Vous êtes sur la page 1sur 25
Sécurité du pack de prise en charge S/MIME Version 4.2 Présentation technique © 2006 Research

Sécurité du pack de prise en charge S/MIME

Version 4.2

Présentation technique

Sécurité du pack de prise en charge S/MIME

2

Sommaire

Pack de prise en charge S/MIME

3

Nouveau dans cette version

3

Spécifications système

4

Architecture du système

4

Prise en charge du composant PKI

5

Gestion de certificats basée sur Desktop

5

Gestion de certificats sur le réseau mobile

6

Configuration des connexions du composant PKI par défaut

6

Sécurité de BlackBerry Enterprise Solution

8

Cryptage standard BlackBerry

8

Sécurité du pack de prise en charge S/MIME

8

Certificats

8

Autorités de certification (CA)

9

Types de certificats S/MIME

9

Cryptage S/MIME

10

Activation de la messagerie S/MIME

11

Recherche et validation de certificats S/MIME

13

Recherche de certificats S/MIME

13

État de révocation de certificats S/MIME

13

Stockage de certificats et de clés privées S/MIME

14

Stockage du terminal BlackBerry

14

Stockage de certificats sur une carte à puce

16

Suppression du contenu S/MIME déchiffré du terminal BlackBerry

16

Gestion des clés privées et des certificats S/MIME

17

Affichage d'informations détaillées sur les certificats S/MIME

17

Configuration des options de sécurité des certificats S/MIME

18

Envoi de messages S/MIME protégés

19

Options de signature et de cryptage de messages

19

Vérification d'un certificat ou de l'état de la chaîne de certification à partir d'un message S/MIME protégé reçu

20

Extraction ou importation d'un certificat à partir d'un message S/MIME protégé reçu

21

Ajout d'une configuration de serveur de certificats à partir d'un message S/MIME protégé reçu

21

Icônes des messages S/MIME

21

Règles de stratégie informatique BlackBerry Enterprise Server pour pack de prise en charge S/MIME22

24

Ressources connexes

Sécurité du pack de prise en charge S/MIME

3

Ce document présente des fonctionnalités prises en charge par le pack de prise en charge S/MIME version 4.2, conçu pour offrir des fonctionnalités de sécurité étendues pour le terminal BlackBerry®, et par BlackBerry Enterprise Server version 4.1.2 ou ultérieure (avec le modèle de stratégie informatique approprié), sauf mention contraire. Pour déterminer si une version précédente de ces logiciels prend en charge une fonctionnalité spécifique, reportez-vous à la documentation.

Pour consulter la liste des formes développées des acronymes utilisés dans ce document voir BlackBerry Enterprise Solution Security Acronym Glossary (Glossaire des acronymes sur la sécurité de BlackBerry Enterprise Solution).

Pack de prise en charge S/MIME

Le pack de prise en charge S/MIME a été conçu pour permettre aux utilisateurs du terminal BlackBerry qui envoient et reçoivent déjà des messages S/MIME grâce au programme de messagerie de leur ordinateur d'envoyer et de recevoir des messages S/MIME protégés avec leur terminal BlackBerry. Le pack de prise en charge S/MIME a été conçu pour fonctionner avec des clients de messagerie S/MIME, notamment Microsoft® Outlook® et Microsoft Outlook Express, avec des composants PKI courants, tels que Netscape®, Entrust® Authority™ Security Manager version 5 et ultérieure, ainsi qu'avec Microsoft CA.

Le pack de prise en charge S/MIME comprend des outils qui facilitent l'obtention et le transfert de certificats numériques vers le terminal BlackBerry. Cela signifie que le terminal BlackBerry sur lequel est installé le pack de prise en charge S/MIME peut déchiffrer des messages cryptés S/MIME, que les utilisateurs peuvent lire les messages déchiffrés sur leur terminal BlackBerry et qu'ils peuvent signer, crypter et envoyer des messages S/MIME à partir de leur terminal BlackBerry. Sans le pack de prise en charge S/MIME, BlackBerry Enterprise Server envoie un message au terminal BlackBerry avec un avertissement stipulant que le message S/MIME ne peut pas être déchiffré.

Le pack de prise en charge S/MIME prend en charge les fonctionnalités suivantes :

gestion et synchronisation de clés privées et de certificats grâce à l'outil de gestion de synchronisation de certificats intégré à BlackBerry Desktop Software

cryptage et déchiffrement de messages, y compris les messages PIN, la vérification de signatures numériques et la signature numérique de messages sortants

recherche et récupération de certificats et d'états de certificats sur le réseau mobile grâce aux protocoles PKI

cartes à puce du terminal BlackBerry

Nouveau dans cette version

Fonctionnalité

Description

prise en charge étendue de la plate-forme BlackBerry Enterprise Server pour le traitement des messages S/MIME

BlackBerry Enterprise Server pour IBM Lotus Domino version 4.1.2 ou ultérieure prend en charge les mêmes fonctionnalités de traitement des messages S/MIME que BlackBerry Enterprise Server pour Microsoft Exchange.

classification des messages

Vous pouvez définir des classifications de message pour faire en sorte que les utilisateurs signent, cryptent, ou signent et cryptent, les e-mails envoyés à partir de leur terminal BlackBerry compatible S/MIME via BlackBerry Enterprise Server version 4.1.2 ou ultérieure.

extraction de certificats améliorée

Lorsqu'un utilisateur choisit de signer, ou de signer et crypter, un e-mail, le terminal BlackBerry recherche et télécharge automatiquement un certificat pour un destinataire lorsque l'utilisateur ajoute ce destinataire au message.

Sécurité du pack de prise en charge S/MIME

4

Fonctionnalité

Description

options supplémentaires de gestion de certificats

Dans BlackBerry Enterprise Server version 4.1.2 ou ultérieure, vous pouvez définir des règles de stratégie informatique afin de

spécifier si le terminal BlackBerry affiche ou non un avertissement lorsque l'utilisateur reçoit un message signé sur le terminal BlackBerry dans lequel l'adresse e-mail de l'expéditeur ne figure pas dans le certificat utilisé pour signer le message ;

spécifier si le terminal BlackBerry affiche ou non des avertissements et des indications visuelles lorsque l'utilisateur reçoit un e-mail dont la signature utilise un certificat obsolète ;

spécifier le nom de domaine utilisé pour les adresses e-mail contenues dans les certificats délivrés au sein de votre entreprise si ces derniers contiennent une adresse longue et que les utilisateurs envoient en général des e-mails à partir d'une adresse courte avec le même nom d'utilisateur et un domaine différent.

Spécifications système

Le pack de prise en charge S/MIME version 4.2 et ultérieure prend en charge les logiciels et terminaux BlackBerry suivants :

Serveur de messagerie et de collaboration

BlackBerry Enterprise Server

Terminaux BlackBerry

Microsoft Exchange 5.5, 2000 et 2003 Servers

BlackBerry Enterprise Server version 2.1 Service Pack 3A ou ultérieure pour Microsoft Exchange

Terminaux BlackBerry Java™ exécutant BlackBerry Device Software version 4.2 ou ultérieure

IBM® Lotus® Domino® Server version 5.0.3 ou ultérieure

BlackBerry Enterprise Server version 4.1.2 ou ultérieure pour IBM Lotus Domino

Remarque : les utilisateurs doivent installer le pack de prise en charge S/MIME sur le terminal BlackBerry et ajouter Certificate Synchronization Manager (Gestionnaire de synchronisation de certificats) à BlackBerry Desktop Manager.

Stratégie informatique : configuration requise

Dans BlackBerry Enterprise Server version 3.6 pour Microsoft Exchange, vous devez importer les règles de stratégie informatique S/MIME (dans un fichier de stratégie informatique modèle séparé) pour pouvoir prendre en charge les messages S/MIME. Dans BlackBerry Enterprise Server version 4.0 ou ultérieure pour Microsoft Exchange ou IBM Lotus Domino, BlackBerry Manager inclut automatiquement les règles de stratégie informatique S/MIME.

Architecture du système

Le pack de prise en charge S/MIME requiert que l'architecture système du réseau mobile prenne en charge les connexions au serveur suivantes :

une connexion physique (à l'aide d'un port série ou USB) du terminal BlackBerry à l'ordinateur, pour permettre au Gestionnaire de synchronisation de certificats de télécharger la clé privée de l'utilisateur sur le terminal BlackBerry

une connexion sans fil établie par le BlackBerry MDS™ (BlackBerry Mobile Data System™) Connection Service (service de connexion), qui réside dans BlackBerry Enterprise Server, et conçue pour permettre au terminal BlackBerry de se connecter au PKI

Sécurité du pack de prise en charge S/MIME

5

Prise en charge du composant PKI

Le pack de prise en charge S/MIME a été conçu pour prendre en charge les composants PKI suivants :

LDAP : le terminal BlackBerry et le Gestionnaire de synchronisation de certificats utilisent le LDAP pour rechercher et télécharger des certificats.

