Novità delle PKI
in
Longhorn /Vista
|
[email protected] |
Enrollment avanzato
Ritiro dei controlli Xenroll e Scrdenrl
Xenroll espone le interfacce ICEnroll4 e IEnroll4.
Difficile usare queste interfacce monolitiche
Alti costi di manutenzione per
Microsoft per supportare Xenroll.
Clienti e CA di terze parti quando Xenroll è aggiornato
Scrdenrl espone l’interfaccia IScrdenr e si appoggia
a Xenroll
Usato sui client per implementare ‘Enroll on Behalf of’
|
[email protected] |
Enroll avanzato
Classi COM per le operazioni PKI
Gerarchia di classi ben definita
Include interfacce per:
Enrollment verso CA Microsoft (protocolli e interfacce lato server
restano le stesse)
Richieste di certificati (PKCS#10, PKCS#7 e CMC)
Chiavi pubbliche/private
Extensioni/Attributi/Proprietà dei certificati
Un sottoinsieme di funzioni usabili in web page con
script
Facili da capire e da usare per gli sviluppatori
|
[email protected] |
Auto Enrollment
Ridisegnato per
diminuire la superficie di attacco
aumentare le prestazioni del sistema operativo
disegno basato su job WMI
Maggiore usabilità in off-line
Notifica delle scadenze
|
[email protected] |
Roaming delle credenziali
Panico nell’implementazione attuale delle PKI:
Certificati e chiavi private sono associati alle macchine
Gli utenti hanno differenti certificati e di chiavi private
su macchina diverse (es. S/MIME)
Sovraccarico nella gestione delle CA
Difficoltà nella gestione di alcune operazioni per gli utenti
Soluzioni attuali
Smartcard  costose
Profili utente roaming  carico di gestione elevato
|
[email protected] |
Roaming delle credenziali
Soluzione
DIMS – Digital Identity Management Service
rilascia le tutte le credenziali replicate in Active
Directory alla macchina utente
Favorisce l’uso di applicazioni:
Posta sicura
Autenticazione dei client
Rilascio e gestione di SmartCard
|
[email protected] |
Come funziona il roaming delle credenziali
È un’estensione dei meccanismi esistenti di logon, Group
Policy e auto-enrollment
•
Utente fa logon ad un computer in dominio (es. suo desktop).
•
Applicate le GPO con impostazioni di DIMS* e di Autoenroll
•
Autoenroll distribuisce i nuovi certificati all’utente e li installa nello
store locale del PC
•
Certificati e chiavi associate sono replicate nell’oggetto User in Active
Directory (~10 s dopo l’enroll dei certificati)
•
•
Utente esegue il logon su altro PC in dominio (es. suo laptop)
Si applicano le Group Policy e DIMS replica i certificati presenti
nell’oggetto User in Active Directory (nessun intervento da parte
dell’utente)
*DIMS – Digital Identity Management Service
|
[email protected] |
Come funziona il roaming delle credenziali
Domain
Controller
(Active Directory)
Certification
Authority
Desktop utente
|
[email protected] |
Laptop utente
Come funziona il roaming delle credenziali
Crendential roaming è richiamato ogni volta che
una chiave privata o un certificato sono modificati
un utente blocca o sblocca il computer
le Group Policy sono rinnovate
Tutte le comunicazioni DIMS tra componenti locali,
o tra computer locale e Active Directory, sono
criptate e firmate digitalmente
|
[email protected] |
Come funziona il roaming delle credenziali
Il certificato deve essere rinnovato
È contattata la CA è (laptop o desktop)
È eseguito il rinnovo
I nuovi certificati e le chiavi sono replicati in AD
Quando i certificati utente scadono i vecchi
certificati sono automaticamente archiviati sia
nello storage locale che in Active Directory
|
[email protected] |
Roaming delle credenziali
Disponibilità
Lato server:
Windows 2000 Server SP3+
Windows Server 2003
Windows Server 2003 SP1 – raccomandato
Longhorn Server – integrato e raccomandato
Lato client:
Windows Server 2003 SP1
Windows Vista/ LH Server (integrato e raccomandato)
Windows XP SP3 / OOB (futuri rilasci)
|
[email protected] |
Sotto sistema per le SmartCard
Sviluppo di software semplificato
Operazioni comuni di crittazione sono gestite dalla
piattaforma
Disponibili API per i produttori di card
Esperienza utente migliorata
Programmi di test/certificazione del middleware delle
smartcard
Disponibilità su Windows Update
Supporto PnP per le Smart Cards
Logon con le SmartCard migliorato
|
Propagazione dei certificati di Root CA
Slocco delle Smart Card integrato
[email protected] |
Sottosistema per le SmartCard
Longhorn e successivi
Crypto Applications
(IE, Outlook)
Non Crypto
Applications
CNG
CAPI
Smart Card KSP
Base CSP
ECC Card Module
RSA/ECC Card
Module
SCard API
RSA Card Module
Smart Card Resource Manager
Card Reader #1
|
Card Reader #2
[email protected] |
Card Reader #3
Servizio Online Responder
Compatibile RFC 2560 Online Certificate Status Protocol
Focus su performance, scalabilità e gestibilità
Management
CRL
DCOM
OCSP Client
(CAPI 2)
HTTP
Web Proxy
Online
Responder
DCOM
Windows CA
|
[email protected] |
Supporto crittografico avanzato (CNG)
CrypoAPI Next Generation (CNG) consente
Implementazione di moduli kernel/user mode per:
Algoritmi crittografici proprietari
Sostituzione di algoritmi crittografici standard
Key Storage Provider (KSP).
Configurazione della crittografia a livello enterprise o a
livello di macchina
Compatibilità con Common Criteria e FIPS per
Strong isolation e Auditing
|
[email protected] |
Supporto crittografico avanzato (CNG)
Il Certificate Server usa CNG per :
Rilascio di certificati X.509 ECC* (ECDSA, ECDH)
Supporto delle curve P-256, P-384 e P-521
Hash SHA-2 (256, 384, 512)
Le API di enroll usano CNG con nuovi provider per la
richiesta di certificati basati su ECC
*Elliptic Curve Criptography
Chiavi di 313 bit in ECC equivalgono a chiavi di 4096 bit RSA
*Elliptic Curve Crittography
|
[email protected] |
CrypoAPI Next Generation (CNG)
|
[email protected] |
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.