Aller au contenu

GSS-API

Un article de Wikipédia, l'encyclopédie libre.
Ceci est une version archivée de cette page, en date du 21 novembre 2012 à 16:49 et modifiée en dernier par Francis.wong (discuter | contributions) (Les concepts clés). Elle peut contenir des erreurs, des inexactitudes ou des contenus vandalisés non présents dans la version actuelle.

Cet article est une ébauche concernant l’informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

GSS-API (sigle signifiant en anglais « Generic Security Service Application Program Interface») est une interface de programmation pour les programmes couvrant la sécurité des systèmes d'information.

GSS-API est un standard IETF qui répond aux problématiques de sécurité, à la fois proches mais incompatibles, des systèmes d'information modernes.

Historique

Les spécifications préconisent depuis 2005 l'utilisation de l'algorithme MD5 pour de garantir un transfert sécurisé des données (en)[1]. La découverte en mars 2011 de failles de sécurité pour MD5 (Message Digest 5)[2] entraîne un an plus tard la mise à jour des spécifications sur les mécanismes du standard[3].

Fonctionnement

GSS-API ne fournit en soi aucune sécurité mais formalise des mécanismes généralement implémentés par des bibliothèques logicielles. Ces implémentations logicielles confèrent aux applications qui les utilisent une interface compatible GSS-API. Le respect des normes favorise par ailleurs la maintenance de ces applications.

Technologies connexes

Relation avec Kerberos

La principale implémentation des mécanismes GSS-API utilisé reste Kerberos. Contrairement à GSS-API, les interfaces de programmation Kerberos n'ont pas été standardisées si bien que subsistent diverses implémentations utilisant des APIs incompatibles. GSS-API confère aux implémentations Kerberos une compatibilité des APIs.

Les concepts clés

  • « Name »

Une chaîne binaire marquant un commettant (voir contrôle d'accès et identité (en)). Par exemple, Kerberos utilise des noms comme user@REALM pour les utilisateurs ou service/hostname@REALM pour des programmes.

  • « Credentials »

Accréditation - Preuve de l'identité impliquant l'utilisation d'une clef cryptographique; utilisé par toute entité dans le rôle du commettant.

  • « Context  »

État avant et après l'authentification. Émission d'un message de confirmation chiffré pour la mise en place d'un canal sécurisé (en).

  • « Tokens »

Jetons d'accès à l'authentification ou jetons de sécurité inséré dans chaque message.

  • « Mechanism »

Implémentation de divers mécnismes sous-jacents comme Kerberos, NTLM, DCE, SESAME, SPKM, LIPKEY.

  • « initiator/acceptor  »

initiateur/répondeur

Notes et références

  1. (en) Network Working Group, « Request for Comments: 4121 - The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2 », PROPOSED STANDARD, sur ietf.org, (consulté le )
  2. (en) Network Working Group, « Request for Comments: 6151 - Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms », INFORMATIONAL, sur ietf.org, (consulté le )
  3. (en) Network Working Group, « Request for Comments: 6542 - Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Channel Binding Hash Agility », PROPOSED STANDARD, sur ietf.org, (consulté le )

Article connexe

Liens externes

  • (en) RFC 2743 - Generic Security Service Application Program Interface Version 2, Update 1
  • (en) RFC 2744 - Generic Security Service API Version 2 : C-bindings
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=GSS-API&oldid=85593774 ».