ISO/IEC 9594-8:1995
(Main)Information technology — Open Systems Interconnection — The Directory: Authentication framework
Information technology — Open Systems Interconnection — The Directory: Authentication framework
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — L'Annuaire: Cadre d'authentification
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL lSO/IEC
STANDARD 9594-8
Second edition
1995-09-15
Information technology - Open Systems
Interconnection - The Directory:
Authentication framework
Technologies de I ’informa tion - Interconnexion de systemes ouverts
(OS/) - L ‘Annuaire: Cadre g&Wal d ’authentification
Reference number
ISO/l EC 95948: 1995(E)
---------------------- Page: 1 ----------------------
ISO/IEC 9594-8: 1995(E)
Contents
Page
1
.........................................................................................................................................
SECTION 1 - GENERAL
1
1 Scope .
2
2 Normative references .
2.1 . 2
Identical Recommendations I International Standards
.......................... 2
2.2 Paired Recommendations I International Standards equivalent in technical content
3
3 Definitions .
...................................................................... 3
3.1 OS1 Reference Model security architecture definitions
3
3.2 Directory model definitions .
3
3.3 Authentication framework definitions .
4
4 Abbreviations .
4
....................................................................................................................................................
5 Conventions
5
.........................................................................................................
SECTION 2 - SIMPLE AUTHENTICATION
5
Simple authentication procedure .
6
6
................................................................................
6.1 Generation of protected identifying information
.................................................................................... 7
6.2 Procedure for protected simple authentication
8
6.3 User Password attribute type .
....................................................................................................... 8
SECTION 3 - STRONG AUTHENTICATION
8
7 Basis of strong authentication .
9
8 Obtaining a user ’s public key .
........................................... 11
8.1 Optimization of the amount of information obtained from the Directory
11
8.2 Example .
13
9 Digital signatures .
15
...................................................................................................................
10 Strong authentication procedures
15
10.1 Overview .
15
10.2 One-way authentication .
16
10.3 Two-way authentication .
17
....................................................................................................................
10.4 Three-way authentication
17
.............................................................................................................
11 Management of keys and certificates
17
.......................................................................................................................
11.1 Generation of key pairs
18
.................................................................................................................
11.2 Management of certificates
o ISOAEC 1995
All rights reserved. Unless otherwise specified, no part of this publication may be
reproduced or utilized in any form or by any means, electronie or mechanical, including
photocopying and microfilm, without Permission in writing from the publisher.
ISO/IEC Copyright Office * Case postale 56 l CH- 12 Pl Geneve 20 8 Switzerland
Printed in Switzerland
ii
---------------------- Page: 2 ----------------------
0 ISO/IEC
ISO/IEC 9594-8: 1995(E)
Annex A - Authentication Framework in ASN. 1 .
20
Annex B - Security requirements .
23
Annex C - An introduction to public key cryptography .
26
Annex D - The RSA Public Key Cryptosystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
Annex E - Hash functions .
31
Annex F - Threats protected against by the strong authentication method
............................................................... 32
Annex G - Data confidentiality . 33
Annex H - Reference definition of algorithm Object identifiers . 34
Annex J - Amendments and corrigenda . 35
. . .
111
---------------------- Page: 3 ----------------------
ISO/IEC 9594-8: 1995(E)
o ISO/IEC
Foreword
ISO (the International Organization for Standardization) and IEC (the Inter-
national Electrotechnical Commission) form the specialized System for worldwide
standardization. National bodies that are members of ISO or IEC participate in the
development of International Standards through technical committees established
by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with
ISO and IEC, also take part in the work.
In the field of information technology, ISO and IEC have established a joint
technical committee, ISO/IEC JTC 1. Draft International Standards adopted by the
joint technical committee are circulated to national bodies for voting. Publication
as an International Standard requires approval by at least 75 % of the national
bodies casting a vote.
International Standard ISO/IEC 9594-8 was prepared by Joint Technical
Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 21, Open
Systems interconnection, data management and open distributed processing, in
collaboration with ITU-T. The identical text is published as ITU-T
Recommendation X.509.
Implernentors should note that a defect resolution process exists and that correc-
tions may be applied to this part of ISO/IEC 9594 in the form of technical corri-
genda. A list of approved technical corrigenda for this part of ISO/IEC 9594 tan
be obtained from the subcommittee secretariat. Published technical corrigenda are
available from your national Standards organization.
This second edition technically revises and enhances ISO/IEC 9594-8:1990. It
also incorporates technical corrigendum 1: 199 1. Implernentations may still Claim
conformance to the first edition of this part of ISO/IEC 9594. However, at some
Point, the first edition will no longer be supported (i.e. reported defects will no
longer be resolved). It is recommended that implernentations conform to this
second edition as soon as possible.
ISOIIEC 9594 consists of the following Parts, under the general title Information
technology - Open Systems Znterconnection - The Directory:
Part 1: Overview of concepts, models and Services
- Part 2: Madels
Part 3: Abstract Service definition
- Part 4: Procedures for distributed Operation
- Part 5: Protocol specifications
Part 6: Selected attribute types
- Part 7: Selected Object classes
- Part 6: Authentication framework
- Part 9: Replication
Annex A forms an integral part of this part of ISO/IEC 9594. Annexes B to J are
for information only.
---------------------- Page: 4 ----------------------
o ISO/IEC
ISO/IEC 9594-8: 1995(E)
Introduction
This Recommendation I International Standard, together with other Recommendations I International Standards, has been
produced to facilitate the interconnection of information processing Systems to provide directory Services. A set of such
Systems, together with the directory information which they hold, tan be viewed as an integrated whole, called the
Directory. The information held by the Directory, collectively known as the Directory Information Base (DIB), is
typically used to facilitate communication between, with or about objects such as application-entities, People, terminals
and distribution lists.
The Directory plays a significant role in Open Systems Interconnection, whose aim is to allow, with a minimum of
technical agreement outside of the interconnection Standards themselves, the interconnection of information processing
Systems:
-
from different manufacturers;
-
under different managements;
-
of different levels of complexity; and
of different ages.
Many applications have requirements for security to protect against threats to the communication of information. Some
commonly known threats, together with the security Services and mechanisms that tan be used to protect against them,
are briefly described in Annex B. Virtually all security Services are dependent upon the identities of the communicating
Parties being reliably known, i.e. authentication.
This Recommendation I International Standard defines a framework for the Provision of authentication Services by the
Directory to its users. These users include the Directory itself, as well as other applications and Services. The Directory
tan usefully be involved in meeting their needs for authentication and other security Services because it is a natura1 place
from which communicating Parties tan obtain authentication information of each other - knowledge which is the basis
of authentication. The Directory is a natura1 place because it holds other information which is required for
communication and obtained Prior to communication taking place. Obtaining the authentication information of a
potential communication Partner from the Directory is, with this approach, similar to obtaining an address. Owing to the
wide resch of the Directory for communications purposes, it is expected that this authentication framework will be
widely used by a range of applications.
This second edition technically revises and enhances, but does not replace, the first edition of this Recommendation I
International Standard. Implernentations may still Claim conformance to the first edition.
This second edition specifies version 1 of the Directory Service and protocols. The first edition also specifies version 1.
Differentes between the Services and between the protocols defined in the two editions are accommodated using the
rules of extensibility defined in this edition of X.519 I ISO/IEC 9594-5.
Annex A, which is an integral part of this Recommendation I International Standard, provides the ASN.l module which
contains all of the definitions associated with the authentication framework.
Annex B, which is not an integral part of this Recommendation I International Standard, describes security requirements.
Annex C, which is not an integral part of this Recommendation I International Standard, is an introduction to public key
cryptography .
Annex D, which is not an integral part of this Recommendation I International Standard, describes the RSA Public Key
Cryptosystem.
Annex E, which is not an integral part of this Recommendation I International Standard, describes hash functions.
Annex F, which is not an integral part of this Recommendation I International Standard, describes threats protected
against by the strong authentication method.
Annex G, which is not an integral part of this Recommendation I International Standard, describes data confidentiality.
Annex H, which is an integral part of this Recommendation I International Standard ., defines Object identifiers assigned
to authentication and encryption algori .thms, in the absence of a formal register.
of this Recommendation I International Standard, lists the amendments defect
Annex J, which is not an integral part
reports that have been form this edition of this Recommendation I International Standard.
incorporated to
---------------------- Page: 5 ----------------------
This page intentionally left blank
---------------------- Page: 6 ----------------------
ISO/IEC 9594-8 : 1995 (E)
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
INFORMATION TECHNOLOGY - OPEN SYSTEMS INTERCONNECTION -
THE DIRECTORY: AUTHENTICATION FRAMEWORK
SECTION 1 - GENERAL
1
Scope
This Recommendation I International Standard:
-
specifies the form of authentication information held by the Directory;
describes how authentication information may be obtained from the Directory;
states the assumptions made about how authentication information is formed and placed in the Directory;
-
information
defines three ways in which applications may use this authentication to perform
authentication and describes how other security Services may be supported by au thentication.
