utilisateur peut débloquer une carte bloquée
• Si l'utilisateur a accès à la procédure de déblocage à distance décrite précédemment
• Si l'utilisateur a le droit ou non d'effacer le contenu de sa carte
• Si l'utilisateur est autorisé à changer son code PIN ou non.
• Si l'import et l'export de certificats est autorisé
Figure - Ecran de configuration
Politique de code PIN:
Dans cette fenête, l'administrateur peut définir la politique de code PIN.
1. Longueur du code PIN
2. Caractères autorisés
3. Vérification de l'historique du code PIN, et de présence de répétitions (e.g. 11221122)
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
4. Appartenance du PIN à une liste de PIN 'faibles' connue, et définition de cette liste.
Figure - Politique de code PIN
Par la suite, lorsqu'un utilisateur souhaitera changer son code PIN, la politique définie par
l'administrateur affichée par Classic Client, et l'utilisateur devra suivre cette politique afin de
changer son code PIN.
Génération du paquet d'installation:
L'administrateur, après définition des configurations ci-dessus, pourra ensuite générer un ou
plusieurs paquets d'installation correspondant aux divers profils d'utilisateurs en usage pour son
application. Cest paquets comprendront:
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
•
•
•
1.
Les réglages de configuration
La politique de PIN
La langue
Les divers modules supplémentaires à inclure ou non
Figure - Génération de l'installeur
Une fois définies, ces options permettront de créer un installeur personnalisé qui pourra
ensuite être distribué aux utilisateurs finaux.
Déploiement de l'installeur
Après avoir créé un installeur à destination des utilisateurs finaux, se pose la question des
options de déploiement.
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
L'installeur se présente sous forme d'un répertoire contenant un fichier “setup.msi” ainsi que les
divers fichiers nécessaires à l'installation.
Plusieurs méthodes peuvent être utilisées:
1. Gravage et distribution d'un CDROM
2. Fourniture du Package via une distribution en ligne
3. Déploiement du logiciel via un système automatisé. Ce mode est particulièrement
adapté en entreprise où le déploiement des logiciels s'effectue généralement en mode
silencieux, 'poussé' par l'administrateur.
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
Description technique des composants de Classic Client
Cette section décrit les diverses caractéristiques techniques de Classic Client, ainsi que la liste
des applications testées par Gemalto à chaque sortie de nouvelle version.
Cependant, Classic Client peut fonctionner en général avec toute application faisant usage de
soit PKCS#11 soit Microsoft-CAPI, et cette liste n'est donc pas exhaustive. Cependant, aucune
suite standard de certification n'existant pour ces deux standards, Gemalto effectue un certain
nombre de tests pour les applications les plus populaires, et un test d'intégration est
recommandé pour les applications non présentes dans la liste.
Version du produit : v6.0
Applets et cartes supportées:
•
Classic TPC IS
•
Classic TPC IM CC
•
Classic MDE TPC IM
•
Carte IAS ECC
Cartes obsolètes supportées:
•
GemSafe GPK16000 (requires GPK add-on on top of Classic Client)
Lecteurs de carte à puce supportés:
•
Contact:
o
o
o
o
PC Card
PC Express
USB Shell Token V2
PC Twin
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
o
o
o
•
Secure PIN Pad Readers:
o
o
o
•
USB e-Seal Token V2
PC USB-SL
PC USB-TR
PC Pinpad
GCR 5500
Dell keyboards – SK-3105, SK-3205 and RT7D60
Contactless:
o
Prox DU/SU
Systèmes d'exploitation supportés:
•
Windows 2000 Professional SP4 – 32 bits
•
Windows XP Pro SP2 & SP3 – 32 & 64 bits
•
Windows Vista SP1 & SP2 – 32 & 64 bits
•
Windows 7 – 32 & 64 bits
•
Windows Server 2003 R2 SP2 – 32 & 64 bits
•
Windows Server 2008 (up to SP2) – 32 & 64 bits
•
Windows Server 2008 R2 – 64 bits
•
Linux RedHat RHEL v5 – 32 bits
•
Debian Etch – 32 bits
•
Mac OS 10.5 & 10.6
Prérequis matériels:
•
Processeur 1GHz minimum
•
1Go de RAM minimum pour Windows 32 bits
•
1Go de RAM minimum pour Windows 64 bits
Interfaces cryptographiques supportées:
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
•
PKCS#11 v2.01
•
Microsoft CAPI v2
Langues supportées en standard:
•
Anglais
•
Chinois (Simplifié)
•
Chinois (Traditionel)
•
Czech
•
Hollandais
•
Français
•
Allemand
•
Hongrois
•
Italien
•
Japonais
•
Latvian
•
Polonais
•
Portuguais
•
Espagnol
•
Suédois
•
Turc
Nom du produit
Versions
Commentaire
, v7, v8
Strong authentication with SSL
Navigateurs
Internet Explorer
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94
Nom du produit
Versions
Commentaire
V3.0, V3.5
Strong authentication with SSL, PIN change,
PKCS#12 file key injection
Microsoft Outlook
2003 SP1 & 2007, express
Email signature and encryption
Mozilla Thunderbird
v2.0
Email signature and encryption
Microsoft Windows CA
Server 2003/2008
Certificate enrolment and renewal
Entrust Authority
v7.1
Opentrust SCM
V4.1
Microsoft ILM
2007 FP1
Intercede MyID
8.0 SR1
Microsoft Terminal Services
Server 2003 & 2008
Smartcard logon
Citrix Xenapp Server
v4.5 & 5.0
Smartcard logon
Microsoft office
2003 SP1, 2007
Documents signature and encryption, VB macros
signing
Adobe Acrobat Reader
V8, v9
Document encryption and signature
Adobe Acrobat
V9
Document encryption and signature
Open Office
V3.0
Document signature
McAfee Endpoint Encryption
Build 5600
Preboot Authentication & Disk Encryption
WinMagic SecureDoc
4.8
Preboot Authentication & Disk Encryption
Mozilla Firefox
Email
Certification Authorities
Card Management Systems
Thin client and remote access
Office tools
Disk Encryption
 : +33 (0)4 42 36 82 50  : +33 (0)4 42 32 16 94

Presentation Fonctionnalités du Classic Client Software

Transcription

Documents pareils

RONDIN PIN TRAITE 14

FORMABANQUE FORMABANQUE SARL 146 RUE JOE DASSIN

Humbert II - Lycée Horticole et Animalier La Tour du Pin

rice s,expose a monaco

Insecticide naturel au pyrèthre végétal, très actif contre le puces

dossier de presse Fete nature

Fiche technique DVBS-28060 PARALLAX INTERFACE

Photo : initiation au packshot

BON de COMMANDE - Amicale des Clubs Citroën

GESTION COMMERCIALE Objectifs