From: Philippe.Martin@eurecom.fr To: "Charles Donelian" Cc : pucci@fr.ibm.com, caroline.fenzypeyre@orange-ftgroup.com, "'Pierre Blanc'" , "'Frédéric HAON'" , Philippe.Martin@eurecom.fr Date : Mon 09 Mar 2009 04:12:09 PM CET Chers partenaires du projet PACID-GD (SP 4.1), Voici un résumé de la discussion d'1h30 de ce matin avec GS1 France (Nicolas Pauvre et J. Luc Leblond) et AFNIC (Mr Souissi). Merci à Caroline pour le résumé rapide qu'elle m'a envoyé. 1) GS1 a présenté ses transparents ci-joints sur "ONS root security features & GS1 France PKI". En résumé: - use of ACL access lists, DNSSEC between root and local ONS, firewalls, access encryption, etc. - use of AS2 Certificates (1 to crypt, 1 to sign) with adaptable security level - may be a unique certificate profile for users, servers and devices based on a EPC:URN referencing their GS1 key (GSRN, GLN, ...) 2) GS1 a répondu à nos questions : GS1 - ré-utilise le GDSN (réseaux/protocoles) - peut prendre en compte un ONS sectoriel (e.g., un ONS PAC-ID) - peut prendre en compte IPv6 (cela ne change rien pour l'ONS mais peut être utile pour des applications utilisants des tags actifs) - n'indexera pas la partie "serial number" des tags pour l'ONS (ce serait inutile) mais pourrait les indexer pour un service de découverte (quoique le passage à l'échelle est à étudier), - pourrait tout de suite mettre en place le protocole DNSsec si nécessaire - étudiera tout protocole ou architecture (e.g., pair à pair) qui s'avèreront nécessaire aux applications - pourra prendre en compte diverses PKI (authorités de certification, peut-être elle-même toutes certifiées par GS1) et divers niveaux de sécurité - est d'accord avec les analyses de Fabian sur l'insécurité de ONS (http://www.taucis.hu-berlin.de/ download/security analysis.pdf) et/ou, légèrement plus généralement, EPCglobal au niveau réseau (http://lehre.wiwi.hu-berlin.de/Professuren/quantitativ/wi/personen/hl/downloads/Security Challenges of the EPC Network V12.pdf). Mr Souissi (AFNIC) va nous envoyer des références sur DNSsec. -----Message d'origine----- De : martinph@eurecom.fr [mailto:martinph@eurecom.fr] Envoyé : mercredi 4 mars 2009 22:43 À : Nicolas Pauvre Cc : Bernard Pucci; Philippe.Martin@eurecom.fr; Pierre Blanc@carrefour.com; caroline.fenzypeyre@orange-ftgroup.com; marcantoine.mouilleron@orange-ftgroup.com; fhaon@malongo.com; cdonelian@ysp.fm Objet : RE: Réunion ONS Sec Projet PAC ID GD : Lundi9 Mars 10:00 Bonjour Nicolas, > Pourrais tu cependant préciser un agenda, ou du moins les points que > tu souhaites aborder durant ce créneau horaire? De manière générale, nous souhaitons savoir 1) quelles mesures de sécurité GS1 France offrira dans un avenir plus ou moins proche à un utilisateur quelconque de EPCglobal ou à un groupe particulier d'entreprise comme PacID et comment (VPN, DNSsec, ...), 2) quelles importantes mesures de sécurité complémentaires vous pensez que PacID devrait mettre en place pour la sécurité d'échanges et recherches d'informations dans un contexte de "supply chain". Ceci nous permettra de savoir si nous n'avons rien oublié (comme mesures de sécurité nécessaires) et ce qu'il nous reste à faire. De manière plus particulière, nous souhaitons donc savoir 1) par rapport aux analyses de Fabian sur l'insécurité de ONS (http://www.taucis.hu-berlin.de/ download/security analysis.pdf) et/ou, légèrement plus généralement, EPCglobal au niveau réseau (http://lehre.wiwi.hu-berlin.de/Professuren/quantitativ/wi/personen/hl/downloads/Security Challenges of the EPC Network V12.pdf) quels sont les points que GS1 France addressera et quels points ne seront jamais adressés. Par exemple, un commentaire sur la table 2 (page 3) de ce dernier document et sur la conclusion suivante du précédent document seront les bienvenus. > ONS information integrity could only be assured by DNSSEC in the > long run, if the Internet community as a whole adopts it. However, > even if DNSSEC could be widely configured to actually encrypt the > DNS information, which is not a stated goal so far [20, Section 4, > p.8], the company prefix of a given EPC could still be guessed by > following the sequence of IP addresses the ONS queries are sent to. > No additional protection against the availability problem of ONS > servers is offered by deploying DNSSEC, on the contrary - signature > checking introduces additional load to the involved servers [12, p 7]. 2) les liens (compatibilité/ré-utilisation) entre ces travaux de GS1 France et IPv6. 3) les liens avec les travaux d'Aspire: aucun (je suppose) ou bien y aura t'il des facilités particulières pour déployer les (futur) agents d'Aspire de manière systématique ? 4) GS1 France offrira t'il aussi une PKI pour gérer des certificats sectoriels ? Merci, Philippe Dr. Philippe Martin; Web site: www.phmartin.info; Tel: +33 4 9300 8188 Research engineer & project leader at www.Eurecom.fr (Sophia Antipolis)