This Recommendation I International Standard describes two levels of authentication: simple authentication, using a
password as a verification of claimed identity; and strong authentication, involving credentials formed using
cryptographic techniques. While simple authentication offers some limited protection against unauthorized access, only
strong authentication should be used as the basis for providing secure Services. It is not intended to establish this as a
general framework for authentication, but it tan be of general use for applications which consider these techniques
adequate.
Authentication (and other security Services) tan only be provided within the context of a defined security policy. It is a
matter for users of an application to define their own security policy which may be constrained by the Services provided
by a Standard.
It is a matter for Standards defining applications which use the authentication framework to specify the protocol
exchanges which need to be performed in Order to achieve authentication based upon the authentication information
obtained from the Directory. The protocol used by applications to obtain credentials from the Directory is the Directory
Access Protocol (DAP), specified in ITU-T Recommendation X.519 I ISO/IEC 9594-5.
The strong authentication method specified in this Recommendation I International Standard is based upon public-key
cryptosystems. It is a major advantage of such Systems that user certificates may be held within the Directory as
attributes, and may be freely communicated within the Directory System and obtained by users of the Directory in the
same manner as other Directory information. The user certificates are assumed to be formed by “Off-1ine” means, and
placed in the Directory by their creator. The generation of user certificates is performed by some off-line Certification
Authority which is completely separate from the DSAs in the Directory. In particular, no special requirements are placed
upon Directory providers to store or communicate user certificates in a secure manner.
A brief introduction to public-key cryptography tan be found in Annex C.
In general, the authentication framework is not dependent on the use of a particular cryptographic algorithm, provided it
has the properties described in 7.1. Potentially a number of different algorithms may be used. However, two users
wishing to authenticate shall support the same cryptographic algorithm for authentication to be performed correctly.
Thus, within the context of a set of related applications, the choice of a Single algorithm will serve to maximize the
community of users able to authenticate and communicate securely. One example of a public key cryptographic
algorithm tan be found in Annex D.
Similarly, two users wishing to authenticate shall support the same hash function [see 3.3f)] (used in forming credentials
and authentication tokens). Again, in principle, a number of alternative hash functions could be used, at the tost of
narrowing the communities of users able to authenticate. A brief introduction to hash functions tan be found in Annex E.
ITU-T Rec. X.509 (1993 E) 1
---------------------- Page: 7 ----------------------
ISO/IEC 9594-8 : 1995 (E)
2 Normative references
The following Recommendations and International Standards contain provisions which, through reference in this text,
constitute provisions of this Recommendation I International Standard part. At the time of publication, the editions
indicated were valid. All Recommendations and Standards are subject to revision, and Parties to agreements based on
this Recommendation I International Standard are encouraged to investigate the possibility of applying the most recent
editions of the Recommendations and Standards listed below. Members of IEC and ISO maintain registers of currently
valid International Standards. The Telecommunication Standardization Bureau of the ITU maintains a list of currently
valid ITU-T Recommendations.
21 . Identical Recommendations I International Standards
-
ITU-T Recommendation X.500 (1993) I ISO/IEC 9594-1: 1995, Information Technology - Open Systems
The Directory: Overview of concepts, models and Services.
Interconnection -
-
ITU-T Recommendation X.501 (1993) I ISO/IEC 9594-2:1995, Information Technology - Open Systems
Interconnection - The Directory: Madels.
-
ITU-T Recommendation X.5 11 (1993) D ISO/IEC 9594-3: 1995, Information Technology - Open Systems
- The Directory: Abstract Service definition.
Interconnection
-
ITU-T Recommendation X.5 18 (1993) I ISO/IEC 9594-4: 1995, Information Technology - Open Systems
Interconnection - The Directory: Procedures for distributed Operation.
-
ITU-T Recommendation X.519 (1993) I ISO/IEC 9594-5:1995, Information TechnoZogy - Open Systems
Interconnection - The Directory: Protocol specifications.
-
ITU-T Recommendation X.520 (1993) I ISO/IEC 9594-6:1995, Information Technology - Open Systems
Interconnection - The Directory: Selected attribute types.
-
ITU-T Recommendation X.521 (1993) I ISO/IEC 9594-7: 1995, Information Technology - Open Systems
Interconnection - The Directory: Selected Object classes.
-
ITU-T Recommendation X.525 (1993) I ISO/IEC 9594-9: 1995, Information TechnoZogy - Open Systems
Interconnection - The Directory: Replication
-
ITU-T Recommendation X.680 (1994) I ISOLIEC 8824-1:1995, Information Technology - Abstract
Syntax Notation One (ASN.1): Specijkation of basic notation.
-
ITU-T Recommendation X.681 (1994) I ISO/IEC 8824-2: 1995, Information Technology - Abstract
Syntax Notation One (ASN. 1): Information Object specijkation.
-
ITU-T Recommendation X.682 (1994) I ISO/IEC 8824-3:1995, Information Technology - Abstract
Syntax Notation One (ASN.1): Constraint specification.
-
ITU-T Recommendation X.683 (1994) I ISOLIEC 8824-4:1995, Information Technology - Abstract
Syntax Notation One (ASN. 1): Parameterkation of ASN. I specifications.
-
ITU-T Recommendation X.690 (1994) I ISOLIEC 8825-1: 1995, Information Technology - ASNJ
encoding rules: Specification of Basic Encoding RuZes (BER), Canonical Encoding RuZes (CER) and
Distinguished Encoding RuZes (DER).
-
ITU-T Recommendation X.880 (1994) I ISOLIEC 137 12-1: 1995, Information technology - Remote
Operations: Concepts, model and notation.
-
ITU-T Recommendation X.881 (1994) I ISO/IEC 137 12-2: 1995, Information technology - Remote
Remote Operations Service Element (ROSE) Service definition.
Operations: OSI realkations -
22 . Paired Recommendations I International Standards equivalent in technical content
-
CCITT Recommendation X.800 (199 l), Security Architecture for Open Systems Interconnection for
CCI;TiT Applications.
-
Open Systems Interconnection - Basic Reference
ISO 7498-2: 1989, Information processing Systems -
Model - Part 2: Security Architecture.
ITU-T Rec. X.509 (1993 E)
2
---------------------- Page: 8 ----------------------
ISO/IEC 9594-8 : 1995 (E)
3 Definitions
For the purposes of this ITU-T Recommendation I International Standard, the following definitions apply.
31 .
OS1 Reference Model security architecture definitions
The following terms are defined in CCITT Rec. X.800 I ISO 7498-2:
asymmetric (encipherment);
a>
authentication exchange;
W
authentication information;
C>
d) confidentiality ;
credentials;
e>
f-l qYptogrq@;
g) data origin authentication;
h) decipherment;
encipherment;
0
key;
J)
k) password;
1) peer-entity authentication;
m) symmetric (encipherment).
32 . Directory model definitions
The following terms are defined in ITU-T Rec. X.501 l ISOLIEC 9594-2:
attribute;
a>
b) Directov Information Base;
c) Directory Information Tree;
d) Directory System Agent;
Directory User Agent;
e)
f> distinguished name;
g) entry;
h) Object;
root.
0
33 . Authentication framework definitions
The following terms are defined in this Recommendation I International Standard:
3.3.1 authentication token (token): Information conveyed during a strong authentication exchange, which tan be
used to authenticate its sender.
3.3.2 user certif ’icate; certificate: The public keys of a User, together with some other information, rendered
unforgeable by encipherment with the private key of the certification authority which issued it.
3.3.3 certification authority: An authority trusted by one or more users to create and assign certificates. Optionally
the certification authority may create the users’ keys.
3.3.4 certification path: An ordered sequence of certificates of objects in the DIT which, together with the public
key of the initial Object in the path, tan be processed to obtain that of the final Object in the path.
3.3.5 cryptographic System, cryptosystem: A collection of transformations from plain text into ciphertext and vice
versa, the particular transformation to be used being selected by keys. The transformations are normally defined by a
mathematical algorithm.
