Catégorie : Sécurité

Principes de base : contrainte de longueur de chemin (Path Length Constraint)

L'attaque de l'algorithme de signature MD5 présentée fin 2008 n'a pu être utilisé pour créer un faux certificat d'autorité de certification utilisable que parce que l'autorité de certification attaquée n'avait pas configuré de limitation de la longueur du chemin.

La limitation de la longueur du chemin est indiquée dans le RFC 5280 est décrite. L'idée est de définir la profondeur maximale de la hiérarchie des autorités de certification dans l'extension „Basic Constraints“ d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint) »

Configuration de l'attestation de clé du module TPM (Trusted Platform Module)

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. L'autorité de certification, lorsqu'elle demande un certificat ne pas vérifier explicitement si un module Trusted Platform a vraiment été utilisé.

Pour s'assurer que la clé privée d'une demande de certificat a bien été protégée par un module Trusted Platform, il ne reste donc que l'attestation de clé TPM.

Continuer la lecture de « Konfigurieren der Trusted Platform Module (TPM) Key Attestation »

Signer des certificats en contournant l'autorité de certification

Dans les discussions sur la sécurité d'une autorité de certification, on entend régulièrement qu'un abus de l'autorité de certification pourrait être endigué par ses paramètres de sécurité.

Il n'est toutefois pas évident à première vue que l'intégrité d'une autorité de certification soit directement liée à son matériel de clé et qu'elle puisse donc être compromise par ce dernier.

Il faut se représenter le logiciel d'autorité de certification comme une sorte de gestion autour du matériel clé. Le logiciel offre par exemple une Interface en ligne pour la demande de certificat s'occupe de l'authentification des demandeurs, de l'exécution automatisée des opérations de signature (délivrance de certificats et de Listes de blocage) et leur enregistrement (Base de données des organismes de certification, Protocole d'audit, Journal des événements).

Or, les opérations de signature ne nécessitent rien d'autre que la clé privée de l'autorité de certification. L'exemple suivant montre comment un attaquant peut, s'il a accès à la clé privée de l'autorité de certification, générer et émettre des certificats sans que le logiciel de l'autorité de certification et ses mécanismes de sécurité ne le sachent.

Avec un tel certificat, ce serait même possible dans le pire des cas, de reprendre la structure globale d'Active Directory sans être détecté.

Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle »

Y a-t-il une dépendance du service d'enregistrement des périphériques réseau (NDES) avec l'objet NTAuthCertificates ?

Le service d'enregistrement des appareils en réseau (NDES) dispose de deux Autorité d'enregistrement Les certificats. Avec le certificat d'agent d'inscription, les demandes de certificat sont signées et on peut Configurer le modèle d'appareil NDES de manière à ce que les certificats ne soient délivrés que si les demandes de certificats soumises comportent une signature correspondante..

Si l'on prévoit de faire appel à l'autorité de certification associée au NDES supprimer de l'objet NTAuthCertificates, La question se pose de savoir s'il faut tenir compte de l'interdépendance - après tout, le fait d'avoir des enfants ne signifie pas qu'ils n'en ont pas besoin. Enroll on Behalf Of (EOBO) (inscription à l'appui) la présence du certificat d'autorité de certification dans NTAuthCertificates.

Continuer la lecture de « Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt? »

forcer les contrôleurs de domaine (ou autres participants) à utiliser un répondeur en ligne (OCSP)

Par défaut, les systèmes Windows, même si un répondeur en ligne (OCSP) est configuré, sont envoyés à l'adresse suivante d'un certain nombre de requêtes OCSP de retomber sur une liste de blocage (si elle existe), car cela est généralement plus efficace dans un tel cas. Mais ce comportement n'est pas toujours souhaité.

Par exemple, si vous utilisez des inscriptions par carte à puce, vous voudrez peut-être savoir si des inscriptions ont été effectuées avec des certificats délivrés sans autorisation. En relation avec le déterministe Good du répondeur en ligne il est possible d'établir un rapport (presque) complet Chemin d'audit pour toutes les inscriptions par carte à puce.

