SuiteB est un ensemble d'algorithmes de chiffrement normalisés par la NSA (National Security Agency) pour permettre à des produits commerciaux de protéger le trafic classé secret ou top secret. Les algorithmes SuiteB permettent de sécuriser les informations classées secrètes et non confidentielles qui sont transmises par le biais de réseaux publics.
REMARQUE :la norme SuiteB est sujette à modification. Notez que la NSA peut modifier ses recommandations à l'avenir. La prise en charge de SuiteB dans eDirectory est basée sur notre interprétation des recommandations de la NSA.
SuiteB inclut les algorithmes de chiffrement suivants :
Chiffrement basé sur la norme AES (Advanced Encryption Standard) à l'aide de clés de 128 ou 256 bits
Signatures numériques avec l'algorithme de signature ECDSA (Elliptic Curve Digital Signature Algorithm) sur les courbes P-256 et P-384
Échange de clés pré-partagées ou dynamiques à l'aide de la méthode ECDH (Elliptic Curve Diffie-Hellman) sur les courbes P-256 et P-384
Hachage (empreinte numérique) sur la base de l'algorithme Secure Hash Algorithm-2 (SHA-256 et SHA-384)
Pour plus d'informations sur SuiteB, reportez-vous à la section relative à la technologie de chiffrement SuiteB sur le site Web de la NSA.
eDirectory permet de configurer séparément les modules suivants en mode SuiteB :
|
Module |
Description |
|---|---|
|
NPKI (NetIQ Certificate Server) |
Certificate Server propose des services de cryptographie à clé publique intégrés nativement dans eDirectory, qui permettent de créer, d'émettre et de gérer des certificats utilisateur et de serveur. Ces services permettent de protéger les transmissions de données confidentielles sur des canaux de communication publics tels qu'Internet. Lorsqu'il est configuré en mode SuiteB, Certificate Server respecte la convention RFC 5759 qui spécifie le profil de base pour les certificats et la liste de révocation de certificats SuiteB. Pour plus d'informations, reportez-vous à la Section 16.1.1, Activation de SuiteB dans Certificate Server. |
|
Services LDAP et HTTP |
Le service LDAP est une application serveur qui permet aux clients LDAP d'accéder aux informations stockées dans eDirectory. eDirectory fournit des fonctionnalités multi plate-formes de surveillance et de diagnostic pour tous les serveurs de votre arborescence eDirectory qui utilisent le service HTTP. Lorsqu'ils sont configurés en mode SuiteB, ces services prennent en charge les certificats ECDSA et appliquent l'utilisation des Ciphers TLS 1.2 et SuiteB, comme spécifié dans le fichier RFC 6460. Pour plus d'informations, reportez-vous à la Section 16.1.2, Configuration des services LDAP et HTTP pour qu'ils utilisent les certificats ECDSA et les Ciphers SuiteB. |
|
NICI |
NICI est un module cryptographique qui fournit des clés, des algorithmes, différents mécanismes de stockage et d'utilisation de clés, ainsi qu'un système de gestion des clés à grande échelle. Pour aider les applications à stocker et à transférer des données et des clés en toute sécurité, NICI fournit trois types de clés, à savoir une clé de stockage de clé, une clé SDI (Security Domain Infrastructure) NICI et une clé de session. Lorsqu'un serveur est configuré en mode SuiteB, NICI sécurise les données sensibles de l'arborescence (par exemple, les mots de passe et les données des réponses de stimulations) en utilisant les clés AES 256 bits . En cas de mise à niveau vers NICI 3.0, les clés de stockage de clé et de session sont automatiquement recréées pour respecter les exigences de SuiteB. eDirectory utilise la clé SDI NICI, également appelée clé d'arborescence, pour chiffrer les clés qui chiffrent les données stockées localement ou à distance qui permettent aux serveurs de l'arborescence de décoder la clé. Les données restent sécurisées conjointement avec les droits eDirectory. La clé d'arborescence est disponible pour tous les serveurs de l'arborescence. Pour accéder aux mêmes données, les différents serveurs utilisent la même clé SDI NICI. C'est la raison pour laquelle cette clé n'est pas créée automatiquement lors de l'installation de NICI 3.0. Cette clé doit être créée manuellement. Pour plus d'informations, reportez-vous à la Section 16.1.3, Création d'une clé SDI AES 256 bits. |
|
Mécanisme d'authentification en arrière-plan |
NICI fournit un mécanisme d'authentification en arrière-plan basé sur les standards reposant sur TLS 1.2 pour l'authentification Single Sign-on avec eDirectory. Pour plus d'informations, reportez-vous à la Section 16.1.4, Activation de l'authentification en arrière-plan. |
Les sections suivantes expliquent comment configurer les modules eDirectory en mode SuiteB :