ITU-T Rec. X.509 (1993 E) 3
---------------------- Page: 9 ----------------------
ISO/IEC 9594-8 : 1995 (E)
3.3.6 hash function: A (mathematical) function which maps values from a large (possibly very large) domain into a
smaller range. A “good” hash function is such that the results of applying the function to a (large) set of values in the
domain will be evenly distributed (and apparently at random) over the range.
3.3.7 one-way function: A (mathematical) function f which is easy to compute, but which for a general value y in
the range, it is computationally difficult to find a value x in the domain such that f(x) = y. There may be a few values y
for which finding x is not computationally difficult.
3.3.8 public key: (In a public key cryptosystem) that key of a user ’s key pair which is publicly known.
cryptosystem) that key of a user ’s key pair which iS
3.3.9 private key; secret (deprecated): (In a public key
keY
known only by that User.
3.3.10 simple authentication: Authentication by means of simple password arrangements.
3.3.11 security policy: The set of rules laid down by the security authority governing the use and Provision of
security Services and facilities.
3.3.12 strong authentication: Authentication by means of cryptographically derived credentials.
3.3.13 trust: Generally, an entity tan be said to “trust” a second entity when it (the first entity) makes the assumption
that the second entity will behave exactly as the first entity expects. This trust may apply only for some specific function.
The key role of trust in the authentication framework is to describe the relationship between an authenticating entity and
a certification authority; an authenticating entity shall be certain that it tan trust the certification authority to create only
valid and reliable certificates.
3.3.14 certificate serial number: An integer value, unique within the issuing CA, which is unambiguously
associated with a certificate issued by that CA.
Abbreviations
4
For the purposes of this ITU-T Recommendation I International Standard, the following abbreviations apply:
CA Certification Authority
Directory Information Base
DIB
DIT Directory Information Tree
DSA Directory System Agent
DUA Directory User Agent
PIKS Public key cryptosystem
5 Conventions
has been prepared according to the “Presentation of
With minor exceptions this Directory Specification
ITU-TS/ISO/IEC common text” guidelines in the Guide for ITU-TS and ISOLIEC JTC 1 Cooperation, March 1993.
“this Directory Specification ”) shall be taken to mean ITU-T Rec. X.509 I
The term “Directory Specification” (as in
ISO/IEC 9594-8. The term “Directory Specifications” shall be taken to mean the X.SOO-Series Recommendations and all
parts of ISO/IEC 9594.
This Directory Specification uses the term “1988 edition Systems” to refer to Systems conforming to the previous (1988)
edition of the Directory Specifications, i.e. the 1988 edition of the series of CCITT X.500 Recommendations and the
ISO/IEC 9594: 1990 edition. Systems conforming to the current Directory Specifications are referred to as “1993 edition
Systems ”.
or letters), then the items shall be considered Steps in a
If the items in a list are numbered (as opposed to using “-”
procedure.
ITU-T Rec. X.509 (1993 E)
4
---------------------- Page: 10 ----------------------
ISO/IEC 9594-8 : 1995 (E)
The notation used in this Directorv Sbecification is defined in Table 1 below.
Table 1 - Notation
Meaning
Notation
Public key of a user X.
XP
xs Private key of X.
Encipherment of some information, 1, using the public key of X.
XPVI
Encipherment of 1 using the private key of X.
Jwl
The signing of 1 by user X. It consists of 1 with an enciphered summary appended.
W)
A certification authority of user X.
CA(X)
CA ”(X) (Where n>l): CA(CA(.n times.(X)))
XI “X2” The certificate of user X2 issued by certification authority XI.
x 1 “X2” xpxp A chain of certificates (tan be of arbitrary length), where each item is the certificate for the
certification authority which produced the next. It is functionally equivalent to the following
certificate XI “Xn+t ». For example, possession of A«B»B«C» provides the same capability as
A«C», namely the ability to find out Cp given Ap.
x1p 0 X1«X2» The Operation of unwrapping a certificate (or certificate chain) to extract a public key. It is an infix
Operator, whose left Operand is the public key of a certification authority, and whose right Operand
is a certificate issued by that certification authority. The outcome is the public key of the user
whose certificate is the right Operand. For example:
Ap l A<> B<
denotes the Operation of using the public key of A to obtain B ’s public key, Bp, from its
certificate, followed by using Bp to unwrap C ’s certificate. The outcome of the Operation is the
public key of C, Cp.
A+B A certification path from A to B, formed of a chain of certificates, starting with CA(A)&A2(A)»
and ending with CA(B)«B».
NOTE - In the table, the Symbols X, X1, X2, etc., occur in place of the names of users, while the Symbol 1 occurs in place
of arbitrary information.
SECTION 2 - SIMPLE AUTHENTICATION
6 Simple authentication procedure
Simple authentication is intended to provide local authorization based upon the distinguished name of a User, a
bilaterally agreed (optional) password, and a bilateral understanding of the means of using and handling this password
within a Single domain. Utilization of simple authentication is primarily intended for local use only, i.e. for peer entity
authentication between one DUA and one DSA or between one DSA and one DSA. Simple authentication may be
achieved by several means:
the transfer of the user ’s distinguished name and (optional) password in the clear (non-protected) to the
a>
recipient for evaluation;
b) the transfer of the user ’s distinguished name, password, a
...
NORME
lSO/CEI
INTERNATIONALE
9594-8
Deuxième édition
1995-09-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- L’Annuaire: Cadre
(ow
d’authentification
Information technology - Open Systems lnterconnection - The
Directory: Authentification framework
---------------------- Page: 1 ----------------------
ISO/CEI 9594-S: 1995(F)
Sommaire
Page
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
SECTION 1 - CONSIDÉRATIONS GÉNÉRALES
1
1 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
................................................................................................................................... 2
2 Références normatives
...................................................................... 2
2.1 Recommandations I Normes internationales identiques
....... 2
2.2 Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
3
Définitions .
3
.................................... 3
3.1 Définitions relatives à l’architecture de sécurité du modèle de référence OS1
3
3.2 Définitions relatives au modèle d’Annuaire .
3
Définitions relatives au cadre d’authentification .
3.3
4
Abréviations . . . . . . . . . . . . . . . . .*.
4
4
5 Conventions .
5
SECTION 2 - AUTHENTIFICATION SIMPLE .
5
6 Procédure d’authentification simple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
61 . Génération de l’information d’identification protégée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
Procédure d’authentification simple protégée ~~~.~.~.~.~.~~.~.~.~.
62 .
7
.......................................................................................
6.3 Type d’attribut de mot de passe d’utilisateur
8
..................................................................................................
SECTION 3 - AUTHENTIFICATION POUSSÉE
8
................................................................................................................
Bases de l’authentification poussée
8
............................................................................................................
Obtention d’une clé publique d’usager
10
.......................................................
81 . Optimisation de la quantité d’information obtenue de 1’Annuaire
11
..............................................................................................................................................
8.2 Exemple
13
...................................................................................................................................
Signatures numériques
0 ISOKEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne
peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique
ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
ii
---------------------- Page: 2 ----------------------
ISO/CEI 9594-8: 1995(F)
@ ISOKEI
14
10 Procédures d’authentification poussée .
14
10.1 Vue d’ensemble .
15
.................................................................................................................
10.2 Authentification à une voie
16
.............................................................................................................
10.3 Authentification à deux voies
16
..............................................................................................................
10.4 Authentification à trois voies
17
...................................................................................................................
11 Gestion des clés et des certificats
17
................................................................................................................
11.1 Génération de paires de clés
17
.........................................................................................................................
11.2 Gestion des certificats
19
........................................................................................................
Annexe A - Cadre d’authentification en ASN. 1
22
............................................................................................................................
Annexe B - Exigences de sécurité
25
....................................................................................
Annexe C - Introduction à la cryptographie de clé publique
27
...............................................................................
Annexe D - Le système RSA cryptographique de clé publique
30
.................................................................................................................................
Annexe E - Fonctions hachage
.......... 31
Annexe F - Dangers contre lesquels la protection est assurée par les méthodes d’authentification poussée.
32
..................................................................................................................
Annexe G - Confidentialité des données
34
...........................................................
Annexe H - Définition de reférence des identificateurs d’objet d’algorithme
35
..............................................................................................................
Annexe J - Modifications et Corrigendums
. . .
111
---------------------- Page: 3 ----------------------
ISOKEI 9594-S: 1995(F) @ ISOKEI
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de 1’ISO ou de la CE1 participent au développement de Normes
internationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de I’ISO et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales,
gouvernementales ou non gouvernementales, en liaison avec I’ISO et la CE1
participent également aux travaux.
