Les 600 pages de cet ouvrage abordent et décrivent sous tous ses aspects la problématique de mise en oeuvre d'une IGC à l'aide de logiciels Libre et OpenSource (dont OpenSSL, OpenCA, IDX-PKI). La création et l'utilisation de certificats, dans les situations les plus diverses (messagerie, web, signature d'appliquettes Java) sont également détaillées.
Cet ouvrage intéressera ainsi un large public allant des utilisateurs aux administrateurs en n'oubliant pas les programmeurs.
Signalons enfin qu'il s'agit là d'une oeuvre originale francophone.
Bref, un "must read" ! :-)
* Tout Ce Que Vous Avez Toujours Voulu Savoir Sans Jamais Oser Le Demander
Aller plus loin
- PKI OpenSource - Déploiement et administration (158 clics)
# Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par lom (site web personnel) . Évalué à -3.
J'ai fait une demande d'achat par la boite.
Yapuka attendre...
# Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par yoho (site web personnel) . Évalué à 4.
Existe-t-il des solutions de PKI qui ne sont pas lourdes à installer ? je n'ai pas essayé OpenCA, mais IDX-PKI, c'est carrément ch**ant : on est quasiment obligé d'avoir une Redhat avec tels et tels packages perl... Sinon ça marche pas. En plus, moi, je n'ai pas envie d'Apache pour me générer et révoquer des certicicats, un simple script qui comporte les bons paramètres pour OpenSSL me servirait à le faire.
J'ai déjà développé mes propres scripts autour de OpenSSL, mais je me demandais si il n'y avait pas un projet libre un peu dans le même genre que je pourrais, pourquoi pas, soutenir.
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par lom (site web personnel) . Évalué à 2.
C'est bien vrai, ça. Sur la mailing list, ils parlaient il y a quelques temps d'un début de portage vers Debian, mais je ne crois pas que ça soit très actif, c'est dommage.
moi, je n'ai pas envie d'Apache
Ca doit pouvoir s'adapter sans trop de difficulté, je pense: tout est basé sur de scripts CGI en Perl, donc ça doit être réutilisable.
Je dis ça parce que j'ai un peu bidouillé dedans pour l'adapter à mes besoins, mais je n'ai pas essayé de squizer complètement Apache.
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par matb . Évalué à 1.
> > Redhat avec tels et tels packages perl...
>
> C'est bien vrai, ça. Sur la mailing list, ils parlaient il y a quelques temps d'un
> début de portage vers Debian, mais je ne crois pas que ça soit très actif,
> c'est dommage.
Plus de nouvelles des personnes en question. Effectivement le portage Debian
n'est pas très actif: c'est aux gens qui ont envie qu'IDX-PKI fonctionne sur Debian
de se manifester ("Every good work of software starts by scratching a
developer's personal itch." pour citer ESR), nous les aiderons comme nous
l'avons fait par le passé. Nous avons envie qu'IDX-PKI fonctionne sur Debian,
mais nous n'en n'avons pas "besoin" (puisque cela fonctionne très bien pour
nous).
--
Mathias
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par LauraDove . Évalué à 1.
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par matb . Évalué à 1.
> certicicats, un simple script qui comporte les bons paramètres pour OpenSSL
> me servirait à le faire.
Si de simples scripts peuvent suffire alors clairement IDX-PKI n'est pas pour vous,
c'est «juste pas fait pour».
--
Mathias
# Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par calandoa . Évalué à 2.
Difficiles à trouver? Faut peut être pas éxagérer non plus...
http://tirian.magd.ox.ac.uk/~nick/openssl-certs/(...)
http://www.pseudonym.org/ssl/(...)
http://raibledesigns.com/tomcat/ssl-howto.html(...)
http://www.tldp.org/HOWTO/SSL-Certificates-HOWTO/(...)
D'autre part, générer soit même ses certificats est la porte ouverte à une attaque
man in the middle...
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par yoho (site web personnel) . Évalué à 0.
[^] # MIM presque toujours possible
Posté par free2.org . Évalué à 3.