OCSP : le terminal BlackBerry et le Gestionnaire de synchronisation de certificats utilisent l'OCSP pour vérifier à la demande l'état de révocation d'un certificat.

CRL : le terminal BlackBerry et le Gestionnaire de synchronisation de certificats obtiennent les états de révocation de certificats les plus récents, publiés à une fréquence définie sur le serveur CA, à partir d'une CRL.

Serveurs de certificat

Type de

Description

serveur

CA

stocke les certificats et les états de certificats

publie les certificats sur les serveurs LDAP

publie les listes de révocation de certificats sur les serveurs CRL

CRL

stocke les listes de certificats révoqués que l'autorité de certification publie à une certaine fréquence

LDAP

stocke les certificats et les états de certificats

fournit des certificats au terminal BlackBerry

OCSP

vérifie l'état de révocation de certification sur demande

Gestion de certificats basée sur Desktop

Le Gestionnaire de synchronisation de certificats du Gestionnaire de bureau BlackBerry permet aux utilisateurs de rechercher des certificats, de les télécharger sur le terminal BlackBerry et de vérifier l'authenticité et l'état des certificats. Les serveurs de l'autorité de certification, les serveurs PKI et le Gestionnaire de synchronisation de certificats s'échangent les informations relatives aux certificats.

s'échangent les informations relatives aux certificats. Connexions au serveur de gestion de certificats basée sur

Connexions au serveur de gestion de certificats basée sur Desktop

Sécurité du pack de prise en charge S/MIME

6

Gestion de certificats sur le réseau mobile

Les versions de BlackBerry Enterprise Server suivantes prennent en charge le transfert de données sur le réseau mobile entre le terminal BlackBerry et les composants PKI :

BlackBerry Enterprise Server version 3.5 ou ultérieure pour Microsoft Exchange

BlackBerry Enterprise Server version 4.1.2 ou ultérieure pour IBM Lotus Domino

Le service de connexion utilise les protocoles Internet standard pour permettre aux terminaux BlackBerry sur lesquels est installé et activé le pack de prise en charge S/MIME de récupérer des certificats S/MIME et des états de certificats S/MIME à partir du ou des serveurs PKI sur le réseau mobile.

à partir du ou des serveurs PKI sur le réseau mobile. Connexions au serveur de gestion

Connexions au serveur de gestion de certificats sur le réseau mobile

Configuration des connexions du composant PKI par défaut

Dans BlackBerry Enterprise Server, vous pouvez configurer les connexions LDAP, OCSP et CRL par défaut afin que les terminaux BlackBerry utilisant BlackBerry Enterprise Server puissent se connecter au PKI.

Configurer un serveur LDAP

1. Sur le Gestionnaire BlackBerry, dans le volet gauche, cliquez sur BlackBerry Enterprise Server.

2. Cliquez sur l'onglet Service de connexion.

3. Cliquez sur Modifier les propriétés.

4. Cliquez sur LDAP.

Sécurité du pack de prise en charge S/MIME

7

5. Renseignez les champs suivants :

Champ

Description

Nom d'hôte

Saisissez le nom du serveur LDAP par défaut.

Port

Saisissez le numéro de port auquel le serveur LDAP par défaut est connecté. Remarque : si vous saisissez un nom d'hôte, vous devez saisir un numéro de port.

Requête de base du serveur par défaut

Saisissez la requête de base par défaut pour le serveur LDAP par défaut. Utilisez %20 pour les espaces. Remarque : chaque serveur LDAP peut héberger des domaines multiples mais ne peut chercher que dans un domaine à la fois. Il est parfois nécessaire de définir une requête de base par défaut pour certains serveurs LDAP.

Limite de requête

Saisissez le nombre maximum d'entrées à retourner pour chaque requête.

Activer la compression des données

Dans la liste déroulante, cliquez sur Vrai pour comprimer les résultats de la recherche LDAP.

Configurer un serveur OCSP

1. Sur le Gestionnaire BlackBerry, dans le volet gauche, cliquez sur BlackBerry Enterprise Server.

2. Cliquez sur l'onglet Service de connexion.

3. Cliquez sur Modifier les propriétés.

4. Cliquez sur OCSP.

5. Renseignez les champs suivants :

Champ

Description

URL du répondeur par défaut

Saisissez l'URL d'un répondeur OCSP par défaut.

Utiliser des répondeurs du terminal

Permet au gestionnaire OCSP d'interroger les répondeurs OCSP que l'utilisateur peut spécifier sur le terminal BlackBerry (dans Options > Options de sécurité > Serveurs de certificats). Pour empêcher un terminal BlackBerry d'utiliser une URL de répondeur OCSP autre que celle que vous avez définie par défaut, ne remplissez pas ce champ.

Utiliser des répondeurs d'extension de certificat

Permet au gestionnaire OCSP d'utiliser les extensions du répondeur OCSP d'un certificat lorsque le terminal BlackBerry effectue une recherche OCSP. Pour empêcher un terminal BlackBerry d'utiliser une URL de répondeur OCSP autre que celle que vous avez définie par défaut, ne remplissez pas ce champ.

Configurer un serveur CRL

1. Sur le Gestionnaire BlackBerry, dans le volet gauche, cliquez sur BlackBerry Enterprise Server.

2. Cliquez sur l'onglet Service de connexion.

3. Cliquez sur Modifier les propriétés.

4. Cliquez sur OCSP.

5. Renseignez le champ suivant :

Champ

Description

URL du serveur CRL par défaut

Saisissez l'URL du serveur CRL.

Sécurité du pack de prise en charge S/MIME

8

Les utilisateurs peuvent ajouter et configurer les serveurs LDAP, OCSP et CRL à partir du terminal BlackBerry. Pour plus d'informations, voir le Supplément du guide de l'utilisateur du pack de prise en charge S/MIME.

Sécurité de BlackBerry Enterprise Solution

L'infrastructure BlackBerry actuelle utilise la cryptographie à clé symétrique pour crypter les données transitant entre BlackBerry Enterprise Server et le terminal BlackBerry. Le cryptage BlackBerry standard crypte les données en utilisant l'algorithme Triple-DES ou AES. Pour plus d'informations sur les fonctions de sécurité de BlackBerry Enterprise Solution, voir Fonctions de sécurité de BlackBerry Enterprise Solution - Présentation technique.

Cryptage standard BlackBerry

Avant d'envoyer un message, le terminal BlackBerry le compresse puis le chiffre à l'aide d'une clé de cryptage principale propre au terminal BlackBerry.

Lorsque BlackBerry Enterprise Server reçoit le message du terminal BlackBerry, BlackBerry Enterprise Server déchiffre le message à l'aide d'une clé de cryptage principale BlackBerry puis décompresse le message.

Pour plus d'informations sur le cryptage standard BlackBerry, voir Fonctions de sécurité de BlackBerry Enterprise Solution - Présentation technique.

Sécurité du pack de prise en charge S/MIME

À partir du moment où l'utilisateur du terminal BlackBerry envoie un message et jusqu'à ce que BlackBerry Enterprise Server reçoive le message, ce dernier est crypté grâce au cryptage standard BlackBerry. La technologie S/MIME a été conçue pour assurer de bout en bout l'authentification ainsi que la confidentialité des messages et contribue à protéger tant l'intégrité que le caractère privé des données depuis l'envoi du message sur le réseau mobile jusqu'à son décodage et sa lecture par le destinataire.

La technologie S/MIME repose sur la cryptographie de clés publiques (clés publiques et privées) qui offre les composants de sécurité suivants :

Confidentialité : la technologie S/MIME utilise le cryptage pour s'assurer que seul le destinataire concerné peut voir le contenu du message.

Intégrité : la technologie S/MIME utilise les signatures numériques pour vérifier que les données du message n'ont pas été modifiées par un tiers.

Authenticité : la technologie S/MIME utilise les signatures numériques pour permettre au destinataire du message d'identifier et d'approuver l'expéditeur du message.

Certificats

Les certificats sont des documents numériques qui contiennent des informations sur le sujet du certificat. Les certificats utilisent la structure hiérarchique de la syntaxe de nom distinctif (DN) standard X.509 pour définir les attributs du sujet du certificat.

Sécurité du pack de prise en charge S/MIME

9

Attributs courants des objets de certificat

Attribut

Description

Exemple

C

Nom de pays

C

= États-Unis

CN

Nom habituel

CN = Amy Krul

E

Adresse e-mail

E

= akrul@rim.com

L

Localité

L

= San Francisco

O

Nom de la société

O

= Research In Motion

OU

Nom de l'unité de la société

OU = Pixelvibe Division

ST

Région / département

ST = Californie

Un certificat lie l'identité du sujet du certificat et la clé privée du sujet, offrant ainsi un niveau de confiance dans l'authenticité de la relation.