Dans le domaine des technologies de l’information, 1’ISO et la CE1 ont créé un
comité technique mixte, I’ISOKEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 9594-8 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de I?nformation, sous-comité SC 21,
Interconnexion des systèmes ouverts, gestion des données et traitement distribué
ouvert, en collaboration avec l’IUT-T. Le texte identique est publié en tant que
Recommandation IUT-T X.509.
Il convient que les personnes mettant en application la présente partie de
1’ISOKEI 9594 notent qu’il existe un processus de résolution de défaut et que des
corrections peuvent être appliquées au présent texte sous forme de rectificatifs
techniques. Une liste des rectificatifs techniques approuvés pour la présente partie
de I’ISOKEI 9594 peut être obtenue auprès du secrétariat du sous-comité. Les
rectificatifs techniques publiés sont disponibles auprès de votre organisation
nationale de normalisation.
Cette deuxième édition révise et améliore techniquement 1’ISOKEI 9594-8: 1990.
Elle incorpore également le Rectificatif technique 1: 1991. Les mises en
application peuvent encore se réclamer en conformité avec la première édition de
la présente partie de l’ISO/CEI 9594. Toutefois, il arrivera un moment où la
première édition n’aura plus de raison d’être (c’est-à-dire que les défauts détectés
ne seront plus résolus). Il est recommandé que les mises en application soient
conformes à cette deuxième édition le plus tôt possible.
L’ISOKEI 9594 comprend les parties suivantes, présentées sous le titre général
Technologies de l’information - Interconnexion de systèmes ouverts (OSI) -
L’Annuaire:
Partie 1: Vue d’ensemble des concepts, modèles et services
- Partie 2: Modèles
Partie 3: Définitions de service abstrait
Partie 4: Procédures pour le fonctionnement réparti
- Partie 5: Spécifications du protocole
- Partie 6: Types d’attributs sélectionnés
- Partie 7: Classes d’objets sélectionnés
- Partie 8: Cadre d’authentification
- Partie 9: Duplication
L’annexe A fait partie intégrante de la présente partie de l’ISO/CEI 9594. Les
annexes B à J sont données uniquement à titre d’information.
iv
---------------------- Page: 4 ----------------------
0 ISOKEI
ISOICEI 9594-8: 1995(F)
Introduction
La présente Recommandation I Norme internationale a été élaborée, de concert avec les autres Recommandations I
Normes internationales, pour faciliter l’interconnexion des systèmes de traitement de l’information et permettre ainsi
d’assurer des services d’annuaire. L’ensemble de ces systèmes, avec les informations d’annuaire qu’ils contiennent, peut
être considére comme un tout intégré, appelé I’Annuaire. Les informations contenues dans l’Annuaire, appelées
collectivement base d’informations d’Annuaire (DIB) sont généralement utilisees pour faciliter la communication entre
des objets tels que entités d’application, individus, terminaux, listes de distribution, ainsi que les communications avec
ces objets ou au sujet de ces objets.
L’Annuaire joue un rôle important dans l’interconnexion des systèmes ouverts, dont le but est de permettre, moyennant
un minimum d’accords techniques en dehors des normes d’interconnexion proprement dites, l’interconnexion des
systèmes de traitement de l’information:
provenant de divers fabricants;
- gérés différemment;
de niveaux de complexité différents; et
- d’âges differents.
Un grand nombre d’applications comportent des exigences de sécurité pour assurer leur protection contre les dangers
susceptibles de porter atteinte à la communication de l’information. L’Annexe B contient une brève description des
menaces généralement connues ainsi que les services et les mécanismes de sécurite qu’on peut utiliser pour la protection
contre ces dernières. En fin de compte, tous les services de sécurité reposent sur la fiabilité de la connaissance des
identités des parties en communication, c’est-a-dire sur leur authentification.
La présente Recommandation I Norme internationale définit un cadre d’authentification pour assurer la prestation des
services d’authentification par 1’Annuaire à ses utilisateurs. Ces utilisateurs comprennent 1’Annuaire lui-même ainsi que
d’autres applications et services. L’Annuaire peut utilement contribuer à répondre à leurs besoins en authentification et en
d’autres services de sécurité car c’est un emplacement naturel à partir duquel les parties en communication peuvent
obtenir l’information d’authentification des uns et des autres: connaissance sur laquelle repose l’authentification.
L’Annuaire est l’emplacement naturel du fait qu’il détient d’autres informations qui sont nécessaires à la communication
et qui sont obtenues avant l’établissement de la communication. L’obtention de l’information d’authentification d’un
partenaire d’une communication potentielle à partir de I’Annuaire est, avec cette approche, semblable à l’obtention d’une
adresse. En raison du domaine étendu recouvert par YAnnuaire, on prévoit que ce cadre d’authentification sera très utilisé
par toute une gamme d’applications.
Cette seconde édition révise techniquement et améliore, mais ne remplace pas, la première édition de la présente
Recommandation I Norme internationale. Les mises en œuvre peuvent encore prétendre à la conformité à la première
édition.
Cette seconde édition spécifie la version 1 des protocoles et services de 1’Annuaire. La première édition spécifie
également version 1. On a traité les différences entre les services et les protocoles définis dans les deux éditions en
utilisant les règles d’extensibilité définies dans la présente version de la Rec. X.519 I ISOKEI 9594-5.
---------------------- Page: 5 ----------------------
ISOKEI 9594-S: 1995(F) @ ISOKEI
A i présente le module ASN. 1
L’A .nnexe qui fait partie ntégrante de la présente Recommandation I Norme internationale,
9
.
contie nt toutes le :s défin .tions associées
au cadre d’authentification.
qu1
L’Annexe B, qui ne fait pas partie intégrante de la présente Recommandation 1 Norme internationale, décrit les exigences
de sécurité.
L’A nnexe C, qui ne fait pas partie intégrante de la Norme internationale, est une introduction
présente Recommandation I
à la cryptographie a clé publique.
L’Annexe D, qui ne fait pas partie intégrante de la Norme internationale, décrit le système
présente Recommandation
RSA cryptographique de clé publique.
L’Annexe E, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, décrit les fonctions
hachage.
L’Annexe F, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, décrit les dangers
contre lesquels la protection est assurée par les méthodes d’authentification poussée.
L’Annexe G, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, décrit la
confidentialité des données.
L’Annexe H, qui fait partie intégrante de la présente Recommandation I Norme internationale, définit des identificateurs
d’objet assignés aux algorithmes d’authentification et de chiffrement, en l’absence d’un registre formel de consignation.
L’Annexe J, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, recense les
modifications et les rapports de défaut qui ont été incorporés dans cette édition de la présente Recommandation I Norme
internationale.
---------------------- Page: 6 ----------------------
ISOKEI 9594-S : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION -
INTERCONNEXION DE SYSTÈMES OUVERTS (OSI) -
L’ANNUAIRE: CADRE D’AUTHENTIFICATION
SECTION 1 - CONSIDÉRATIONS GÉNÉRALES
1 Domaine d’application
La présente Spécifkation l Norme internationale:
spécifie la forme sous laquelle l’information d’authentification est conservée par 1’Annuaire;
-
décrit la façon dont on peut obtenir de IlAnnuaire cette information d’authentification;
établit les hypothèses faites au sujet de la manière dont est constituée cette information d’authentification
et de son emplacement dans 1’Annuaire;
- définit trois manieres dont les applications peuvent employer cette information d’authentification pour
effectuer des authentifications et explique comment d’autres services de sécurité peuvent être assurés par
l’authentification.
La présente Recommandation I Norme internationale contient les descriptions de deux niveaux d’authentification:
l’authentification simple qui utilise un mot de passe pour la vérification de l’identité et l’authentification poussée qui fait
intervenir des accréditations établies au moyen de techniques cryptographiques. Tandis que l’authentification simple
n’offre qu’une protection limitée contre l’accès non autorisé, seule l’authentification poussée devra servir de base à la
prestation de services sûrs. Il ne s’agit pas ici d’établir un cadre général d’authentification. Celui-ci peut toutefois se
prêter à une utilisation générale pour des applications qui jugent que ces techniques sont appropriées.
On ne peut fournir d’authentification (et d’autres services de sécurité) que dans le contexte d’une politique de sécurité
définie pour une application particulière. Il appartient aux utilisateurs de cette application de définir leur propre politique
de sécurité qui peut dépendre des services fournis par une norme.