Il peut t'envoyer un faux certificat auto-signé et décrypter tes échanges avec le site ssl
Cependant à part un échange de clé sur support physique avec une personne ayant une pièce d'identité non contrefaite, il y a toujours des possibilités de man-in-the-middle car rien ne garantit que les certificats fournis avec un navigateur ou avec une distrib n'ont pas été altérés par un MIM
La mise en mémoire des certificats permet de détecter certaines attaques MIM car le navigateur (ou ssh) prévient qu'un nouveau certificat est envoyé et demande si on veut l'accepter (il faut alors se renseigner par un autre moyen sécurisé pour savoir si ce changement est normal)
[^] # Re: MIM presque toujours possible
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Par ailleurs, existe-t-il des "autorités" de certification "libres", c'est-à-dire pas des voleurs comme versign ?
[^] # Re: MIM presque toujours possible
Posté par matb . Évalué à 1.
de la mis en place d'une infrastructure structure "satisfaisante") *par an* pour ajouter
un certificat racine dans IE (et c'est sûrement encore autant pour Netscape et
Mozila). Après avoir fait ce genre d'investissement, j'imagine difficilement que l'on
puisse donner gratuitement des certificats.
--
Mathias
# Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par zozo75 . Évalué à 1.
La politique qui consiste à dire, "vous voulez une version de moins de 6 mois? Payez 150kf!" est quand même limite....
Quand on fait de l'Open Source il faut assumer le fait qu'une autre entreprise puisse faire de l'argent avec son développement ça fait partie du jeu.
Je comprends que l'on veuille faire de l'argent avec l'Open Source, mais de là à lutiliser comme un prétexte fallacieux, cest une autre histoire.
Je me demande d'ailleurs qu'elle version O'Reilly à eu l'honneur d'utiliser, la buggée spéciale Pékin ? Ou la version de prod. ? hummm ..
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par matb . Évalué à 1.
C'est tout vu: IDX-PKI est distribuée sous licence GPL.
> La politique qui consiste à dire, "vous voulez une version de moins de 6 mois?
> Payez 150kf!" est quand même limite....
Je ne sais pas d'où vous tenez ces informations, mais elles sont fausses.
Venant d'un compte anonyme créé aujourd'hui, je serais tenté de penser
que ce n'est pas innocent.
> Quand on fait de l'Open Source il faut assumer le fait qu'une autre entreprise
> puisse faire de l'argent avec son développement ça fait partie du jeu.
Il existe pleins d'entreprises qui font de l'argent avec IDX-PKI sans aucun
rapport avec IDEALX. Ce qui est regrettable c'est qu'elle contribuent plus avec
ce genre de remarques qu'avec du code et des patchs.
> Je comprends que l'on veuille faire de l'argent avec l'Open Source, mais de là
> à lutiliser comme un prétexte fallacieux, cest une autre histoire.
C'est en faisant des projets et en gagnant sa vie que l'on peut contribuer
des choses: http://idx-pki.idealx.org(...) , http://www.idealx.org/prj/samba(...) ,
http://cryptonit.org(...) , http://www.idealx.org/doc(...) , etc...
--
Mathias
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par zozo75 . Évalué à 0.
Humm..... et ?
> Je ne sais pas d'où vous tenez ces informations, mais elles sont
> fausses.
> Venant d'un compte anonyme créé aujourd'hui, je serais tenté
> de penser
> que ce n'est pas innocent.
Fausses? Dites moi de quand date la dernière version (publiée) d'IDX-PKI ?
Poumpoum.... on se connecte sur idx-pki.idealx.org et là..... tada!!
"2003/02/14 IDX-PKI v1.8.6 est publiée.". Je dois des excuses à la communauté, pas 6 mois mais 10 mois, pfffff !
Par contre qu'en est-il de la version 2.0 qui est mise en prod chez vos clients, comment se fait-il qu'elle ne soit pas publiée ????
> Il existe pleins d'entreprises qui font de l'argent avec IDX-PKI
> sans aucun
> rapport avec IDEALX. Ce qui est regrettable c'est qu'elle
> contribuent plus avec
> ce genre de remarques qu'avec du code et des patchs.
En même temps c'est dur de participer à un projet qui a 10 mois de retard entre les codes publiés et les codes de "production".
Allez, il y a tout simplement des choses qui ne sont pas défendables. A moins, bien sur, d'être de mauvaise composition.
Cordialement.
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par matb . Évalué à 1.
> Humm..... et ?
Donc IDX-PKI est un logiciel libre ou un open source selon la terminologie
qui vous plait le plus. C'est le cas pour *toutes* les versions d'IDX-PKI.