Autorités de certification (CA)

Une autorité de certification délivre des certificats. Pour que le terminal BlackBerry approuve le certificat, il doit faire confiance à l'autorité de certification qui a délivré le certificat. Cette relation d'approbation est représentée par une chaîne de certification qui part du certificat de l'utilisateur vers le certificat de l'autorité de certification et toute autre entité d'autorisation connectée au certificat de l'utilisateur. Le certificat d'origine d'une chaîne est appelé certificat racine.

Lorsque l'utilisateur installe le pack de prise en charge S/MIME sur le terminal BlackBerry et ajoute le Gestionnaire de synchronisation de certificats à BlackBerry Desktop Manager, le Gestionnaire de synchronisation de certificats invite l'utilisateur du terminal BlackBerry à télécharger la clé privée S/MIME existante de l'ordinateur vers le terminal BlackBerry. Lorsque l'utilisateur du terminal BlackBerry télécharge la clé privée, il télécharge automatiquement le certificat correspondant ainsi que tous les certificats de la chaîne. Grâce à ce mécanisme, votre entreprise peut distribuer des certificats racines de confiance à tous les utilisateurs de terminaux BlackBerry afin qu'ils puissent utiliser le système PKI de l'entreprise. L'utilisateur peut choisir d'approuver uniquement un certificat sélectionné ou d'approuver le certificat racine pour approuver l'ensemble de la chaîne de certification.

Le pack de prise en charge S/MIME prend en charge les certifications croisées entre les différentes autorités de certification. Une autorité de certification délivre un certificat qui contient le nom et la clé publique d'une autre autorité, ce qui permet aux utilisateurs d'une entreprise de remonter jusqu'au certificat racine d'une autre entreprise.

Types de certificats S/MIME

Le pack de prise en charge S/MIME utilise la cryptographie de clés publiques avec les certificats suivants :

Type de certificat

Description

Extension de

fichier

Certificats avec clés privées (certificats personnels)

S/MIME utilise la clé privée correspondante du certificat pour

.pfx

déchiffrer un message chiffré avec une clé publique dans le certificat

.p12

 

produire une signature numérique

Certificats d'autres

S/MIME utilise la clé publique du certificat pour

.cer

personnes

déchiffrer les messages que le sujet du certificat reçoit

.der

vérifier les signatures numériques que le sujet du certificat produit

.cert

Sécurité du pack de prise en charge S/MIME

10

Certificats intermédiaires

Une autorité de certification racine peut délivrer des certificats intermédiaires qui, à leur tour, délivrent des certificats d'entités finales pour faciliter la distribution de certificats sur l'ensemble de l'entreprise. Un certificat intermédiaire est un « maillon » de la chaîne de certification, mais il ne peut pas identifier une autorité de certification racine.

.crt

.p7b

.p7c

.key

Certificats racine

Une autorité de certification racine crée des certificats racines. RIM intègre des certificats racines authentiques dans le logiciel du terminal BlackBerry afin que les utilisateurs n'aient pas à vérifier l'authenticité des certificats racines. Remarque : si un utilisateur du terminal BlackBerry reçoit un certificat racine d'une source à laquelle le terminal BlackBerry ne fait pas confiance, l'utilisateur du terminal BlackBerry doit vérifier manuellement l'authenticité du certificat racine (par exemple : en vérifiant les empreintes du certificat) avant de l'approuver.

Les utilisateurs du terminal BlackBerry peuvent afficher et gérer des certificats stockés dans le Gestionnaire de synchronisation de certificats. Pour plus d'informations, voir le Supplément du guide de l'utilisateur du pack de prise en charge S/MIME.

Cryptage S/MIME

Si le pack de prise en charge S/MIME est installé sur un terminal BlackBerry, lorsque l'utilisateur du terminal BlackBerry envoie un message, le terminal crypte le message via la technologie S/MIME et via le cryptage standard BlackBerry selon le processus suivant :

1. Le terminal BlackBerry crypte le message avec le certificat S/MIME du destinataire.

2. Le terminal BlackBerry utilise le cryptage standard BlackBerry pour crypter le message crypté S/MIME.

3. Le terminal BlackBerry envoie les données chiffrées au BlackBerry Enterprise Server.

4. BlackBerry Enterprise Server supprime le cryptage standard BlackBerry et envoie le message chiffré S/MIME au destinataire.

Si le pack de prise en charge S/MIME est installé sur un terminal BlackBerry, lorsque l'utilisateur reçoit un message sur le terminal BlackBerry, celui-ci crypte le message S/MIME via le cryptage standard BlackBerry, puis déchiffre le message selon le processus suivant :

1. BlackBerry Enterprise Server reçoit le message S/MIME protégé.

2. Si le message a uniquement été signé ou s'il est faiblement crypté, BlackBerry Enterprise Server crypte le message une deuxième fois avec le cryptage S/MIME si vous avez activé cette option à l'aide de BlackBerry Manager. Pour plus d'informations, consultez la section « Activation d'options de messagerie S/MIME supplémentaires » page 12.

3. BlackBerry Enterprise Server utilise le cryptage standard BlackBerry pour chiffrer les données S/MIME.

4. BlackBerry Enterprise Server envoie le message chiffré au terminal BlackBerry.

5. Le terminal BlackBerry supprime le cryptage standard BlackBerry et stocke le message crypté S/MIME.

6. Lorsque l'utilisateur ouvre le message sur son terminal BlackBerry, le terminal déchiffre le message crypté S/MIME et affiche son contenu.

Algorithmes de cryptage S/MIME

Le terminal BlackBerry est conçu pour prendre en charge un algorithme de cryptage S/MIME fort. Lorsque vous activez le cryptage S/MIME sur BlackBerry Enterprise Server, le paramètre par défaut des règles de stratégie informatique en matière de codes de contenu autorisé S/MIME spécifie que le terminal BlackBerry peut utiliser n'importe quel algorithme pris en charge pour déchiffrer les messages S/MIME (exceptés les deux algorithmes RC2 les plus faibles, RC2 64 bits et RC2 40 bits).

Sécurité du pack de prise en charge S/MIME

11

Vous pouvez définir la règle de stratégie informatique en matière de codes de contenu autorisé S/MIME pour déchiffrer les messages S/MIME en utilisant AES 256 bits, AES 192 bits, AES 128 bits, CAST 128 bits, RC2 128 bits, Triple DES, RC2 64 bits et RC2 40 bits.

Si le terminal BlackBerry a déjà reçu un message de l'expéditeur concerné, il est configuré pour se souvenir du code de contenu que le destinataire peut prendre en charge et utiliser un des ces codes. Le terminal BlackBerry chiffre le message grâce à Triple DES par défaut s'il ne connaît pas les fonctionnalités de déchiffrement du destinataire.

Certificats S/MIME

Lorsqu'un utilisateur envoie un message crypté à partir du terminal BlackBerry, le terminal utilise le certificat S/MIME du destinataire pour crypter le message.

Lorsqu'un utilisateur du terminal BlackBerry reçoit un message signé, le terminal BlackBerry utilise le certificat S/MIME de l'expéditeur pour vérifier la signature du message.

Clés privées S/MIME

Lorsqu'un utilisateur envoie un message signé du terminal BlackBerry, le terminal utilise la clé privée S/MIME de l'utilisateur pour effectuer une signature numérique du message.

Lorsqu'un utilisateur reçoit un message crypté, le terminal BlackBerry utilise la clé privée de l'utilisateur pour déchiffrer le message.

Taille de la clé S/MIME

La force d'une clé publique ou privée S/MIME dépend de sa longueur (ou de sa taille). Vous pouvez appliquer un niveau de force minimum en définissant les longueurs minimums de clé des algorithmes RSA, DSA, DH et ECC à l'aide des règles de stratégie informatique BlackBerry Enterprise Server. Le tableau suivant dresse la liste des longueurs de clé minimum et maximum par défaut pour les algorithmes de clés publiques pris en charge.

Algorithme

Longueur minimum de la clé forte par défaut

Longueur maximum de la clé (en bits)

DH

1

024

4

096

ECC

 

163

571

DSA

 

1 024

 

1 024

RSA

 

1 024

4

096

Le terminal BlackBerry est conçu pour prendre en charge les clés publiques S/MIME fortes afin de pouvoir protéger les messages, en

configurant la règle de stratégie informatique relative à la longueur minimum de clé S/MIME ECC forte sur

163

configurant les règles de stratégie informatique suivantes sur 1 024 :

Longueur minimale de la clé DH forte S/MIME

Longueur minimale de la clé DSA forte S/MIME

Longueur minimale de la clé RSA forte S/MIME

Pour plus d'informations, voir « Règles de stratégie informatique BlackBerry Enterprise Server pour pack de prise en charge S/MIME » page 22.

Activation de la messagerie S/MIME

Par défaut, la messagerie S/MIME est désactivée sur BlackBerry Enterprise Server. Pour activer la messagerie S/MIME sur BlackBerry Enterprise Server, activez l'option Activer le traitement des messages S/MIME dans BlackBerry Manager.

Après avoir activé la messagerie S/MIME sur BlackBerry Enterprise Server, lorsqu'un utilisateur installe le pack de prise en charge S/MIME sur son terminal BlackBerry et sélectionne l'option de synchronisation de certificats lors de l'installation de BlackBerry Desktop Software, BlackBerry Manager active automatiquement la messagerie S/MIME pour l'utilisateur.

Sécurité du pack de prise en charge S/MIME

12

Pour plus d'informations, consultez le Guide d'administration du système BlackBerry Enterprise Server.

Activation d'options de messagerie S/MIME supplémentaires

Dans BlackBerry Enterprise Server version 4.0 et ultérieure, vous pouvez activer d'autres types de cryptage S/MIME dans BlackBerry Manager.

BlackBerry Enterprise Server version

Option de cryptage

Description

BlackBerry Enterprise Server pour

Activer le cryptage S/MIME de

Oblige BlackBerry Enterprise Server à crypter une seconde fois les messages avec le cryptage S/MIME lorsque les utilisateurs reçoivent des messages faiblement cryptés ou signés mais non cryptés S/MIME sur leur terminal BlackBerry compatible S/MIME.

Microsoft Exchange version 4.0 et ultérieure

BlackBerry Enterprise Server pour IBM Lotus D omino version 4.1.2 et ultérieure

messages signés et faiblement chiffrés

BlackBerry

Enterprise Server pour

Envoyer des messages S/MIME en format

Lorsqu'un utilisateur envoie un message S/MIME signé à partir de son terminal BlackBerry, le texte du message apparaît dans le corps de texte, suivi de la signature numérique. Le destinataire du message dont le client de messagerie ne prend pas en charge S/MIME peut lire le texte du message mais ne peut pas vérifier la signature numérique.

Microsoft Exchange version 4.1 et ultérieure

« signature en

BlackBerry Enterprise Server pour IBM Lotus D omino version 4.1.2 et ultérieure

clair »

Supprimer des données en pièce jointe de messa ges S/MIME

BlackBerry Enterprise Server supprime le s données en p ièce jointe des messages S/MIME reçus bénéficiant uniquement d'un e signature, afin que les utilisateurs sur BlackBerry Enterprise Server puissent recevoir plus de texte sur leur terminal BlackBerry. Le terminal BlackBerry ne peut pas vérifier la signature numérique S/MIME du message lorsque BlackBerry Enterprise Server a supprimé les données en pièce jointe du message.

Utiliser le type Pkcs7 MIME

BlackBerry Enterprise Server envoie les messages cryptés S/MIME via un nouveau type de contenu MIME, conforme à PKCS#7, au lieu d'utiliser le type de contenu MIME hérité par défaut. Si un utilisateur du terminal BlackBerry envoie un message crypté S/MIME via un système de messagerie qui ne prend pas en charge le type MIME utilisé, le système de messagerie n'affichera pas correctement le message S/MIME protégé.

Sécurité du pack de prise en charge S/MIME

13

BlackBerry Enterprise Server version

Option de cryptage

Description

BlackBerry Enterprise Server pour Microsoft Exchange version 4.1.2 et ultérieure

Activer la

BlackBerry Enterprise Server requiert que le terminal BlackBerry utilise des niveaux de protection S/MIME spécifiques des messages conformément au niveau de classification défini par l'utilisateur lors de la rédaction du message sur son terminal BlackBerry. Vous pouvez utiliser la règle de stratégie informatique de classification des messages pour ajouter un ensemble de classifications de message, accessible aux utilisateurs, à appliquer aux e-mails envoyés via BlackBerry Enterprise Server. Les classifications de message peuvent contraindre les utilisateurs à signer, crypter ou à signer et crypter les messages.

classification des

messages

BlackBerry Enterprise Server pour IBM Lotus Domino version 4.1.2 et ultérieure

Pour plus d'informations, consultez le Guide d'administration du système BlackBerry Enterprise Server.

Recherche et validation de certificats S/MIME

Recherche de certificats S/MIME

Le pack de prise en charge S/MIME comprend une application de recherche de certificats S/MIME sur le terminal BlackBerry. Les utilisateurs du terminal BlackBerry peuvent interroger des serveurs de certificats LDAP définis, télécharger des certificats S/MIME à partir des résultats de la recherche et ajouter des certificats dans la base de clés du terminal BlackBerry. Pendant que l'utilisateur rédige son message, le terminal BlackBerry recherche et télécharge automatiquement des certificats qui ne sont pas sur le terminal BlackBerry en utilisant les adresses e-mails des destinataires spécifiés. Les utilisateurs du terminal BlackBerry peuvent effectuer des recherches manuelles à partir du prénom, du nom ou de l'adresse e-mail de l'objet du certificat du S/MIME.

État de révocation de certificats S/MIME

Les utilisateurs peuvent vérifier l'état de révocation des certificats S/MIME lorsqu'ils reçoivent un message signé, ou signé et crypté, sur leur terminal BlackBerry, et avant d'envoyer des messages à des objets de certificats S/MIME. Les utilisateurs peuvent également vérifier l'état de révocation d'un certificat S/MIME dans les bases de clés du terminal BlackBerry et sur l'écran de recherche de certificats S/MIME.

Le terminal BlackBerry utilise le service de connexion pour effectuer des requêtes et récupérer l'état de révocation des certificats S/MIME d'un serveur OCSP ou CRL. L'utilisateur peut demander l'état d'un seul certificat ou de toute la chaîne de certification.

Sur le terminal BlackBerry, dans l'écran de recherche de certificats S/MIME, les utilisateurs peuvent préciser s'ils veulent être invités à extraire l'état de révocation de certificat S/MIME lorsqu'ils téléchargent un certificat S/MIME et les ajouter à la base de clés du terminal BlackBerry.

Sécurité du pack de prise en charge S/MIME

14

Stockage de certificats et de clés privées S/MIME

Stockage du terminal BlackBerry

La base de clés S/MIME, qui se trouve dans la mémoire flash du terminal BlackBerry, stocke

Les paires de clés privés et le certificat S/MIME que le terminal BlackBerry reçoit du Gestionnaire de synchronisation de certificats

les certificats S/MIME que le terminal BlackBerry reçoit du Gestionnaire de synchronisation de certificats, extrait du ou des serveurs de certificats LDAP, ou importe d'une carte à puce ou des messages

des certificats racine que RIM fournit avec le logiciel BlackBerry

Sécurité de la base de clés

Les utilisateurs du terminal BlackBerry doivent fournir le mot de passe de la base de clés pour ajouter ou supprimer des certificats S/MIME stockés sur le terminal BlackBerry.

Le terminal BlackBerry stocke un algorithme à hachage SHA 256 du mot de passe de la base de clés. Le hachage du mot de passe est conçu pour protéger le mot de passe de la base de clés actuelle en empêchant un attaquant de découvrir le mot de passe du contenu de la mémoire du terminal BlackBerry. Lorsqu'un utilisateur saisit le mot de passe de la base de clés, le terminal BlackBerry effectue un hachage unidirectionnel sur les caractères saisis à l'aide du SHA 256, puis compare le hachage avec le mot de passe haché stocké.

Vous pouvez définir les règles de stratégie informatique BlackBerry Enterprise Server pour configurer le mot de passe de la base de clés. Pour plus d'informations, reportez-vous au guide Policy Reference Guide (Guide de référence des stratégies).

Règle de stratégie informatique

Recommandation

Longueur minimale du mot de passe

Définissez un mot de passe de stockage contenant de 4 à 12 caractères alphanumériques.

Mots de passe interdits

Spécifiez les mots de passe faibles devant être évités.

Délai de validité maximal du mot de passe de la base de clés

Entrez la durée maximale (0, 1, 2, 5, 10, 20, 30 minutes ou 1 heures) pendant laquelle la base de clés reste déverrouillée après la saisie par l'utilisateur du mot de passe correct

Désactivation de la sauvegarde de la base de clés

Configurez cette règle de stratégie informatique pour empêcher la sauvegarde des clés privées S/MIME se trouvant dans la base de clés.

Niveau de sécurité minimal de la base de clés de signature

Configurez l'un des niveaux suivants :

2 (sécurité élevée) : le terminal BlackBerry invite l'utilisateur à entrer son mot de passe pour la base de clés à chaque fois qu'une application tente d'accéder à sa clé privée

 

3 (sécurité moyenne) : le terminal BlackBerry invite l'utilisateur

à

entrer son mot de passe pour la base de clés la première fois

qu'une application tente d'accéder à sa clé privée ou quand le délai de validité du mot de passe de la base de clés a expiré

Niveau de sécurité minimal de la base de clés de cryptage

Configurez l'un des niveaux suivants :

2 (sécurité élevée) : le terminal BlackBerry invite l'utilisateur à entrer son mot de passe pour la base de clés à chaque fois qu'une application tente d'accéder à sa clé privée

 

3 (sécurité moyenne) : le terminal BlackBerry invite l'utilisateur

à

entrer son mot de passe pour la base de clés la première fois

qu'une application tente d'accéder à sa clé privée ou quand le délai de validité du mot de passe de la base de clés a expiré

Sécurité du pack de prise en charge S/MIME

15

Les utilisateurs peuvent également renforcer la sécurité de la base de clés sur le terminal BlackBerry en configurant les options suivantes (dans Options de sécurité > Bases de clés).

Paramètre

Description

Autorisation de la sauvegarde / restauration de la base de clés

Indiquez si vous souhaitez sauvegarder et restaurer les clés symétriques, les clés publiques, les clés privées et les certificats S/MIME de la base de clés. Remarque : le terminal BlackBerry ne permet pas de sauvegarder ni de restaurer des clés privées S/MIME si la règle de stratégie informatique Désactivation de la sauvegarde de la base de clés est définie sur Vrai.

Délai de validité du mot de passe des clés privées

Entrez la durée maximale pendant laquelle la base de clés reste déverrouillée après la saisie par l'utilisateur du mot de passe correct. Remarque : si la valeur entrée pour cette règle est supérieure à la valeur spécifiée dans la règle de stratégie informatique « Délai de validité maximal du mot de passe de la base de clés », le terminal BlackBerry ne l'applique pas.

Ajout des adresses à la base de clés

Indiquez si vous souhaitez entrer les coordonnées relatives aux certificats dans le carnet d'adresses lorsque le terminal BlackBerry ajoute un certificat à la base de clés BlackBerry.

Service de certificats

Définissez le service de connexion que le terminal BlackBerry utilise pour extraire les certificats S/MIME (ainsi que leur état) à partir de l'infrastructure de clés publiques (PKI).

Expiration de l'état des certificats après

Spécifiez la durée de validité maximale (1, 2, 4 ou 12 heures, 1 jour, 1 semaine, 1 ou 6 mois) de l'état de révocation des certificats S/MIME.

Changer le mot de passe

Saisissez le nouveau mot de passe de votre clé de stockage.

Sécurité des clés privées

L'utilisateur peut renforcer la sécurité des clés privées de déchiffrement ou de signature numérique au moyen de Certificate Synchronization Manager (Gestionnaire de synchronisation des certificats) sur BlackBerry Desktop Manager. Si le niveau de sécurité entré par l'utilisateur pour cette règle est inférieur aux valeurs spécifiées dans les règles de stratégie informatique Niveau de sécurité minimal de la base de clés de signature et Niveau de sécurité minimal de la base de clés de cryptage, le terminal BlackBerry ne l'applique pas.

Niveau de

Description

sécurité

Élevée

Le terminal BlackBerry invite l'utilisateur à entrer le mot de passe de la base de clés chaque fois qu'une application tente d'accéder à sa clé privée, et ce, que le délai de validité du mot de passe pour la clé privée de l'utilisateur ait expiré ou non.

Moyen

Le terminal BlackBerry invite l'utilisateur à entrer le mot de passe de la base de clés

la première fois qu'une application tente d'accéder à sa clé privée

lorsque le délai de validité du mot de passe pour la clé privée de l'utilisateur a expiré

Par la suite, si une application tente d'accéder de nouveau à la clé privée et que le délai de validité du mot de passe correspondant n'a pas expiré, le terminal BlackBerry ne demande pas à l'utilisateur d'entrer son mot de passe pour la base de clés.

Faible

Le terminal BlackBerry n'invite pas l'utilisateur à entrer le mot de passe lorsqu'une application tente d'accéder à sa clé privée.

Sécurité du pack de prise en charge S/MIME

16

Stockage de certificats sur une carte à puce

Le lecteur BlackBerry Smart Card Reader™ destiné aux terminaux BlackBerry est un accessoire qui, lorsqu'il est utilisé à proximité de certains terminaux BlackBerry compatibles Bluetooth®, intègre une carte à puce à utiliser avec la solution BlackBerry Enterprise Solution™. Le lecteur BlackBerry Smart Card Reader crée un environnement d'authentification fiable à deux facteurs permettant d'accorder aux utilisateurs un accès aux applications BlackBerry et PKI. Il permet également d'activer la signature numérique mobile et le cryptage des messages mobiles via le pack de prise en charge S/MIME.

Pour plus d'informations sur les fonctions du lecteur BlackBerry Smart Card Reader, reportez-vous à la section BlackBerry Smart Card Reader Security Technical Overview (Présentation technique sur la sécurité du lecteur BlackBerry Smart Card Reader).

Importation d'un certificat S/MIME à partir d'une carte à puce

Si le terminal BlackBerry Bluetooth de l'utilisateur est équipé d'un authentificateur de carte à puce et qu'un pilote de carte à puce et de lecteur de carte à puce est installé sur son terminal, l'utilisateur peut effectuer un appariement Bluetooth suivi d'un processus d'appariement sécurisé avec le lecteur BlackBerry Smart Card Reader. Lorsque le terminal BlackBerry et le lecteur BlackBerry Smart Card Reader identifient une paire sécurisée, vous pouvez définir la règle de stratégie informatique Utilisation forcée de la carte à puce S/MIME de sorte qu'elle requière l'utilisation de la carte à puce pour importer des certificats, signer, crypter, ou signer et crypter, des messages S/MIME protégés sur le terminal BlackBerry.

Suppression du contenu S/MIME déchiffré du terminal BlackBerry

Le terminal BlackBerry active automatiquement la fonction de nettoyage des instances sécurisé lorsque le pack de prise en charge S/MIME est installé et que la clé privée de l'utilisateur se trouve sur le terminal BlackBerry. Lorsque le nettoyage des instances sécurisé est activé, le terminal BlackBerry effectue les opérations suivantes :

remplace par des zéros la mémoire récupérée par le nettoyage des instances sécurisé

exécute régulièrement l'application de nettoyage de la mémoire, qui invite les applications du terminal BlackBerry à vider leur cache et à libérer la mémoire associée à des données d'application sensibles ou non utilisées

remplace automatiquement la mémoire libérée par l'application de nettoyage de la mémoire lorsque celle-ci est exécutée

L'application de nettoyage de la mémoire permet de supprimer du contenu non référencé, déchiffré à partir du terminal BlackBerry, notamment du contenu de l'application S/MIME, de la base de clés, des caches de protection du contenu et du carnet d'adresses, de la recherche de certificats S/MIME et du presse-papiers du terminal BlackBerry.

Vous pouvez configurer cette fonction de façon à ce qu'elle s'exécute automatiquement lorsque les événements suivants se produisent :

l'utilisateur synchronise le terminal BlackBerry avec l'ordinateur

l'utilisateur verrouille le terminal BlackBerry

le terminal BlackBerry se verrouille après une certaine période d'inactivité

l'utilisateur change l'heure ou le fuseau horaire du terminal BlackBerry

Scénario

Recommandation

Supprimer le contenu déchiffré de la mémoire du terminal BlackBerry lorsque ce dernier se trouve dans son étui.

Configurez la règle de stratégie informatique Nettoyage de la mémoire forcé quand l'appareil est dans l'étui sur Vrai.

Supprimer le contenu déchiffré de la mémoire du terminal BlackBerry lorsque ce dernier est inactif.

Configurez la règle de stratégie informatique Nettoyage de la mémoire forcé quand l'appareil est inactif sur Vrai.

Sécurité du pack de prise en charge S/MIME

17

Lancer le nettoyage de la mémoire une fois la durée spécifiée écoulée.

Configurez la règle de stratégie informatique Durée d'inactivité maximale avant nettoyage de la mémoire sur la durée souhaitée (par exemple, 10 minutes).

Pour plus d'informations, reportez-vous au guide Policy Reference Guide (Guide de référence des stratégies).

L'utilisateur peut configurer la fonction de nettoyage de la mémoire de manière à ce qu'elle s'exécute lorsque les terminaux BlackBerry sont dans leur étui ou lorsqu'ils sont inactifs sur une période donnée (2, 5, 10, 20, 30 minutes ou 1 heure). Les utilisateurs peuvent également exécuter manuellement l'application de nettoyage de la mémoire sur leur terminal BlackBerry ou exécuter des nettoyeurs de mémoire enregistrés spécifiques dans les options de sécurité du terminal BlackBerry.

Pour plus d'informations, voir le Supplément du guide de l'utilisateur du pack de prise en charge S/MIME.

Gestion des clés privées et des certificats S/MIME

Affichage d'informations détaillées sur les certificats S/MIME

Les utilisateurs peuvent afficher des informations détaillées concernant les certificats S/MIME sur leur terminal BlackBerry (dans Options de sécurité > Certificats) en cliquant sur le certificat désiré, puis en sélectionnant Détails. Tout ou partie des informations ci-dessous s'afficheront.

Information

Description

État de la révocation

Affiche l'état du certificat S/MIME à une date et une heure spécifiées

État de l'approbation

Affiche l'état du niveau d'approbation du certificat S/MIME

Approuvé explicitement : le certificat S/MIME est directement approuvé

Approuvé implicitement : le certificat S/MIME est associé à un certificat approuvé explicitement sur le terminal BlackBerry

Non approuvé : le certificat S/MIME n'est pas approuvé explicitement et n'est pas associé à un certificat approuvé explicitement sur le terminal BlackBerry

Date d'expiration

Affiche la date d'expiration définie par l'Autorité de certification émettrice

Type de certificat

Affiche le format du certificat (le terminal BlackBerry prend en charge les certificats X.509 et WTLS)

Type de clé publique

Affiche les types de clés publiques contenues dans le certificat (le terminal BlackBerry prend en charge les clés RSA, DSA, DH et ECC)

Objet

Affiche des informations sur l'objet du certificat au moyen de la syntaxe DN

X.509

Remarque : pour plus d'informations, voir le chapitre « Attributs courants des objets de certificat » à la page 9.

Émetteur

Affiche des informations d'identification sur l'émetteur du certificat au moyen de la syntaxe DN X.509

Numéro de série

Affiche le numéro de série du certificat défini par l'Autorité de certification émettrice

Utilisation des clés

Affiche les utilisations agréées pour les clés publiques S/MIME

Autre nom d'objet

Affiche l'adresse e-mail (le cas échéant) correspondant à l'objet du certificat

Empreinte SHA1

Affiche l'empreinte numérique SHA 1 du certificat

Empreinte MD5

Affiche l'empreinte numérique de l'algorithme MD5 du certificat

Sécurité du pack de prise en charge S/MIME

18

La vue des informations détaillées du certificat inclut également les options suivantes :

Pour extraire l'état du certificat, cliquez sur Extraire l'état.

Pour afficher les informations relatives à l'émetteur du certificat, cliquez sur Afficher l'émetteur.

Configuration des options de sécurité des certificats S/MIME

Vous pouvez utiliser les règles de stratégie informatique BlackBerry Enterprise Server pour configurer la sécurité des certificats. Pour plus d'informations, reportez-vous au guide Policy Reference Guide (Guide de référence des stratégies).

Scénario

Recommandation

Empêcher les utilisateurs d'envoyer un message chiffré S/MIME au moyen d'un certificat que le terminal BlackBerry ne peut vérifier.

Configurez la règle de stratégie informatique Désactiver l'utilisation des certificats non vérifiés sur Vrai.

Empêcher les utilisateurs d'envoyer un message crypté S/MIME au moyen d'un certificat doté d'une clé publique faible.

Configurez la règle de stratégie informatique Désactiver l'utilisation des certificats faibles sur Vrai.

Empêcher les utilisateurs d'envoyer un message crypté S/MIME au moyen d'un certificat auquel le terminal BlackBerry ne fait pas confiance.

Configurez la règle de stratégie informatique Désactiver l'utilisation des certificats non approuvés sur Vrai.

Empêcher les utilisateurs d'envoyer un message crypté S/MIME à partir du terminal BlackBerry au moyen d'un certificat arrivé à expiration.

Configurez la règle de stratégie informatique Désactiver l'utilisation de certificat non valide sur Vrai.

Empêcher les utilisateurs d'envoyer un message crypté S/MIME à partir du terminal BlackBerry au moyen d'un certificat annulé.

Configurez la règle de stratégie informatique Désactiver l'utilisation de certificat annulé sur Vrai.

Faire en sorte que le terminal BlackBerry affiche un avertissement lorsque l'utilisateur reçoit un message signé sur le terminal BlackBerry dans lequel l'adresse e-mail de l'expéditeur ne figure pas dans le certificat utilisé pour signer le message.

Configurez la règle de stratégie informatique Désactiver les vérifications des adresses e-mail des certificats sur Faux. Il s'agit du comportement par défaut de cette règle.

Faire en sorte que le terminal BlackBerry affiche des avertissements et des indications visuelles lorsque l'utilisateur décide d'envoyer ou de recevoir un e-mail dont la signature utilise un certificat obsolète.

Configurez la règle de stratégie informatique Désactiver les vérifications des certificats obsolètes sur Faux. Il s'agit du comportement par défaut de cette règle.

Empêcher les utilisateurs d'envoyer un message crypté S/MIME au moyen d'un certificat obsolète.

Configurez la règle de stratégie informatique Désactiver l'utilisation des certificats obsolètes sur Vrai.

Régler la période de validité de l'état du certificat sur le terminal BlackBerry.

Configurez la règle de stratégie informatique Délai de validité maximal de l'état du certificat sur 4 (heures). Remarque : lorsque l'état du certificat arrive à expiration, il apparaît comme obsolète sur le terminal BlackBerry. L'utilisateur doit mettre à jour l'état du certificat dans la base de clés du terminal BlackBerry ou dans le Gestionnaire de synchronisation des certificats.

Empêcher les utilisateurs du terminal BlackBerry d'envoyer un message crypté S/MIME au moyen d'un certificat obsolète.

Configurez la règle de stratégie informatique Désactiver l'utilisation des certificats obsolètes sur Vrai.

Sécurité du pack de prise en charge S/MIME

19

Scénario

Recommandation

Empêcher les utilisateurs BlackBerry d'accepter les listes CRL qui n'ont pas fait l'objet d'une vérification lors du contrôle de l'état d'un certificat au moyen du service de connexion.

Configurez la règle de stratégie informatique Désactiver les listes non vérifiées sur Vrai.

Configurer une chaîne d'empreintes de certificat approuvées afin d'empêcher les utilisateurs d'ajouter des certificats dont les empreintes n'apparaissent pas dans la chaîne spécifiée dans la base de clés approuvée.

Configurez la règle de stratégie informatique Empreintes de certificat approuvées sur une liste d'empreintes de certificat Hex-ASCII séparées par des points-virgules, créés à l'aide SHA 1 ou MD5.

Les utilisateurs peuvent configurer des options de sécurité pour les certificats S/MIME sur leur terminal BlackBerry (dans Options de sécurité > Certificats) en cliquant sur le certificat désiré, puis en sélectionnant une action.

Action

Description

Approbation du certificat S/MIME.

Cliquez sur Approuver.

Suppression de l'approbation du certificat S/MIME.

Cliquez sur Désapprouver.

Rendre non valide l'état d'un certificat S/MIME dans la base de clés du terminal BlackBerry.

Cliquez sur Révoquer.

Suppression d'un certificat S/MIME de la base de clés du terminal BlackBerry.

Cliquez sur Supprimer.

Envoi d'un certificat S/MIME par e-mail.

Cliquez sur Envoyer par e-mail.

Envoi d'un certificat S/MIME par message PIN.

Cliquez sur Envoyer par PIN.

Téléchargement de l'état du certificat S/MIME.

Cliquez sur Extraire l'état.

Téléchargement de l'état de l'ensemble de la chaîne de certification S/MIME.

Cliquez sur Extraire l'état de la chaîne.

Envoi de messages S/MIME protégés

Le pack de prise en charge S/MIME comprend des options de cryptage et de signature numérique que l'utilisateur peut configurer directement sur le terminal BlackBerry ou que vous pouvez configurer puis transférer sur le terminal BlackBerry au moyen de la stratégie informatique BlackBerry Enterprise Server. Pour plus d'informations, voir « Règles de stratégie informatique BlackBerry Enterprise Server pour pack de prise en charge S/MIME » page 22.

Options de signature et de cryptage de messages

Lorsque l'utilisateur sélectionne une option de codage sur le terminal BlackBerry ou qu'il est invité par la classification de message sélectionnée sur le terminal BlackBerry à envoyer un message S/MIME crypté, ou signé et crypté, l'un des événements suivants survient :

Si l'utilisateur BlackBerry dispose d'un certificat S/MIME approprié (c'est-à-dire approuvé, non révoqué, valide et doté d'une clé publique forte) pour le destinataire, le terminal BlackBerry envoie le message.

Si l'utilisateur BlackBerry ne dispose pas d'un certificat S/MIME approprié pour le destinataire, le terminal BlackBerry essaie d'extraire automatiquement un certificat. S'il trouve un certificat adéquat, il envoie le message ; dans le cas contraire, il invite l'utilisateur à choisir l'une des options suivantes :

ne pas envoyer le message

extraire manuellement un certificat S/MIME approprié

envoyer le message dans un format non crypté

Sécurité du pack de prise en charge S/MIME

20

Extraction manuelle d'un certificat S/MIME

Si l'utilisateur choisit d'extraire manuellement un certificat S/MIME approprié pour le destinataire concerné, le terminal BlackBerry ouvre une application de recherche de certificats. L'utilisateur peut affiner les critères de recherche de l'application de recherche de certificats avant que le terminal BlackBerry ne tente d'extraire un certificat S/MIME approprié à partir d'un serveur de certificats LDAP défini. S'il trouve un certificat S/MIME adéquat, il envoie le message.

Envoi d'un message dans un format non crypté

Lorsque les utilisateurs rédigent un message, ils peuvent choisir les options suivantes :

Joindre des certificats S/MIME issus de la base de clés du terminal et envoyer les clés sous forme de pièces jointes au format .cer.

Joindre des informations de configuration relatives au serveur de certificats.

Envoyer le message en texte brut.

Pour plus d'informations, voir le Supplément du guide de l'utilisateur du pack de prise en charge S/MIME.

Par défaut, le pack de prise en charge S/MIME permet aux utilisateurs d'envoyer et de recevoir des messages PIN ainsi que des e-mails en texte brut sur leur terminal BlackBerry. Vous pouvez configurer les règles de stratégie informatique BlackBerry Enterprise Server de manière à empêcher les utilisateurs d'envoyer des messages en texte brut à partir de leur terminal BlackBerry S/MIME.

Scénario

Recommandation

Forcer les utilisateurs à envoyer des messages S/MIME signés et / ou cryptés à partir de leur terminal BlackBerry S/MIME.

Configurez la règle de stratégie informatique Désactiver l'envoi normal d'e-mails sur Vrai.

Forcer les utilisateurs à envoyer des messages PIN S/MIME signés et / ou cryptés à partir de leur terminal BlackBerry S/MIME.

Configurez la règle de stratégie informatique Désactiver l'envoi normal poste à poste sur Vrai.

Vérification d'un certificat ou de l'état de la chaîne de certification à partir d'un message S/MIME protégé reçu

1. Sur le terminal BlackBerry, dans la liste des messages, cliquez sur un message S/MIME protégé reçu.

2. Effectuez l'une des opérations suivantes :

Action

Procédure

Vérifiez l'état du certificat de l'expéditeur. (Le certificat de l'expéditeur est inclus dans le message ou stocké dans la base de clés du terminal BlackBerry du destinataire.) Remarque : si le certificat de l'expéditeur est obsolète, le terminal BlackBerry extrait automatiquement un état de certificat mis à jour.

Cliquez sur Vérifier le certificat de l'expéditeur.

>

Vérifiez l'état de la chaîne de certificats de l'expéditeur. (Le certificat de l'expéditeur est inclus dans le message ou stocké dans la base de clés du terminal BlackBerry du destinataire.)

Cliquez sur Vérifier la chaîne de certification de l'expéditeur.

>

Sécurité du pack de prise en charge S/MIME

21

Extraction ou importation d'un certificat à partir d'un message S/MIME protégé reçu

1. Sur le terminal BlackBerry, dans la liste des messages, cliquez sur un message S/MIME protégé reçu.

2. Effectuez l'une des opérations suivantes :

Action

Procédure

Récupérez un certificat sur le serveur de certificats LDAP. (Le certificat de l'expéditeur n'est pas inclus dans le message et ne se trouve pas dans la base de clés du terminal BlackBerry du destinataire.)

Cliquez sur Extraire le certificat de l'expéditeur.

>

Ajoutez le certificat de l'expéditeur sur le terminal BlackBerry. (Le certificat de l'expéditeur est inclus dans le message mais ne figure pas dans la base de clés du terminal BlackBerry du destinataire.)

Cliquez sur Importer le certificat de l'expéditeur.

>

Ajout d'une configuration de serveur de certificats à partir d'un message S/MIME protégé reçu

Importez la pièce jointe du serveur de certificats qui se trouve dans le message afin de configurer un nouveau serveur de certificats dans Options de sécurité > Serveurs de certificats.

1. Sur le terminal BlackBerry, dans la liste des messages, cliquez sur un message S/MIME protégé reçu contenant une pièce jointe du serveur de certificats.

2. Cliquez sur Importer le serveur.

Pour plus d'informations, voir le Supplément du guide de l'utilisateur du pack de prise en charge S/MIME.

Icônes des messages S/MIME

Les messages S/MIME apparaissent dans la liste des messages. Ils sont accompagnés d'icônes de sécurité qui fournissent des informations supplémentaires sur la validité de la source et la confidentialité du contenu.

Icône

Description

Message avec cryptage élevé.

Message avec cryptage élevé.

Message avec cryptage faible.

Message avec cryptage faible.

Signature du message vérifiée par le terminal BlackBerry.

Signature du message vérifiée par le terminal BlackBerry.

Signature du message non vérifiée par le terminal BlackBerry.

Signature du message non vérifiée par le terminal BlackBerry.

Données supplémentaires nécessaires pour que le terminal BlackBerry puisse vérifier la signature du message.

Données supplémentaires nécessaires pour que le terminal BlackBerry puisse vérifier la signature du message.

BlackBerry Enterprise Server a vérifié la signature du message et signalé la vérification au terminal

BlackBerry Enterprise Server a vérifié la signature du message et signalé la vérification au terminal BlackBerry.

Opération en cours. Veuillez patienter

Opération en cours. Veuillez patienter

L'état du certificat ou la chaîne du certificat est approuvé(e).

L'état du certificat ou la chaîne du certificat est approuvé(e).

État de l'approbation de la chaîne de certification inconnu.

État de l'approbation de la chaîne de certification inconnu.

Erreur lors de la définition de l'état de l' approbation de la chaîne de certification.

Erreur lors de la définition de l'état de l'approbation de la chaîne de certification.

Sécurité du pack de prise en charge S/MIME

22

Icône

Description

Chaîne de certification expirée.

Chaîne de certification expirée.

Chaîne de certification révo quée ou non approuvée.

Chaîne de certification révoquée ou non approuvée.

Reçu signé demandé pour ce message.

Reçu signé demandé pour ce message.

Message comprenant un certificat numérique.

Message comprenant un certificat numérique.

Message comprenant plusieurs certificats numériques.

Message comprenant plusieurs certificats numériques.

Message contenant une pièce jointe du serveur LDAP, OCSP ou CRL.

Message contenant une pièce jointe du serveur LDAP, OCSP ou CRL.

Règles de stratégie informatique BlackBerry Enterprise Server pour pack de prise en charge S/MIME

Les règles de stratégie informatique BlackBerry Enterprise Server ci-dessous concernent uniquement les terminaux BlackBerry équipés du pack de prise en charge S/MIME. Pour plus d'informations, reportez-vous au guide Policy Reference Guide (Guide de référence des stratégies).

Règle de stratégie informatique

Description

Codage du contenu autorisé pour S/MIME

Indiquez le codage de contenu pouvant être utilisé par le terminal BlackBerry pour le cryptage des messages S/MIME

Adresse en copie conforme invisible pour S/MIME

Indiquez une adresse e-mail qui sera ajoutée comme destinataire Cci à tous les messages chiffrés S/MIME

Signature numérique forcée pour S/MIME

Indiquez si tous les messages S/MIME sortants doivent posséder ou non une signature numérique

Cryptage forcé des messages S/MIME

Indiquez si tous les messages S/MIME sortants doivent être chiffrés ou non

Longueur minimale de la clé DH forte S/MIME

Indiquez la longueur minimale que doit posséder la clé DH (en bits) pour être suffisamment forte pour S/MIME

Longueur minimale de la clé DSA forte S/MIME

Indiquez la longueur minimale que doit posséder la clé DSA (en bits) pour être suffisamment forte pour S/MIME

Longueur minimale de la clé ECC forte S/MIME

Indiquez la longueur minimale que doit posséder la clé ECC (en bits) pour être suffisamment forte pour S/MIME

Longueur minimale de la clé RSA forte S/MIME

Indiquez la longueur minimale que doit posséder la clé RSA (en bits) pour être suffisamment forte pour S/MIME

Adresse e-mail EMS (Entrust Messaging Server)

Spécifiez l'adresse e-mail d'un serveur de messagerie Entrust Entelligence™ Messaging Server

Les règles de stratégie informatique ci-dessous s'appliquent uniquement aux utilisateurs qui utilisent un certificat de carte à puce sur un terminal BlackBerry exécutant BlackBerry Device Software version 3.6 ou ultérieure, avec pack de prise en charge S/MIME version 4.0 ou ultérieure, ou sur un terminal BlackBerry exécutant BlackBerry Device Software version 4.0 ou ultérieure (pack de prise en charge S/MIME facultatif) et sur lequel le pilote BlackBerry Smart Card Reader est installé.

Sécurité du pack de prise en charge S/MIME

23

Règle de stratégie informatique

Description

Forcer la réponse à la demande de vérification à deux facteurs par carte à puce

Spécifiez si le terminal BlackBerry doit contraindre l'utilisateur à choisir un certificat de carte à puce à utiliser pour l'authentification à deux facteurs

Utilisation forcée de la carte à puce S/MIME

Indiquez si toutes les opérations liées aux certificats doivent être effectuées au moyen d'un lecteur BlackBerry Smart Card Reader et d'une carte à puce

Voir la Présentation technique sur la sécurité du lecteur de cartes à puce BlackBerry pour plus d'informations sur les règles de stratégie informatique BlackBerry Enterprise Server relatives aux terminaux BlackBerry équipés du pack de prise en charge S/MIME et d'un lecteur de cartes à puce BlackBerry.

Sécurité du pack de prise en charge S/MIME

24

Ressources connexes

Guide

Informations

Guide d'administration du système BlackBerry Enterprise Server

Génération et modification des clés de cryptage principales

Activation de S/MIME

Activation des options de cryptage

Configuration des règles de stratégie informatique

Configuration des classifications de message

Fonctions de sécurité de BlackBerry Enterprise Solution - Présentation technique

Prévention du déchiffrement des informations entre le terminal BlackBerry et BlackBerry Enterprise Server ou le réseau LAN de la société (LAN)

Gestion des paramètres de sécurité pour l'ensemble des terminaux BlackBerry

Protection des données en cours de transmission entre le terminal BlackBerry et BlackBerry Enterprise Server

Compréhension des algorithmes fournis par l'interface de programmation d'applications cryptographique RIM (Crypto API)

Description des normes TLS (Transport Layer Security) et WTLS (Wireless Transport Layer Security) actuellement prises en charge par la Crypto API de RIM.

Description du processus de nettoyage de la mémoire survenant sur le terminal BlackBerry lorsque la fonction de protection du contenu est activée

Policy Reference Guide (Guide de référence sur les stratégies)

Utilisation des stratégies informatiques BlackBerry Enterprise Server

Supplément du guide de l’utilisateur du pack de prise en charge S/MIME

Installation du pack de prise en charge S/MIME

Gestion des certificats sur le terminal BlackBerry et l'ordinateur

 

Configuration des options S/MIME pour la signature et le cryptage des messages

Envoi et réception de messages S/MIME protégés

Sécurité du pack de prise en charge S/MIME

25

Référence : 8670357-002 Version 2

©2006 Research In Motion Limited. Tous droits réservés. Les familles BlackBerry et RIM de marques, images et symboles associés sont la propriété exclusive et des marques commerciales de Research In Motion Limited. RIM, Research In Motion, « Toujours en service, toujours connecté », le symbole représentant une enveloppe animée et le logo BlackBerry sont déposés auprès du Patent and Trademark Office des États-Unis et peuvent être en attente ou déposés dans d'autres pays.

La marque et les logos Bluetooth® appartiennent à Bluetooth SIG, Inc. Research In Motion Limited utilise ces marques sous licence. Entrust, Entrust Authority et Entrust Entelligence sont des marques déposées ou des marques commerciales d'Entrust, Inc. aux États-Unis et dans d'autres pays. IBM, Lotus, Domino et Lotus Notes sont des marques déposées d'IBM aux États-Unis et dans d'autres pays. Java est une marque déposée ou une marque commerciale de Sun Microsystems, Inc. aux États-Unis ou dans d'autres pays. Microsoft et Outlook sont des marques déposées ou des marques commerciales de Microsoft Corporation aux États-Unis et dans d'autres pays. Netscape est une marque ou une marque déposée de Netscape Communication Corporation. Novell et GroupWise sont des marques déposées ou des marques de Novell, Inc. aux États-Unis et dans d'autres pays. Toutes les autres marques, noms de produit, noms de société, marques déposées et marques de services appartiennent à leurs propriétaires respectifs.

Le terminal BlackBerry et/ou le logiciel lui correspondant sont protégés par le copyright, des accords internationaux et différents brevets, y compris l'un ou plusieurs des brevets suivants déposés aux États-Unis : 6 278 442 ; 6 271 605 ; 6 219 694 ; 6 075 470 ; 6 073 318 ; D445 428 ; D433 460 ; D416 256. D'autres brevets sont enregistrés ou en attente dans plusieurs pays du monde. Visitez le site www.rim.com/patents.shtml pour consulter la liste actuelle des brevets RIM [ainsi que définis ci-après].

Ce document est fourni « en l'état » et Research In Motion Limited ainsi que ses sociétés affiliées (« RIM ») déclinent toute responsabilité en cas d'erreurs typographiques, techniques ou d'autre nature dans ce document. RIM se réserve le droit de modifier périodiquement les informations contenues dans le présent document ; toutefois, RIM ne s'engage pas à vous fournir les modifications, mises à jour, améliorations ou autres compléments apportés au présent document en temps opportun ou à un autre moment. RIM N’OFFRE AUCUNE REPRÉSENTATION, GARANTIE, CONDITION OU CONVENTION, EXPRESSE OU TACITE (Y COMPRIS, SANS S’Y LIMITER, DES GARANTIES OU DES CONDITIONS EXPRESSES OU TACITES D’ADÉQUATION À UN BUT PARTICULIER, DE NON INFRACTION, DE COMMERCIALISATION, DE DURABILITÉ, DE TITRE OU RELATIVES À LA PERFORMANCE OU LA NON PERFORMANCE DES LOGICIELS RÉFÉRENCÉS DANS CETTE DOCUMENTATION, OU À LA PERFORMANCE DES SERVICES RÉFÉRENCÉS DANS CETTE DOCUMENTATION). CONCERNANT L'UTILISATION DE LA PRÉSENTE DOCUMENTATION, NI RIM NI SES DIRIGEANTS, DIRECTEURS, EMPLOYÉS OU CONSULTANTS NE SAURAIENT ÊTRE TENUS RESPONSABLES EN CAS DE DOMMAGES, QU'ILS SOIENT DIRECTS, ÉCONOMIQUES, COMMERCIAUX, SPÉCIAUX, CONSÉCUTIFS, ACCESSOIRES, EXEMPLAIRES OU INDIRECTS, QUAND BIEN MÊME RIM AURAIT ÉTÉ AVERTI DE L'ÉVENTUALITÉ DE TELS DOMMAGES, NOTAMMENT LA PERTE DE BÉNÉFICES OU DE REVENUS, LA PERTE DE DONNÉES, LES DOMMAGES CAUSÉS PAR DES RETARDS, LA PERTE DE PROFITS OU L'IMPOSSIBILITÉ D'ATTEINDRE LES PROFITS ATTENDUS.

Le présent document peut contenir des références à des informations, des sources, du matériel ou des logiciels, des produits ou des services ainsi que des sites Web tiers (ci-après dénommés collectivement « Informations tierces »). RIM ne contrôle pas, et décline toute responsabilité concernant les informations tierces, par rapport notamment au contenu, à la précision, au respect du code de la propriété intellectuelle, à la compatibilité, aux performances, à la fiabilité, à la légalité, à l’éthique, aux liens ou à tout autre aspect de ces informations tierces. La présence d'informations tierces dans ce document ne suppose aucunement que RIM se porte garant des informations tierces ou de la tierce partie concernée. L'installation et l'utilisation des Informations tierces avec des produits et services RIM peuvent nécessiter un ou plusieurs brevets, marques de commerce ou licences de copyright à des fins de protection de la propriété intellectuelle. Tout accord relatif aux Informations tierces, notamment le respect des licences et des conditions générales, n'engage que vous seul et le tiers. Vous seul devez déterminer si de telles licences tierces sont requises et, le cas échéant, êtes tenu d'acquérir les licences relatives aux Informations tierces. Si de telles licences de propriété intellectuelle venaient à être requises, RIM vous déconseille formellement d'installer ou d'utiliser ces Informations tierces avant d'avoir acheté les licences appropriées. L'utilisation d'Informations tierces est soumise à votre approbation des conditions inhérentes aux licences des Informations tierces. Toutes les Informations tierces livrées avec les produits et services RIM sont fournies « en l'état ». RIM rejette toute déclaration, garantie et responsabilité de quelque nature que ce soit en cas de dommages liés aux produits et services tiers, quand bien même RIM aurait été explicitement prévenu de l'éventualité de tels dommages ou est en mesure de les anticiper.