Il appartient aux normes de définir les applications qui utilisent le cadre d’authentification pour spécifier les échanges de
protocole qu’il convient d’effectuer afin de parvenir à une authentification basée sur l’information d’authentification
obtenue de 1’Annuaire. Le protocole utilisé par les applications pour obtenir des accréditations de 1’Annuaire est le
protocole d’accès à YAnnuaire (DAR) spécifié dans la Rec. UIT-T X.519 I ISO/CEI 9594-5.
La méthode d’authentification poussée spécifiée dans la présente Recommandation I Norme internationale repose sur des
systèmes cryptographiques à clé (de codage) publique. C’est le principal avantage de ces systèmes que les certificats
d’utilisateur puissent être conservés dans 1’Annuaire et obtenus par les utilisateurs de I’Annuaire de la même manière que
d’autres informations de YAnnuaire. On admet que les certificats d’utilisateur sont constitués par des moyens
indépendants et sont mis en place dans 1’Annuaire par leur créateur. La génération de certificats d’utilisateur est effectuée
par une autorité de certification autonome qui est complètement distincte des DSA de 1’Annuaire. En particulier, aucune
exigence spéciale n’est prescrite aux fournisseurs de 1’Annuaire pour mémoriser ou communiquer les certificats
d’utilisateur de façon sûre.
Une brève introduction à la cryptographie à clé publique est donnée dans 1’Annexe C.
En général, le cadre d’authentification ne dépend pas de l’utilisation d’un algorithme particulier pour autant qu’il possède
les propriétés décrites en 7.1. Il est possible dans la pratique d’utiliser un certain nombre d’algorithmes différents.
Toutefois, deux utilisateurs qui désirent s’authentifier doivent utiliser le même algorithme cryptographique pour effectuer
correctement l’authentification. De cette façon, dans le contexte d’un ensemble d’applications voisines, le choix d’un
algorithme unique servira a élargir au maximum la communauté des utilisateurs capables de s’authentifier et de
communiquer en sécurité. Un exemple d’algorithme cryptographique de clé publique est spécifié dans YAnnexe D.
De même, deux utilisateurs qui désirent s’authentifier doivent utiliser la même fonction hachage [voir 3.3 f)] (utilisée
pour former des accréditations et des jetons d’authentification). De nouveau, en principe, on peut utiliser un certain
nombre de variantes de fonction hachage au prix d’un rétrécissement des communautés des utilisateurs capables de
s’authentifier. Une brève introduction aux fonctions de hachage et un exemple de fonction de hachage sont donnés dans
1’Annexe E.
Rec. UIT-T X.509 (1993 F) 1
---------------------- Page: 7 ----------------------
ISOKEI 9594-8 : 1995 (F)
Références normatives
2
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
y est faite, constituent des dispositions valables pour la présente Recommandation I Norme internationale. Au moment de
la publication, les editions indiquées étaient en vigueur. Toutes Recommandations et Normes sont sujettes a révision et
les parties prenantes aux accords fondés sur la présente Recommandation I Norme internationale sont invitées a
rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes indiquées ci-après.
Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le Bureau de la
normalisation des télécommunications de I’UIT tient a jour une liste des Recommandations de I’UIT-T en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation UIT-T X.500 (1993) I ISOKEI 9594- 1: 1995, Technologie de Z’information -
L’Annuaire: Vue d’ensemble des concepts, modèles et services.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.501 (1993) I ISOKEI 9594-2:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - L’Annuaire: Les modèkes.
-
Recommandation UIT-T X.5 11 (1993) I ISO/CEI 9594-3: 1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - L’Annuaire: Définition du service abstrait.
-
Recommandation UIT-T X.5 18 (1993) I ISOKEI 9594-4: 1995, Technologie de Z’information -
L’Annuaire: Procédures pour le fonctionnement réparti.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.5 19 (1993) I ISOKEI 9594-5: 1995, Technologie de Z’information -
L’Annuaire: Spécifications du protocole.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.520 (1993) I ISO/CEI 9594-6: 1995, Technologie de Z’information -
L ‘Annuaire: Types d’attributs sélectionnés.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.521 (1993) I ISOKEI 9594-7:1995, Technologie de Z’information -
L ‘Annuaire: Classes d’objets sézectionnées.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.525 (1993) I ISO/CEI 9594-9: 1995, Technologie de 1 ‘information -
Interconnexion des systèmes ouverts - L’Annuaire: Duplication.
-
Recommandation UIT-T X.680 (1994) I ISOKEI 8824-l : 1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Spécification de la
notation de base.
-
Recommandation UIT-T X.681 (1994) I ISOKEI 8824-2: 1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Spécification des objets
informationnels.
-
Recommandation UIT-T X.682 (1994) I ISOKEI 8824-3:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Spécification des
contraintes.
-
Recommandation UIT-T X.683 (1994) I ISOKEI 8824-4:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Paramétrage des
spécifications de la notation de syntaxe abstraite no 1.
-
Recommandation UIT-T X.690 (1994) I ISOKEI 8825-1:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Règles de codage de Z’ASN.1: Spécification des règles de codage de
base, des règles de codage canoniques et des règles de codage distinctives.
-
Recommandation UIT-T X.880 (1994) I ISOKEI 13712-1:1995, Technologie de Z’information -
Opérations distantes: Concepts, modèle et notations.
-
Recommandation UIT-T X.881 (1994) I ISOKEI 13712-2:1995, Technologie de L’information -
Opérations distantes: Réalisation OSI - Définition du service de Z’élément de service d’opérations
distantes.
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
- Recommandation UIT-T X.800 du CCITT (1991), Architecture de sécurité pour I?nterconnexion en
systèmes ouverts d’applications du CCITT.
Interconnexion des systèmes ouverts -
ISO 7498-2:1989, Systèmes de traitement de Z’information -
Modèle de référence de base - Partie 2: Architecture de sécurité.
Rec. UIT-T X.509 (1993 F)
2
---------------------- Page: 8 ----------------------
ISOKEI 9594-S : 1995 (F)
Définitions
3
Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent.
31 . Définitions relatives à l’architecture de sécurité du modèle de référence OS1
Les termes suivants sont définis dans la Rec. X.800 du CCITT I ISO 7498-2:
asymétrique (chiflrement};
a>
b) échange d’authentifications;
information d’authentification;
C>
* d) confidentialité;
e) justificatif d’identité;
f) cryptographie;
g) authentification de Z’origine des données;
h) déchiffrement;
chiffrement;
0
.
clé;
J)
mot de passe;
W
authentification de Z’entité homologue;
1)
symétrique (chiffrement).
m>
32 . Définitions relatives au modèle d’Annuaire
Les termes suivants sont définis dans la Rec. UIT-T X.501 I ISOKEI 9594-2:
attribut;
a)
base d’infomzations d’Annuaire;
b)
arbre d’informations d’tlnnuaire;
C>
agent de système d’tlnnuaire;
d)
agent d’utilisateur d ‘Annuaire;
e)
nom dis tin tif,
f)
g) entrée;
h) objet;
racine.
0
33 . Définitions relatives au cadre d’authentification
Les termes suivants sont définis dans la présente Recommandation I Norme internationale:
au d’un échange d’authentifications, qui peut
3.3.1 jeton d’authentification (jeton): Information acheminée cours
être utilisée à authentifier son expéditeur.
3.3.2 certificat d’utilisateur (certificat): Clé publique d’un utilisateur, ainsi que certaines autres informations,
rendue infalsifiable par chiffrement avec la clé secrete de l’autorité de certification qui l’a délivrée.
3.3.3 autorité de certification: Autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer les certificats.
Cette autorité peut, facultativement, créer les clés d’utilisateur.
3.3.4 itinéraire de certification: Séquence ordonnée de certificats d’objets dans le DIT qui en plus de la clé
publique de l’objet initial dans l’itinéraire, peut être traitée pour obtenir celle de l’objet final dans l’itinéraire.
3.3.5 système cryptographique: Recueil de transformations du texte en clair au texte chiffré et réciproquement, les
transformations particulières à utiliser étant sélectionnées par des clés. Les transformations sont normalement définies
par un algorithme mathematique.
Rec. UIT-T X.509 (1993 F) 3
---------------------- Page: 9 ----------------------
ISO/CEI 9594-8 : 1995 (F)
3.3.6 fonction hachage: Fonction (mathématique) qui met en correspondance les valeurs d’un grand (et
éventuellement très grand) domaine avec une gamme plus petite. Une «bonne» fonction de hachage est telle que les
résultats de l’application de la fonction à un (grand) ensemble de valeurs du domaine seront régulièrement (et
apparemment aléatoirement) répartis sur toute la gamme.
3.3.7 fonction à une voie: Fonction (mathématique) f qui est facile à calculer mais pour laquelle, à une valeur
générale y de la gamme, il est difficile de faire correspondre par le calcul une valeur x du domaine telle que f(x) = y. Il
peut exister un petit nombre de valeurs de y pour lesquelles la détermination de x n’est pas difficile a obtenir par le
calcul.
de clés d’utilisateur qui est
3.3.8 clé publique: (dans un système cryptographique de clé publique) Clé d’une paire
publiquement connue.
3.3.9 ’ clé privée; clé secrète (déconseillée): (dans un système cryptographique de clé publique) Clé d’une paire de
clés d’utilisateur qui n’est connue que de cet utilisateur.
3.3.10 authentification simple: Authentification obtenue au moyen de simples arrangements de mot de passe.
3.3.11 politique de sécurité: Ensemble de règles établies par l’organisme de sécurité qui régit l’utilisation et la
fourniture de services et de facilités de sécurité.
3.3.12 authentification poussée: Authentification obtenue au moyen d’accréditations déterminées par cryptographie.
3.3.13 confiance: Généralement, on peut dire qu’une entité se fie à une deuxième entité lorsqu’elle (la première entité)
formule l’hypothèse que la deuxième entité se comportera exactement comme le prévoit la première entité. Cette
confiance ne peut s’appliquer qu’a une certaine fonction particulière. Le rôle de confiance qui revient à la clé dans le
cadre d’authentification consiste a décrire la relation entre une entité d’authentification et une autorité de certification;
une entité d’authentification doit être certaine de pouvoir se fier à l’autorité de certification pour qu’elle crée uniquement
des certificats valides et fiables.
3.3.14 numéro de série de certificat: Valeur entière, unique pour la CA qui l’émet et associée sans ambiguïté au
certificat émis par cette CA.
4 Abréviations
Les abréviations suivantes sont utilisées dans la présente Recommandation I Norme internationale:
Autorité de certification (certification authority)
CA
Base d’informations d’Annuaire (directory information base)
DIB
Arbre d’informations d’Annuaire (directory information tree)
DIT
DSA Agent de système d’Annuaire (directory system agent)
DUA Agent d’utilisateur d’Annuaire (directory user agent)
PKCS Systeme cryptographique a clé publique (public key cryptosystem).
5 Conventions
Sauf exceptions mineures, la présente Spécification d’Annuaire a été élaborée conformément aux directives concernant la
«présen
...
NORME
lSO/CEI
INTERNATIONALE
9594-8
Deuxième édition
1995-09-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- L’Annuaire: Cadre
(ow
d’authentification
Information technology - Open Systems lnterconnection - The
Directory: Authentification framework
---------------------- Page: 1 ----------------------
ISO/CEI 9594-S: 1995(F)
Sommaire
Page
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
SECTION 1 - CONSIDÉRATIONS GÉNÉRALES
1
1 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
................................................................................................................................... 2
2 Références normatives
...................................................................... 2
2.1 Recommandations I Normes internationales identiques
....... 2
2.2 Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
3
Définitions .
3
.................................... 3
3.1 Définitions relatives à l’architecture de sécurité du modèle de référence OS1
3
3.2 Définitions relatives au modèle d’Annuaire .
3
Définitions relatives au cadre d’authentification .
3.3
4
Abréviations . . . . . . . . . . . . . . . . .*.
4
4
5 Conventions .
5
SECTION 2 - AUTHENTIFICATION SIMPLE .
5
6 Procédure d’authentification simple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
61 . Génération de l’information d’identification protégée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
Procédure d’authentification simple protégée ~~~.~.~.~.~.~~.~.~.~.
62 .
7
.......................................................................................
6.3 Type d’attribut de mot de passe d’utilisateur
8
..................................................................................................
SECTION 3 - AUTHENTIFICATION POUSSÉE
8
................................................................................................................
Bases de l’authentification poussée
8
............................................................................................................
Obtention d’une clé publique d’usager
10
.......................................................
81 . Optimisation de la quantité d’information obtenue de 1’Annuaire
11
..............................................................................................................................................
8.2 Exemple
13
...................................................................................................................................
Signatures numériques
0 ISOKEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne
peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique
ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
ii
---------------------- Page: 2 ----------------------
ISO/CEI 9594-8: 1995(F)
@ ISOKEI
14
10 Procédures d’authentification poussée .
14
10.1 Vue d’ensemble .
15
.................................................................................................................
10.2 Authentification à une voie
16
.............................................................................................................
10.3 Authentification à deux voies
16
..............................................................................................................
10.4 Authentification à trois voies
17
...................................................................................................................
11 Gestion des clés et des certificats
17
................................................................................................................
11.1 Génération de paires de clés
17
.........................................................................................................................
11.2 Gestion des certificats
19
........................................................................................................
Annexe A - Cadre d’authentification en ASN. 1
22
............................................................................................................................
Annexe B - Exigences de sécurité
25
....................................................................................
Annexe C - Introduction à la cryptographie de clé publique
27
...............................................................................
Annexe D - Le système RSA cryptographique de clé publique
30
.................................................................................................................................
Annexe E - Fonctions hachage
.......... 31
Annexe F - Dangers contre lesquels la protection est assurée par les méthodes d’authentification poussée.
32
..................................................................................................................
Annexe G - Confidentialité des données
34
...........................................................
Annexe H - Définition de reférence des identificateurs d’objet d’algorithme
35
..............................................................................................................
Annexe J - Modifications et Corrigendums
. . .
111
---------------------- Page: 3 ----------------------
ISOKEI 9594-S: 1995(F) @ ISOKEI
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de 1’ISO ou de la CE1 participent au développement de Normes
internationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de I’ISO et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales,
gouvernementales ou non gouvernementales, en liaison avec I’ISO et la CE1
participent également aux travaux.
Dans le domaine des technologies de l’information, 1’ISO et la CE1 ont créé un
comité technique mixte, I’ISOKEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 9594-8 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de I?nformation, sous-comité SC 21,
Interconnexion des systèmes ouverts, gestion des données et traitement distribué
ouvert, en collaboration avec l’IUT-T. Le texte identique est publié en tant que
Recommandation IUT-T X.509.
Il convient que les personnes mettant en application la présente partie de
1’ISOKEI 9594 notent qu’il existe un processus de résolution de défaut et que des
corrections peuvent être appliquées au présent texte sous forme de rectificatifs
techniques. Une liste des rectificatifs techniques approuvés pour la présente partie
de I’ISOKEI 9594 peut être obtenue auprès du secrétariat du sous-comité. Les
rectificatifs techniques publiés sont disponibles auprès de votre organisation
nationale de normalisation.
Cette deuxième édition révise et améliore techniquement 1’ISOKEI 9594-8: 1990.
Elle incorpore également le Rectificatif technique 1: 1991. Les mises en
application peuvent encore se réclamer en conformité avec la première édition de
la présente partie de l’ISO/CEI 9594. Toutefois, il arrivera un moment où la
première édition n’aura plus de raison d’être (c’est-à-dire que les défauts détectés
ne seront plus résolus). Il est recommandé que les mises en application soient
conformes à cette deuxième édition le plus tôt possible.
L’ISOKEI 9594 comprend les parties suivantes, présentées sous le titre général
Technologies de l’information - Interconnexion de systèmes ouverts (OSI) -
L’Annuaire:
Partie 1: Vue d’ensemble des concepts, modèles et services
- Partie 2: Modèles
Partie 3: Définitions de service abstrait
Partie 4: Procédures pour le fonctionnement réparti
- Partie 5: Spécifications du protocole
- Partie 6: Types d’attributs sélectionnés
- Partie 7: Classes d’objets sélectionnés
- Partie 8: Cadre d’authentification
- Partie 9: Duplication
L’annexe A fait partie intégrante de la présente partie de l’ISO/CEI 9594. Les
annexes B à J sont données uniquement à titre d’information.
iv
---------------------- Page: 4 ----------------------
0 ISOKEI
ISOICEI 9594-8: 1995(F)
Introduction
La présente Recommandation I Norme internationale a été élaborée, de concert avec les autres Recommandations I
Normes internationales, pour faciliter l’interconnexion des systèmes de traitement de l’information et permettre ainsi
d’assurer des services d’annuaire. L’ensemble de ces systèmes, avec les informations d’annuaire qu’ils contiennent, peut
être considére comme un tout intégré, appelé I’Annuaire. Les informations contenues dans l’Annuaire, appelées
collectivement base d’informations d’Annuaire (DIB) sont généralement utilisees pour faciliter la communication entre
des objets tels que entités d’application, individus, terminaux, listes de distribution, ainsi que les communications avec
ces objets ou au sujet de ces objets.