> > Je ne sais pas d'où vous tenez ces informations, mais elles sont
> > fausses.
> Fausses?
Oui, nous ne vendons pas l'accès au code d'IDX-PKI. Donc l'affirmation qu'il
existe une «politique qui consiste à dire, "vous voulez une version de moins
de 6 mois? Payez 150kf!"» est fausse.
> Par contre qu'en est-il de la version 2.0 qui est mise en prod chez vos
> clients, comment se fait-il qu'elle ne soit pas publiée ????
Parce que nous ne publions IDX-PKI que quand nous considérons que la
release est prête. Si publier une nouvelle version d'IDX-PKI prend 10
mois, croyez bien que j'en suis désolé.
> > Il existe pleins d'entreprises qui font de l'argent avec IDX-PKI
> > sans aucun rapport avec IDEALX. Ce qui est regrettable c'est qu'elle
> > contribuent plus avec ce genre de remarques qu'avec du code et des
> > patchs.
> En même temps c'est dur de participer à un projet qui a 10 mois de retard
> entre les codes publiés et les codes de "production".
Ce n'était pas le cas il y a 10 mois.
> Allez, il y a tout simplement des choses qui ne sont pas défendables. A moins,
> bien sur, d'être de mauvaise composition.
"La critique est facile mais l'art est difficile": Je travaille chez IDEALX. J'y
contribue à l'Open Source (projet IDEALX et contributions à d'autres projets).
Nos projets clients participe à crédibiliser l'Open Source et nous permettent
de continuer. Et c'est pareil pour toutes les sociétés qui participe vraiment à
l'Open Source.
Maintenant est-ce que vous pensez que l'Open Source se porterait mieux
sans les contributions des ces sociétés Open Source qui selon vos critères
ne sont pas défendable (elles ne publient pas tout, tout de suite) ? RedHat,
SuSE, Ximian, TheKompany, Postgres, MySQL, etc.... (parmi ceux pour qui
l'Open Source n'est pas l'activité principale, il y a sinon IBM, HP, Sun,
Novell...).
--
Mathias
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par LauraDove . Évalué à 1.
> ? Poumpoum.... on se connecte sur idx-pki.idealx.org et là..... tada!!
> "2003/02/14 IDX-PKI v1.8.6 est publiée.". Je dois des excuses à la
> communauté, pas 6 mois mais 10 mois, pfffff !
> Par contre qu'en est-il de la version 2.0 qui est mise en prod chez vos
> clients, comment se fait-il qu'elle ne soit pas publiée ????
Tu es à la fois impressionnamment bien et mal renseigné pour croire qu'il existe "une" version 2.0 mise en prod chez nos clients. Il existe des versions clients qui tournent, indubitablement, mais aucune "HEAD" générique qui soit suffisamment stable pour être publiée. Parce que figure-toi que pour avoir quelque chose de stable digne d'être publié (c'est-à-dire, je le répète, GÉNÉRIQUE), ça prend du temps. Et que non, ce temps-là on ne l'a pas en ce moment (mais si tu veux venir bosser 50 heures par semaine à Idealx avec nous, surtout n'hésite pas).
Au fait, de quand date la Debian Woody alias stable, déjà? Oserais-tu prétendre que Debian n'est pas libre parce que les seules versions de moins de deux ans sont disponibles, certes, mais truffées de bugs??
Et pourtant, il y a des points qu'on peut vraiment vouloir reprocher à la version publiée d'IDX-PKI, même sans être d'une mauvaise foi manifeste. En particulier, elle est forcément mono-machine, ce qui en fait un pauvre générateur de certificats et non une vraie PKI avec toute la sécurité qu'on peut attendre. Ceci dit, si on compare à Openssl à la main...
PS: Ces propos n'expriment que mon opinion personnelle et pas celle d'Idealx.
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par saiatwork . Évalué à 1.
Comme l'a dit Mathias, c'est tout vu.
Depuis 4 ans, IDEALX n'a jamais cessé de créer du code libre.
> "vous voulez une version de moins de 6 mois? Payez 150kf!"
C'est 150 KE qu'il faut payer, pas 150KF ;-))
>Je comprends que l'on veuille faire de l'argent avec l'Open Source, mais de là à lutiliser comme un prétexte fallacieux, cest une autre histoire.
