CAN/CSA-ISO/CEI 9594-8-98

La présente Norme nationale du Canada est équivalente à la Norme internationale ISO/CEI 9594-8:1995. 1 Domaine d'application La présente Spécification | Norme internationale: - spécifie la forme sous laquelle l'information d'authentification est conservée par l'Annuaire; - décrit la façon dont on peut obtenir de l'Annuaire cette information d'authentification; - établit les hypothèses faites au sujet de la manière dont est constituée cette information d'authentification et de son emplacement dans l'Annuaire; - définit trois manières dont les applications peuvent employer cette information d'authentification pour effectuer des authentifications et explique comment d'autres services de sécurité peuvent être assurés par l'authentification. La présente Recommandation | Norme internationale contient les descriptions de deux niveaux d'authentification: l'authentification simple qui utilise un mot de passe pour la vérification de l'identité et l'authentification poussée qui fait intervenir des accréditations établies au moyen de techniques cryptographiques. Tandis que l'authentification simple n'offre qu'une protection limitée contre l'accès non autorisé, seule l'authentification poussée devra servir de base à la prestation de services sûrs. Il ne s'agit pas ici d'établir un cadre général d'authentification. Celui-ci peut toutefois se prêter à une utilisation générale pour des applications qui jugent que ces techniques sont appropriées. On ne peut fournir d'authentification (et d'autres services de sécurité) que dans le contexte d'une politique de sécurité définie pour une application particulière. Il appartient aux utilisateurs de cette application de définir leur propre politique de sécurité qui peut dépendre des services fournis par une norme. Il appartient aux normes de définir les applications qui utilisent le cadre d'authentification pour spécifier les échanges de protocole qu'il convient d'effectuer afin de parvenir à une authentification basée sur l'information d'authentification obtenue de l'Annuaire. Le protocole utilisé par les applications pour obtenir des accréditations de l'Annuaire est le protocole d'accès à l'Annuaire (DAP) spécifié dans la Rec. UIT-T X.519 | ISO/CEI 9594-5. La méthode d'authentification poussée spécifiée dans la présente Recommandation | Norme internationale repose sur des systèmes cryptographiques à clé (de codage) publique. C'est le principal avantage de ces systèmes que les certificats d'utilisateur puissent être conservés dans l'Annuaire et obtenus par les utilisateurs de l'Annuaire de la même manière que d'autres informations de l'Annuaire. On admet que les certificats d'utilisateur sont constitués par des moyens indépendants et sont mis en place dans l'Annuaire par leur créateur. La génération de certificats d'utilisateur est effectuée par une autorité de certification autonome qui est complètement distincte des DSA de l'Annuaire. En particulier, aucune exigence spéciale n'est prescrite aux fournisseurs de l'Annuaire pour mémoriser ou communiquer les certificats d'utilisateur de façon sûre. Une brève introduction à la cryptographie à clé publique est donnée dans l'Annexe C. En général, le cadre d'authentification ne dépend pas de l'utilisation d'un algorithme particulier pour autant qu'il possède les propriétés décrites en 7.1. Il est possible dans la pratique d'utiliser un certain nombre d'algorithmes différents. Toutefois, deux utilisateurs qui désirent s'authentifier doivent utiliser le même algorithme cryptographique pour effectuer correctement l'authentification. De cette façon, dans le contexte d'un ensemble d'applications voisines, le choix d'un algorithme unique servira à élargir au maximum la communauté des utilisateurs capables de s'authentifier et de communiquer en sécurité. Un exemple d'algorithme cryptographique de clé publique est spécifié dans l'Annexe D. De même, deux utilisateurs qui désirent s'authentifier doivent utiliser la même fonction hachag