Le compte à rebours est lancé pour Keyfactor Tech Days | Réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • Le service de validation SCEP s'intègre aux applications MDM

Le service de validation SCEP s'intègre aux applications MDM

CSS a récemment découvert et publié des informations sur une attaque potentielle d'escalade des privilèges dans les systèmes d'émission de certificats basés sur SCEP. Après cette découverte, CSS a créé le service de validation SCEP, qui vise à mettre fin à cette attaque en validant le contenu du certificat avant que l'autorité de certification ne l'envoie au demandeur. La solution en instance de brevet de CSS est livrée dès aujourd'hui avec notre système de gestion des certificats mobiles (mCMS) v 1.1 software. Le service de validation SCEP de CSS est conçu comme un ensemble de composants qui peuvent également être intégrés dans des produits de gestion des appareils mobiles (MDM) detierces parties.

Les produitstiers qui répondent à ces exigences peuvent être de bons candidats pour s'intégrer au service de validation SCEP de CSS :

  • Utiliser une autorité de certification Microsoft (autonome ou entreprise)
  • Faciliter l'inscription des appareils iOS à un certificat par l'intermédiaire d'un serveur Microsoft NDES (SCEP)
  • Construit avec .NET, ou capacité d'intégration avec des services SOAP basés sur WCF

Scénario d'utilisateur normal

Examinons le scénario d'un utilisateur normal avec NDES et l'autorité de certification. Dans le diagramme ci-dessous, un utilisateur honnête a demandé un certificat. Le MDM fournit une configuration contenant une URL de serveur SCEP et un défi SCEP à l'appareil. L'appareil génère une clé sur l'appareil et utilise ces données de configuration pour demander un certificat au serveur SCEP spécifié. En cas de succès, un certificat est délivré.

Figure 1 : L'utilisateur honnête obtient un certificat

Scénario d'un utilisateur malveillant

Comme indiqué dans le livre blanc CSS SCEP and Untrusted Devices, si un utilisateur valide mais malveillant obtient un défi SCEP valide (qu'il s'agisse d'un mot de passe statique ou dynamique), il peut être en mesure de l'utiliser pour s'inscrire à un certificat pour une identité ou un objectif différent de celui qui serait autrement autorisé.

Dans le diagramme ci-dessous, un utilisateur malveillant a obtenu un défi SCEP de son système MDM. Au lieu de permettre à l'appareil de générer une clé et un PKCS#10, l'utilisateur crée un PKCS#10 avec une valeur de champ Subject Name qui lui donne une identité différente (et potentiellement plus privilégiée).

Figure 2 : Utilisateur malveillant obtenant un certificat avec une identité différente

MDM tiers avec composants de validation SCEP

Avec le service de validation SCEP intégré dans une application MDM, le scénario ci-dessus peut être évité. La solution VSCEP de CSS ajoute deux étapes au processus d'émission des certificats.

Figure 3 : L'utilisateur malveillant est arrêté avant d'obtenir le certificat grâce au service de validation SCEP.

Dans le diagramme ci-dessus, l'étape 2 est le seul point d'intégration au niveau de la source entre le MDM et le service de validation SCEP de CSS. Lorsqu'un utilisateur inscrit un appareil avec l'application MDM, le MDM enregistre le contenu du certificat attendu avec le défi SCEP correspondant à l'aide du service de validation SCEP de CSS. Ce contenu comprend des informations telles que le sujet attendu, le nom alternatif du sujet, le modèle, l'utilisation de la clé et les valeurs d'utilisation de la clé étendue.

L'étape n° 6 ci-dessus montre comment le module "Policy" valide le nouveau contenu du certificat directement auprès de l'autorité de certification, bien avant que le certificat ne soit envoyé au demandeur. Le module de politique générale travaille avec le service de validation pour vérifier le contenu réel du certificat par rapport au contenu attendu précédemment enregistré à l'étape 2. Si le module de politique générale estime que toutes les données correspondent au contenu attendu, la demande est approuvée et le certificat est envoyé au demandeur. Si l'utilisateur a des intentions malveillantes, le module de politique détectera la non-concordance des informations et refusera la demande de certificat.

Le service de validation SCEP est un service hébergé par IIS qui peut être installé n'importe où dans l'infrastructure de votre client. Il expose une interface simple, basée sur une méthode WCF, qui permet au MDM d'enregistrer l'ensemble des contenus attendus par l'utilisateur. Les applications MDM n'ont pas besoin de s'intégrer au module de politique lui-même. Le module de politique est installé directement sur une autorité de certification et configuré pour communiquer avec le service de validation SCEP.

Résumé

L'incorporation des composants du service de validation SCEP de CSS dans votre produit est simple et ne nécessite que des changements minimes au niveau des sources. Les défis SCEP attendus et le contenu du certificat doivent être enregistrés auprès du service de validation SCEP, comme le montre la figure 3 ci-dessus. Le module de politique CSS valide et fait respecter le fait que chaque certificat est émis pour l'identité réelle de l'utilisateur. Outre ce changement au niveau de la source, l'installation de votre produit doit être modifiée pour inclure les composants CSS. CSS est impatient de travailler avec vous pour intégrer notre service de validation SCEP dans votre produit MDM.

Visitez le centre de ressources SCEP validé pour plus d'informations : https://www.css-security.com/vscep/