Je suis Sébastien Abdi et je dirige l'équipe qui conçoit et développe IDX-PKI. Je bosse chez IDEALX depuis sa création et toute l'équipe travaille d'arrache-pied pour produire un code libre capable de battre à plate-couture les "solutions" propriétaires hors de prix. Nous avons, par nos travaux, divisé le prix des PKI par 10 (au moins) et aujourd'hui, de nombreuses entreprises et administrations ont pu s'équiper grâce à nous.
Notre engagement envers IDEALX et le Libre va bien au-delà de nos contrats de travail respectifs.
Alors, si vous daignez vous identifier, monsieur zozo75, je me ferai une joie débattre avec vous des règles du jeu de l'Open Source que vous semblez si bien connaître.
Sinon, allez donc fabriquer du logiciel libre utile et efficace et revenez nous expliquer la vie ensuite.
Jaloux, va !
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par sniffdoz . Évalué à 1.
>Je suis Sébastien Abdi et je dirige l'équipe qui conçoit et développe >IDX-PKI. Je bosse chez IDEALX depuis sa création et toute l'équipe >travaille d'arrache-pied pour produire un code libre capable de battre >à plate-couture les "solutions" propriétaires hors de prix.
Cela va demander encore beaucoup et beaucoup de travail. la plupart des standards IETF n'existent pas dans votre PKI. Car comme vous le savez certainement, l'utilisation du Web (navigateur) ne permet pas de répondre au besoin définit dans le RFC3280. Vous faites trop souvent croire aux gens que vous êtes "conforme" PKIX. ce qui est totalement faux. Il suffit d'auditer votre PKI. Donc mon premier grief, de l'Opensource oui, mais avec honnêteté. Ne faites pas du Microsoft.
De plus, la plupart des solution propirétaire s'oriente vers des environnments J2EE, avec XKMS par exemple. Comment faire un tournant avec une solution aussi lourde, qui demande des modification de fous pour s'adapter à la moindre contraintes d'un client.
ensuite, une PKI ce n'est simplement émettre et révoquer des certificats. Il faut un gestionnaire de droits, un serveur OSCP, un serveur de validation (SCVP, DPV, ...) pour utiliser les certificats. il faut aussi adapter chaque PKI au besoin en terme de certificats, cycle de vie. Je ne vois aucune solution Opensource qui puisse offrir cela pour l'instant. Donc IDXPKI c'est encore beaucoup de travail.
> Nous avons, >par nos travaux, divisé le prix des PKI par 10 (au >moins) et >aujourd'hui, de nombreuses entreprises et >administrations ont pu >s'équiper grâce à nous.
vous n'êtes pas les seuls sur le marché me semble t'il qui fournissait des tarifs comme cela, pour infos il existe des PKI propriétaire moins chères que la votre. Ensuite, ce n'est pas le produit qui induit sur les couts. Car je vous le rappel la règle du ROI des PKI 80-20. 80% de conseil (organisation, procédure, juridique, etc) et 20% de techniques. Mais, je l'avoue l'introduction de idxpki sur le marché à obligé les solutions propriétaires à casser les prix. Mais actuellement tout le monde s'aligne sur le même prix de base. Environ 90k en entrée de gamme. Mais ne trouvez vous pas cela encore excessif pour une PKI ?
une question, savez vous combien d'administration utilise votre PKI par rapport aux nombres d'Appel d'offre émis sur le sujet en 2002 et 2003 ?
le chiffre est quasiment nul, ne prenez pas toute la couverture.
pensez vous réellement que si idxpki n'existait pas, les administrations ne sauraient pas équiper de PKI ? c'est un besoin qui existe actuellement, vous avez eu la chance d'être la au bon moment. Ou simplement, l'initiateur de ce projet au sein de Idealx avait une bonne vision de l'avenir...
>Sinon, allez donc fabriquer du logiciel libre utile et efficace et >revenez nous expliquer la vie ensuite.
efficacité on attend toujours, un produit propriétaire adapte et modifie son produit environ tous les 3 mois. Pour répondre essentiellement au mouvement des standards et des besoins clients.
sinon, comparer debian et idxpki, c'est gens ne sont pas payés par une société pour faire cela. ensuite comparer une distribution comportant des milliers de paquets et un soft de 2Mo...
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par BenoitPicaud . Évalué à 1.