L’Annuaire joue un rôle important dans l’interconnexion des systèmes ouverts, dont le but est de permettre, moyennant
un minimum d’accords techniques en dehors des normes d’interconnexion proprement dites, l’interconnexion des
systèmes de traitement de l’information:
provenant de divers fabricants;
- gérés différemment;
de niveaux de complexité différents; et
- d’âges differents.
Un grand nombre d’applications comportent des exigences de sécurité pour assurer leur protection contre les dangers
susceptibles de porter atteinte à la communication de l’information. L’Annexe B contient une brève description des
menaces généralement connues ainsi que les services et les mécanismes de sécurite qu’on peut utiliser pour la protection
contre ces dernières. En fin de compte, tous les services de sécurité reposent sur la fiabilité de la connaissance des
identités des parties en communication, c’est-a-dire sur leur authentification.
La présente Recommandation I Norme internationale définit un cadre d’authentification pour assurer la prestation des
services d’authentification par 1’Annuaire à ses utilisateurs. Ces utilisateurs comprennent 1’Annuaire lui-même ainsi que
d’autres applications et services. L’Annuaire peut utilement contribuer à répondre à leurs besoins en authentification et en
d’autres services de sécurité car c’est un emplacement naturel à partir duquel les parties en communication peuvent
obtenir l’information d’authentification des uns et des autres: connaissance sur laquelle repose l’authentification.
L’Annuaire est l’emplacement naturel du fait qu’il détient d’autres informations qui sont nécessaires à la communication
et qui sont obtenues avant l’établissement de la communication. L’obtention de l’information d’authentification d’un
partenaire d’une communication potentielle à partir de I’Annuaire est, avec cette approche, semblable à l’obtention d’une
adresse. En raison du domaine étendu recouvert par YAnnuaire, on prévoit que ce cadre d’authentification sera très utilisé
par toute une gamme d’applications.
Cette seconde édition révise techniquement et améliore, mais ne remplace pas, la première édition de la présente
Recommandation I Norme internationale. Les mises en œuvre peuvent encore prétendre à la conformité à la première
édition.
Cette seconde édition spécifie la version 1 des protocoles et services de 1’Annuaire. La première édition spécifie
également version 1. On a traité les différences entre les services et les protocoles définis dans les deux éditions en
utilisant les règles d’extensibilité définies dans la présente version de la Rec. X.519 I ISOKEI 9594-5.
---------------------- Page: 5 ----------------------
ISOKEI 9594-S: 1995(F) @ ISOKEI
A i présente le module ASN. 1
L’A .nnexe qui fait partie ntégrante de la présente Recommandation I Norme internationale,
9
.
contie nt toutes le :s défin .tions associées
au cadre d’authentification.
qu1
L’Annexe B, qui ne fait pas partie intégrante de la présente Recommandation 1 Norme internationale, décrit les exigences
de sécurité.
L’A nnexe C, qui ne fait pas partie intégrante de la Norme internationale, est une introduction
présente Recommandation I
à la cryptographie a clé publique.
L’Annexe D, qui ne fait pas partie intégrante de la Norme internationale, décrit le système
présente Recommandation
RSA cryptographique de clé publique.
L’Annexe E, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, décrit les fonctions
hachage.
L’Annexe F, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, décrit les dangers
contre lesquels la protection est assurée par les méthodes d’authentification poussée.
L’Annexe G, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, décrit la
confidentialité des données.
L’Annexe H, qui fait partie intégrante de la présente Recommandation I Norme internationale, définit des identificateurs
d’objet assignés aux algorithmes d’authentification et de chiffrement, en l’absence d’un registre formel de consignation.
L’Annexe J, qui ne fait pas partie intégrante de la présente Recommandation I Norme internationale, recense les
modifications et les rapports de défaut qui ont été incorporés dans cette édition de la présente Recommandation I Norme
internationale.
---------------------- Page: 6 ----------------------
ISOKEI 9594-S : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION -
INTERCONNEXION DE SYSTÈMES OUVERTS (OSI) -
L’ANNUAIRE: CADRE D’AUTHENTIFICATION
SECTION 1 - CONSIDÉRATIONS GÉNÉRALES
1 Domaine d’application
La présente Spécifkation l Norme internationale:
spécifie la forme sous laquelle l’information d’authentification est conservée par 1’Annuaire;
-
décrit la façon dont on peut obtenir de IlAnnuaire cette information d’authentification;
établit les hypothèses faites au sujet de la manière dont est constituée cette information d’authentification
et de son emplacement dans 1’Annuaire;
- définit trois manieres dont les applications peuvent employer cette information d’authentification pour
effectuer des authentifications et explique comment d’autres services de sécurité peuvent être assurés par
l’authentification.
La présente Recommandation I Norme internationale contient les descriptions de deux niveaux d’authentification:
l’authentification simple qui utilise un mot de passe pour la vérification de l’identité et l’authentification poussée qui fait
intervenir des accréditations établies au moyen de techniques cryptographiques. Tandis que l’authentification simple
n’offre qu’une protection limitée contre l’accès non autorisé, seule l’authentification poussée devra servir de base à la
prestation de services sûrs. Il ne s’agit pas ici d’établir un cadre général d’authentification. Celui-ci peut toutefois se
prêter à une utilisation générale pour des applications qui jugent que ces techniques sont appropriées.
On ne peut fournir d’authentification (et d’autres services de sécurité) que dans le contexte d’une politique de sécurité
définie pour une application particulière. Il appartient aux utilisateurs de cette application de définir leur propre politique
de sécurité qui peut dépendre des services fournis par une norme.
Il appartient aux normes de définir les applications qui utilisent le cadre d’authentification pour spécifier les échanges de
protocole qu’il convient d’effectuer afin de parvenir à une authentification basée sur l’information d’authentification
obtenue de 1’Annuaire. Le protocole utilisé par les applications pour obtenir des accréditations de 1’Annuaire est le
protocole d’accès à YAnnuaire (DAR) spécifié dans la Rec. UIT-T X.519 I ISO/CEI 9594-5.
La méthode d’authentification poussée spécifiée dans la présente Recommandation I Norme internationale repose sur des
systèmes cryptographiques à clé (de codage) publique. C’est le principal avantage de ces systèmes que les certificats
d’utilisateur puissent être conservés dans 1’Annuaire et obtenus par les utilisateurs de I’Annuaire de la même manière que
d’autres informations de YAnnuaire. On admet que les certificats d’utilisateur sont constitués par des moyens
indépendants et sont mis en place dans 1’Annuaire par leur créateur. La génération de certificats d’utilisateur est effectuée
par une autorité de certification autonome qui est complètement distincte des DSA de 1’Annuaire. En particulier, aucune
exigence spéciale n’est prescrite aux fournisseurs de 1’Annuaire pour mémoriser ou communiquer les certificats
d’utilisateur de façon sûre.
Une brève introduction à la cryptographie à clé publique est donnée dans 1’Annexe C.
En général, le cadre d’authentification ne dépend pas de l’utilisation d’un algorithme particulier pour autant qu’il possède
les propriétés décrites en 7.1. Il est possible dans la pratique d’utiliser un certain nombre d’algorithmes différents.
Toutefois, deux utilisateurs qui désirent s’authentifier doivent utiliser le même algorithme cryptographique pour effectuer
correctement l’authentification. De cette façon, dans le contexte d’un ensemble d’applications voisines, le choix d’un
algorithme unique servira a élargir au maximum la communauté des utilisateurs capables de s’authentifier et de
communiquer en sécurité. Un exemple d’algorithme cryptographique de clé publique est spécifié dans YAnnexe D.
De même, deux utilisateurs qui désirent s’authentifier doivent utiliser la même fonction hachage [voir 3.3 f)] (utilisée
pour former des accréditations et des jetons d’authentification). De nouveau, en principe, on peut utiliser un certain
nombre de variantes de fonction hachage au prix d’un rétrécissement des communautés des utilisateurs capables de
s’authentifier. Une brève introduction aux fonctions de hachage et un exemple de fonction de hachage sont donnés dans
1’Annexe E.