Continuer la lecture de « Domänencontroller (oder andere Teilnehmer) zwingen, einen Onlineresponder (OCSP) zu verwenden »

Détails de l'événement avec ID 5127 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5127 (0x1407)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Le fournisseur de révocation OCSP a mis à jour avec succès les informations de révocation. CA Configuration ID : %1 Base CRL Number : %2 Base CRL This Update : %3 Base CRL Hash : %4 Delta CRL Number : %5 Delta CRL Indicator : %6 Delta CRL This Update : %7 Delta CRL Hash : %8
Texte de l'événement (en allemand) :Le service de réponse de l'OCSP a mis à jour avec succès les informations de verrouillage. ID de configuration de l'autorité de certification : %1 Numéro de liste de blocage de base : %2 Liste de blocage de base, cette mise à jour : %3 Hachage de la liste de blocage de base : %4 Numéro de liste de blocage delta : %5 Affichage de la liste de blocage delta : %6 Liste de blocage delta, cette mise à jour : %7 Hachage de la liste de blocage delta : %8
Continuer la lecture de « Details zum Ereignis mit ID 5127 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 5059 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5059 (0x13C3)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Key migration operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Additional Information: Operation: %9 Return Code: %10
Texte de l'événement (en allemand) :Schlüsselmigrationsvorgang. Antragsteller: Sicherheits-ID: %1 Kontoname: %2 Kontodomäne: %3 Anmelde-ID: %4 Kryptografische Parameter: Anbietername: %5 Algorithmusname: %6 Schlüsselname: %7 Schlüsseltyp: %8 Zusätzliche Informationen: Vorgang: %9 Rückgabecode: %10
Continuer la lecture de « Details zum Ereignis mit ID 5059 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 5120 de la source Audit de sécurité de Microsoft Windows

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5120 (0x1400)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Le service de réponse OCSP est lancé.
Texte de l'événement (en allemand) :Le service de réponse OCSP a été lancé.
Continuer la lecture de « Details zum Ereignis mit ID 5120 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement ID 5121 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5121 (0x1401)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :OCSP Responder Service Stopped.
Texte de l'événement (en allemand) :Le service de réponse de l'OCSP a été arrêté.
Continuer la lecture de « Details zum Ereignis mit ID 5121 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement ID 5122 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5122 (0x1402)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Une entrée de configuration a été modifiée dans le service de réponse OCSP. ID de configuration CA : %1 Nouvelle valeur : %2
Texte de l'événement (en allemand) :Une entrée de configuration a été modifiée dans le service de réponse OCSP. ID de configuration de l'autorité de certification : %1 Nouvelle valeur : %2
Continuer la lecture de « Details zum Ereignis mit ID 5122 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement ID 5123 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5123 (0x1403)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Une modification de la configuration dans le service de réponse OCSP. Nom de la propriété : %1 Nouvelle valeur : %2
Texte de l'événement (en allemand) :Une entrée de configuration a été modifiée dans le service de réponse OCSP. Nom de la propriété : %1 Nouvelle valeur : %2
Continuer la lecture de « Details zum Ereignis mit ID 5123 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 5124 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5124 (0x1404)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Un paramètre de sécurité a été mis à jour sur le service de réponse OCSP. Nouvelle valeur : %1
Texte de l'événement (en allemand) :Un paramètre de sécurité a été mis à jour pour le service de réponse OCSP. Nouvelle valeur : %1
Continuer la lecture de « Details zum Ereignis mit ID 5124 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement ID 5125 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5125 (0x1405)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Une demande a été soumise au service de réponse de l'OCSP.
Texte de l'événement (en allemand) :Une demande est transmise au service de réponse OCSP.
Continuer la lecture de « Details zum Ereignis mit ID 5125 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 5126 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5126 (0x1406)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Le certificat de signature a été automatiquement mis à jour par le service répondeur de l'OCSP. ID de configuration CA : %1 Nouveau hachage du certificat de signature : %2
Texte de l'événement (en allemand) :Le certificat de signature a été automatiquement mis à jour par le service de réponse OCSP. ID de configuration de l'autorité de certification : %1 Nouveau hachage du certificat de signature : %2
Continuer la lecture de « Details zum Ereignis mit ID 5126 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 5058 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5058 (0x13C2)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Key file operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Key File Operation Information: File Path: %9 Operation: %10 Return Code: %11
Texte de l'événement (en allemand) :Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: %1 Kontoname: %2 Kontodomäne: %3 Anmelde-ID: %4 Kryptografische Parameter: Anbietername: %5 Algorithmusname: %6 Schlüsselname: %7 Schlüsseltyp: %8 Informationen zum Schlüsseldateivorgang: Dateipfad: %9 Vorgang: %10 Rückgabecode: %11
Continuer la lecture de « Details zum Ereignis mit ID 5058 der Quelle Microsoft-Windows-Security-Auditing »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais