GSS-API

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

GSS-API (sigle signifiant en anglais « Generic Security Service Application Program Interface») est une interface de programmation pour les programmes couvrant la sécurité des systèmes d'information.

GSS-API est un standard IETF conçu pour résoudre le problème de compatibilité des différents systèmes de sécurités en utilisation aujourd'hui.

Historique[modifier | modifier le code]

Les spécifications préconisent depuis 2005 l'utilisation de l'algorithme MD5 pour garantir un transfert sécurisé des données (en)[1]. La découverte en mars 2011 de failles de sécurité pour MD5 (Message Digest 5)[2] entraîne un an plus tard la mise à jour des spécifications sur les mécanismes du standard[3].

Fonctionnement[modifier | modifier le code]

GSS-API ne fournit en soi aucune sécurité mais formalise des mécanismes généralement implémentés par des bibliothèques logicielles. Ces implémentations logicielles confèrent aux applications qui les utilisent une interface compatible GSS-API. Le respect des normes favorise par ailleurs la maintenance de ces applications.

Technologies connexes[modifier | modifier le code]

Relation avec Kerberos[modifier | modifier le code]

La principale implémentation des mécanismes GSS-API utilisé reste Kerberos. Contrairement à GSS-API, les interfaces de programmation Kerberos n'ont pas été standardisées si bien que subsistent diverses implémentations utilisant des APIs incompatibles. GSS-API confère aux implémentations Kerberos une compatibilité des APIs.

Les concepts clés[modifier | modifier le code]

  • « Name »

Une chaîne binaire marquant un commettant (voir contrôle d'accès et identité (en)). Par exemple, Kerberos utilise des noms comme user@REALM pour les utilisateurs ou service/hostname@REALM pour des programmes.

  • « Credentials »

Accréditation - Preuve de l'identité impliquant l'utilisation d'une clef cryptographique; utilisé par toute entité dans le rôle du commettant.

  • « Context  »

État avant et après l'authentification. Émission d'un message de confirmation chiffré pour la mise en place d'un canal sécurisé (en).

  • « Tokens »

Jetons d'accès à l'authentification ou jetons de sécurité inséré dans chaque message.

  • « Mechanism »

Implémentation de divers mécnismes sous-jacents comme Kerberos, NTLM, DCE, SESAME, SPKM, LIPKEY.

  • « initiator/acceptor  »

initiateur/répondeur

Notes et références[modifier | modifier le code]

  1. (en) Network Working Group, 4121 « Request for Comments: 4121 - The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2 », PROPOSED STANDARD, sur ietf.org,‎ juillet 2005 (consulté le 10 mars 2012)
  2. (en) Network Working Group, 6151 « Request for Comments: 6151 - Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms », INFORMATIONAL, sur ietf.org,‎ mars 2011 (consulté le 10 mars 2012)
  3. (en) Network Working Group, 6542 « Request for Comments: 6542 - Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Channel Binding Hash Agility », PROPOSED STANDARD, sur ietf.org,‎ mars 2012 (consulté le 10 mars 2012)

Article connexe[modifier | modifier le code]

Liens externes[modifier | modifier le code]

  • (en) RFC 2743 - Generic Security Service Application Program Interface Version 2, Update 1
  • (en) RFC 2744 - Generic Security Service API Version 2 : C-bindings