Rec. UIT-T X.509 (1993 F) 1
---------------------- Page: 7 ----------------------
ISOKEI 9594-8 : 1995 (F)
Références normatives
2
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
y est faite, constituent des dispositions valables pour la présente Recommandation I Norme internationale. Au moment de
la publication, les editions indiquées étaient en vigueur. Toutes Recommandations et Normes sont sujettes a révision et
les parties prenantes aux accords fondés sur la présente Recommandation I Norme internationale sont invitées a
rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes indiquées ci-après.
Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le Bureau de la
normalisation des télécommunications de I’UIT tient a jour une liste des Recommandations de I’UIT-T en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation UIT-T X.500 (1993) I ISOKEI 9594- 1: 1995, Technologie de Z’information -
L’Annuaire: Vue d’ensemble des concepts, modèles et services.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.501 (1993) I ISOKEI 9594-2:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - L’Annuaire: Les modèkes.
-
Recommandation UIT-T X.5 11 (1993) I ISO/CEI 9594-3: 1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - L’Annuaire: Définition du service abstrait.
-
Recommandation UIT-T X.5 18 (1993) I ISOKEI 9594-4: 1995, Technologie de Z’information -
L’Annuaire: Procédures pour le fonctionnement réparti.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.5 19 (1993) I ISOKEI 9594-5: 1995, Technologie de Z’information -
L’Annuaire: Spécifications du protocole.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.520 (1993) I ISO/CEI 9594-6: 1995, Technologie de Z’information -
L ‘Annuaire: Types d’attributs sélectionnés.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.521 (1993) I ISOKEI 9594-7:1995, Technologie de Z’information -
L ‘Annuaire: Classes d’objets sézectionnées.
Interconnexion des systèmes ouverts -
-
Recommandation UIT-T X.525 (1993) I ISO/CEI 9594-9: 1995, Technologie de 1 ‘information -
Interconnexion des systèmes ouverts - L’Annuaire: Duplication.
-
Recommandation UIT-T X.680 (1994) I ISOKEI 8824-l : 1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Spécification de la
notation de base.
-
Recommandation UIT-T X.681 (1994) I ISOKEI 8824-2: 1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Spécification des objets
informationnels.
-
Recommandation UIT-T X.682 (1994) I ISOKEI 8824-3:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Spécification des
contraintes.
-
Recommandation UIT-T X.683 (1994) I ISOKEI 8824-4:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Notation de syntaxe abstraite numéro un: Paramétrage des
spécifications de la notation de syntaxe abstraite no 1.
-
Recommandation UIT-T X.690 (1994) I ISOKEI 8825-1:1995, Technologie de Z’information -
Interconnexion des systèmes ouverts - Règles de codage de Z’ASN.1: Spécification des règles de codage de
base, des règles de codage canoniques et des règles de codage distinctives.
-
Recommandation UIT-T X.880 (1994) I ISOKEI 13712-1:1995, Technologie de Z’information -
Opérations distantes: Concepts, modèle et notations.
-
Recommandation UIT-T X.881 (1994) I ISOKEI 13712-2:1995, Technologie de L’information -
Opérations distantes: Réalisation OSI - Définition du service de Z’élément de service d’opérations
distantes.
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
- Recommandation UIT-T X.800 du CCITT (1991), Architecture de sécurité pour I?nterconnexion en
systèmes ouverts d’applications du CCITT.
Interconnexion des systèmes ouverts -
ISO 7498-2:1989, Systèmes de traitement de Z’information -
Modèle de référence de base - Partie 2: Architecture de sécurité.
Rec. UIT-T X.509 (1993 F)
2
---------------------- Page: 8 ----------------------
ISOKEI 9594-S : 1995 (F)
Définitions
3
Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent.
31 . Définitions relatives à l’architecture de sécurité du modèle de référence OS1
Les termes suivants sont définis dans la Rec. X.800 du CCITT I ISO 7498-2:
asymétrique (chiflrement};
a>
b) échange d’authentifications;
information d’authentification;
C>
* d) confidentialité;
e) justificatif d’identité;
f) cryptographie;
g) authentification de Z’origine des données;
h) déchiffrement;
chiffrement;
0
.
clé;
J)
mot de passe;
W
authentification de Z’entité homologue;
1)
symétrique (chiffrement).
m>
32 . Définitions relatives au modèle d’Annuaire
Les termes suivants sont définis dans la Rec. UIT-T X.501 I ISOKEI 9594-2:
attribut;
a)
base d’infomzations d’Annuaire;
b)
arbre d’informations d’tlnnuaire;
C>
agent de système d’tlnnuaire;
d)
agent d’utilisateur d ‘Annuaire;
e)
nom dis tin tif,
f)
g) entrée;
h) objet;
racine.
0
33 . Définitions relatives au cadre d’authentification
Les termes suivants sont définis dans la présente Recommandation I Norme internationale:
au d’un échange d’authentifications, qui peut
3.3.1 jeton d’authentification (jeton): Information acheminée cours
être utilisée à authentifier son expéditeur.
3.3.2 certificat d’utilisateur (certificat): Clé publique d’un utilisateur, ainsi que certaines autres informations,
rendue infalsifiable par chiffrement avec la clé secrete de l’autorité de certification qui l’a délivrée.
3.3.3 autorité de certification: Autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer les certificats.
Cette autorité peut, facultativement, créer les clés d’utilisateur.
3.3.4 itinéraire de certification: Séquence ordonnée de certificats d’objets dans le DIT qui en plus de la clé
publique de l’objet initial dans l’itinéraire, peut être traitée pour obtenir celle de l’objet final dans l’itinéraire.
3.3.5 système cryptographique: Recueil de transformations du texte en clair au texte chiffré et réciproquement, les
transformations particulières à utiliser étant sélectionnées par des clés. Les transformations sont normalement définies
par un algorithme mathematique.
Rec. UIT-T X.509 (1993 F) 3
---------------------- Page: 9 ----------------------
ISO/CEI 9594-8 : 1995 (F)
3.3.6 fonction hachage: Fonction (mathématique) qui met en correspondance les valeurs d’un grand (et
éventuellement très grand) domaine avec une gamme plus petite. Une «bonne» fonction de hachage est telle que les
résultats de l’application de la fonction à un (grand) ensemble de valeurs du domaine seront régulièrement (et
apparemment aléatoirement) répartis sur toute la gamme.
3.3.7 fonction à une voie: Fonction (mathématique) f qui est facile à calculer mais pour laquelle, à une valeur
générale y de la gamme, il est difficile de faire correspondre par le calcul une valeur x du domaine telle que f(x) = y. Il
peut exister un petit nombre de valeurs de y pour lesquelles la détermination de x n’est pas difficile a obtenir par le
calcul.
de clés d’utilisateur qui est
3.3.8 clé publique: (dans un système cryptographique de clé publique) Clé d’une paire
publiquement connue.
3.3.9 ’ clé privée; clé secrète (déconseillée): (dans un système cryptographique de clé publique) Clé d’une paire de
clés d’utilisateur qui n’est connue que de cet utilisateur.
3.3.10 authentification simple: Authentification obtenue au moyen de simples arrangements de mot de passe.
3.3.11 politique de sécurité: Ensemble de règles établies par l’organisme de sécurité qui régit l’utilisation et la
fourniture de services et de facilités de sécurité.
3.3.12 authentification poussée: Authentification obtenue au moyen d’accréditations déterminées par cryptographie.
3.3.13 confiance: Généralement, on peut dire qu’une entité se fie à une deuxième entité lorsqu’elle (la première entité)
formule l’hypothèse que la deuxième entité se comportera exactement comme le prévoit la première entité. Cette
confiance ne peut s’appliquer qu’a une certaine fonction particulière. Le rôle de confiance qui revient à la clé dans le
cadre d’authentification consiste a décrire la relation entre une entité d’authentification et une autorité de certification;
une entité d’authentification doit être certaine de pouvoir se fier à l’autorité de certification pour qu’elle crée uniquement
des certificats valides et fiables.
3.3.14 numéro de série de certificat: Valeur entière, unique pour la CA qui l’émet et associée sans ambiguïté au
certificat émis par cette CA.
4 Abréviations
Les abréviations suivantes sont utilisées dans la présente Recommandation I Norme internationale:
Autorité de certification (certification authority)
CA
Base d’informations d’Annuaire (directory information base)
DIB
Arbre d’informations d’Annuaire (directory information tree)
DIT
DSA Agent de système d’Annuaire (directory system agent)
DUA Agent d’utilisateur d’Annuaire (directory user agent)
PKCS Systeme cryptographique a clé publique (public key cryptosystem).
5 Conventions
Sauf exceptions mineures, la présente Spécification d’Annuaire a été élaborée conformément aux directives concernant la
«présen
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.