Paramètres de stratégie de sécurité

La section Sécurité inclut le paramètre de stratégie permettant de configurer le chiffrement de session et le chiffrement des données d’ouverture de session.

Niveau de chiffrement minimum SecureICA

Ce paramètre spécifie le niveau minimum auquel chiffrer les données de session envoyées entre le serveur et un périphérique utilisateur.

Important : Pour le Virtual Delivery Agent 7.x, ce paramètre de stratégie ne peut être utilisé que pour activer le chiffrement des données d’ouverture de session avec le chiffrement RC5 128 bits. Les autres paramètres sont fournis uniquement pour la compatibilité descendante avec les versions héritées de Citrix Virtual Apps and Desktops.

Pour le VDA 7.x, le chiffrement des données de session est défini à l’aide des paramètres de base du groupe de mise à disposition du VDA. Si l’option Activer Secure ICA est sélectionnée pour le groupe de mise à disposition, les données de session sont chiffrées à l’aide du chiffrement RC5 (128 bits). Si l’option Activer Secure ICA n’est pas sélectionnée pour le groupe de mise à disposition, les données de session sont chiffrées avec le chiffrement de base.

Lorsque vous ajoutez ce paramètre à une stratégie, sélectionnez une option :

• De base chiffre la connexion client à l’aide d’un algorithme non-RC5. Il protège le flux de données contre la lecture directe, mais il peut être déchiffré. Par défaut, le serveur utilise le chiffrement de base pour le trafic client-serveur.
• Ouverture de session RC5 (128 bits) chiffre uniquement les données d’ouverture de session à l’aide du chiffrement RC5 128 bits et la connexion client à l’aide du chiffrement de base.
• RC5 (40 bits) chiffre la connexion client à l’aide du chiffrement RC5 40 bits.
• RC5 (56 bits) chiffre la connexion client à l’aide du chiffrement RC5 56 bits.
• RC5 (128 bits) chiffre la connexion client à l’aide du chiffrement RC5 128 bits.

Les paramètres que vous spécifiez pour le chiffrement client-serveur peuvent interagir avec d’autres paramètres de chiffrement de votre environnement et de votre système d’exploitation Windows. Si un niveau de chiffrement de priorité plus élevée est défini sur un serveur ou un périphérique utilisateur, les paramètres que vous spécifiez pour les ressources publiées peuvent être remplacés.

Vous pouvez augmenter les niveaux de chiffrement pour sécuriser davantage les communications et l’intégrité des messages pour certains utilisateurs. Si une stratégie exige un niveau de chiffrement plus élevé, les Citrix Receivers utilisant un niveau de chiffrement inférieur se voient refuser la connexion.

SecureICA n’effectue pas d’authentification ni de vérification de l’intégrité des données. Pour fournir un chiffrement de bout en bout pour votre site, utilisez SecureICA avec le chiffrement TLS.

SecureICA n’utilise pas d’algorithmes conformes à la norme FIPS. Si ce paramètre pose problème, configurez le serveur et les Citrix Receivers pour éviter d’utiliser SecureICA.

SecureICA utilise le chiffrement par blocs RC5 tel que décrit dans la RFC 2040 pour la confidentialité. La taille de bloc est de 64 bits (un multiple d’unités de mots de 32 bits). La longueur de clé est de 128 bits. Le nombre de tours est de 12.

Les clés pour le chiffrement par blocs RC5 sont négociées lors de la création d’une session. La négociation est effectuée à l’aide de l’algorithme Diffie-Hellman. Cette négociation utilise des paramètres publics Diffie-Hellman. Ces paramètres sont stockés dans le registre Windows lors de l’installation du Virtual Delivery Agent. Les paramètres publics ne sont pas secrets. Le résultat de la négociation Diffie-Hellman est une clé secrète, à partir de laquelle les clés de session pour le chiffrement par blocs RC5 sont dérivées. Des clés de session distinctes sont utilisées pour la connexion utilisateur et pour le transfert de données. De plus, des clés de session distinctes sont utilisées pour le trafic vers et depuis le Virtual Delivery Agent. Il y a donc quatre clés de session pour chaque session. Les clés secrètes et les clés de session ne sont pas stockées. Les vecteurs d’initialisation pour le chiffrement par blocs RC5 sont également dérivés de la clé secrète.