Politique d`Horodatage

Transcription

Politique d’Horodatage
Service de confiance
Référence Docapost
Docapost BPO
Référence Client
Date
Version :
Classification
: DOCAPOST_PHV2.1.DOC
:
: 23/07/2012
: 2.1
: Public – C0 (Sans mention particulière)
Prénom, Nom
Ecrit par
PM Pinel
Vérifié par
D Brunet
Validé par
Public – C0 (sans mention particulière)
Date
13/04/11 PMP
Signature
Version du
23/07/2012
Page 2 / 22
Page des évolutions
Pages /
Chapitre
Edition /
Révision
04/10/07 Création du document
Tous
1.0
13/04/11 Mise à jour du document
Tous
2.0
23/07/12 Changement de dénomination Extelia  Docapost BPO
Tous
2.1
Date
Modifications
Version du
23/07/2012
Page 3 / 22
Liste de diffusion
Diffusion interne
Nom
Diffusion externe
Nom
Fonction
Action
Date
Nb exemplaire(s)
Fonction
Action
Date
Nb exemplaire(s)
Documents de référence
Nom
Version
Titre du document de référence
ETSI TS 101 861
V 1.3.1
Time Stamping Profile
ETSI TS 102023
V 1.2.1
Requirements for time-stamping authorities
ETSI TS xxxx STF 178-T2
Policy Requirements for Certification Authorities
issuing public key certificates
ITU-R TF.460-5
Standard-Frequency and Time Signal emissions
ITU-R TF.536-1
Time-Scale Notations
RFC 3161
Internet X.509 Public Key Infrastructure : TimeStamp Protocol (TSP)
RFC 3628
Policy Requirements for Time-Stamping Authorities
(TSAs)
RGS
1.0
Référentiel Général de Sécurité
RGS_A_12
2.3
RGS – Politique d’horodatage Type
Version du
23/07/2012
Page 4 / 22
Table des matières
1
OBJET DU DOCUMENT .................................................................................................................................. 6
2
GENERALITES.................................................................................................................................................. 7
2.1 DEFINITIONS ................................................................................................................................................... 7
2.2 ABREVIATIONS................................................................................................................................................ 8
2.3 SERVICES D’HORODATAGE ............................................................................................................................ 8
2.4 AUTORITE D’HORODATAGE .......................................................................................................................... 8
2.5 UTILISATEURS FINAUX ................................................................................................................................... 9
2.6 IDENTIFICATION DE LA PH ............................................................................................................................ 9
3
3.1
3.2
3.3
3.4
3.5
3.6
3.7
DISPOSITIONS GENERALES ...................................................................................................................... 10
OBLIGATIONS DE L’AH ................................................................................................................................ 10
OBLIGATIONS DE L’ABONNE ....................................................................................................................... 10
OBLIGATIONS DE L’UTILISATEUR FINAL DE LA CONTREMARQUE DE TEMPS .......................................... 10
OBLIGATIONS POUR LES AC FOURNISSANT LES CERTIFICATS DES UNITES D’HORODATAGE ................. 11
DECLARATIONS DES PRATIQUES D’HORODATAGE ..................................................................................... 11
CONDITIONS GENERALES D’UTILISATION................................................................................................... 12
CONFORMITE AVEC LES EXIGENCES LEGALES ........................................................................................... 12
4.1
4.2
4.3
4.4
4.5
4.6
4.7
EXIGENCES OPERATIONNELLES (REPRISE DU PLAN DE LA PH TYPE RGS) ............................ 14
GESTION DES REQUETES DE CONTREMARQUES DE TEMPS ........................................................................ 14
FICHIERS D’AUDIT ........................................................................................................................................ 14
GESTION DE LA DUREE DE VIE DE LA CLE PRIVEE ...................................................................................... 14
SYNCHRONISATION DE L’HORLOGE ............................................................................................................ 14
EXIGENCES DU CONTENU D’UNE CONTREMARQUE DE TEMPS .................................................................. 15
COMPROMISSION DE L’AH .......................................................................................................................... 15