Je suis Benoit Picaud et je travaille aussi sur IDX-PKI.
> (...) Vous faites trop souvent croire aux gens que vous êtes "conforme" PKIX...
Votre réflexion m'incite à croire que vous pensez qu'on ne peut utiliser des certificats qu'avec un navigateur. Ce qui est faux. Par ailleurs la conformité aux RFCs est une volonté, un effort: comprenez par exemple que les travaux de normalisation ne sont jamais terminés ! le Groupe PKIX discute encore beaucoup. Je rejoins donc votre avis: il y a donc toujours du travail. Mais dire «IDX-PKI est conforme aux standards» est juste.
> vers des environnments J2EE...
nous avons adopté une structure beaucoup plus souple, plus efficace et plus agréable, fondée sur Perl. Pour plus d'info, RTFS :-).
> la règle du ROI des PKI 80-20. 80% de conseil (...) 20% de techniques.
Ce ratio est discutable et est souvent cité par des gens qui tentent de vendre (très cher) du conseil en PKI. Sans ignorer les grandes décisions structurantes dont une PKI doit rendre compte, je ne pense pas que les banalités usuelles qu'on peut lire sur les PKI soient justes. D'ailleurs, le livre d'O'Reilly en fait abondamment mention (et hop, in-topic !).
> Mais ne trouvez vous pas cela encore excessif pour une PKI ?
Pour du logiciel, toujours trop ! Par contre, pour du conseil, du développement, de la documentation, de l'adaptation à l'existant, ca peut largement se justifier, et même bien davantage. Cela dépend des projets. Il existe des projets PKI («pilote») bien plus légers (dans les 10-15jh) comme des bien plus lourds (plusieurs 100aines de jh).
> pensez vous réellement que si idxpki n'existait pas, les administrations
> ne sauraient pas équiper de PKI ?
Si. Plus cher. Moins fonctionnel. Moins conforme. Moins interopérable. Je vous invite à examiner les résultats des premières PKI propriétaires de certains grands ministères français. Nous espérons contribuer à faire vraiment mieux, pour vraiment moins cher.
IDX-PKI évolue régulièrement et nos clients profitent de ces évolutions. Les release publiques ont lieu quand on estime qu'un repackaging cohérent et publique est possible.
> l'initiateur de ce projet ...
Hmmm. Ah. Je vois. Là, ca va finir par se voir, tu sais ? :-)
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par sniffdoz . Évalué à 1.
Je ne tiens pas à rentrer dans le débat, car idxpki a le mérite d'exister et pour l'instant, il n'y a guère d'alternative.
Un jour peut-être :)
Tous les arguments sont discutables : standards (voir le PoP avec un IE), Perl plus souple que J2EE (je vois déjà le débat :), pas de respect du 80-20%, trop de projets à la poubelle et nous savons tous de quoi nous parlons.
Je suis actuellement en bonne position, je connais plusieurs projets qui prennent actuellement la direction de la poubelle. Absence de définition, d'organisation, ...
Comme tu sais qui je suis, pas nécessité à signer et de plus ma position au sein de l'administration ne me le permet pas.
Mon premier courrier avait pour objectif de rectifier le côté négatif de certains et de calmer les ardeurs marketing d'autres.
Sur ce, je ne souhaite pas rentrer dans le concours de qui aura le dernier mot.
Je te salue et te souhaite bonne chance.
De manière informel, une petit bouffe ne nous ferais pas de mal.
[^] # Re: PKI OpenSource : TCQVATVSSJOLD*
Posté par saiatwork . Évalué à 1.
(enfin, nous, parceque tous les autres lecteurs t'attendent toujours et passer de zozo75 à sniffdoz n'arrange rien...)
Comme rien de ce que tu dis n'a de sens, je ne répondrais pas.
Par contre, je me vois contraint de préciser que tu n'as _aucune_ position au sein de l'administration.
Tu bosses en régie pour une SSII et tu mène une étude au sein d'une direction d'un Ministère.
C'est pas exactement la même chose.
Si tu avais la moindre compréhension de ce qu'est le devoir de réserve, je ne serais pas en train de te répondre.
Pour le reste, je te conseille l'excellent bouquin d'O'reilly sur la PKI Open Source (surtour le chapitre 10 : "IDX-PKI" ;-))
Et viens nous dire après qu'O'reilly est un vendu....
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.