FIN D’ACTIVITE............................................................................................................................................. 16
4
5 EXIGENCES
PHYSIQUES
ET
ENVIRONNEMENTALES,
PROCEDURALES
ET
ORGANISATIONNELLES ..................................................................................................................................... 17
5.1 EXIGENCES PHYSIQUES ET ENVIRONNEMENTALES .................................................................................... 17
5.2 EXIGENCES PROCEDURALES ........................................................................................................................ 17
5.3 EXIGENCES ORGANISATIONNELLES ............................................................................................................ 18
6
EXIGENCES DE SECURITE TECHNIQUES ............................................................................................. 19
6.1 EXACTITUDE DE TEMPS................................................................................................................................ 19
6.2 GENERATION DE CLE.................................................................................................................................... 19
6.2.1 Génération des clés de l’AH ................................................................................................................... 19
6.2.2 Génération des clés d’UH....................................................................................................................... 19
6.3 CERTIFICATION DES CLES DE L’UNITE D’HORODATAGE ........................................................................... 20
6.4 PROTECTION DES CLES PRIVEES DES UNITES D’HORODATAGE ................................................................. 20
6.5 EXIGENCES DE SAUVEGARDE DES CLES DES UNITES D’HORODATAGE...................................................... 21
6.6 DESTRUCTION DES CLES DES UNITES D’HORODATAGE .............................................................................. 21
6.7 ALGORITHMES OBLIGATOIRES.................................................................................................................... 21
6.8 VERIFICATION DES CONTREMARQUES DE TEMPS ...................................................................................... 21
6.9 RENOUVELLEMENT DES CLES DES UNITES D’HORODATAGE..................................................................... 21
6.10 GESTION DU CYCLE DE VIE DES MODULES D’HORODATAGE UTILISES POUR LA GENERATION DES
JETONS D’HORODATAGE ........................................................................................................................................ 22
Version du
23/07/2012
Page 5 / 22
Avertissement
La présente Politique d’Horodatage (PH) est une œuvre protégée par les dispositions du Code de la
Propriété Intellectuelle du 1er juillet 1992, notamment par celles relatives à la propriété littéraire et
artistique et aux droits d’auteur, ainsi que par toutes les conventions internationales applicables
(notamment la convention de Berne de 1886). Ces droits sont la propriété exclusive de Docapost BPO. La
reproduction, la représentation (y compris la publication et la diffusion), intégrale ou partielle, par quelque
moyen que ce soit (notamment, électronique, mécanique, optique, photocopie, enregistrement
informatique), non autorisée préalablement par écrit par La Poste ou ses ayants droit, sont strictement
interdites.
Le Code de la Propriété Intellectuelle n’autorise, aux termes de l’article L.122-5, d’une part, que « les copies
ou reproductions strictement réservées à l’usage privé du copiste et non destinés à une utilisation
collective » et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration,
« toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de
ses ayants droit ou ayants cause est illicite » (article L.122-4 du Code de la Propriété Intellectuelle).
Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon
sanctionnée notamment par les articles L. 335-2 et suivants du Code de la Propriété Intellectuelle.
1
Version du
23/07/2012
Page 6 / 22
Objet du document
L’horodatage électronique consiste à associer à une représentation sans équivoque des données
concernées, un instant dans le temps suivant une précision prédéfinie par rapport au temps universel.
L’horodatage électronique est réalisé sous le contrôle et sous la responsabilité d’une « autorité
d’horodatage » (AH). Quelque soit l’organisation retenue, l’AH reste responsable vis-à-vis des Utilisateurs
du service d’horodatage électronique rendu.
La PH a pour but de fournir aux Utilisateurs finaux et aux services demandeurs des Services d’horodatage
l’information nécessaire pour évaluer la confiance qu’ils placent dans une relation basée sur des
Contremarques de temps émises par l’AH DOCAPOST BPO.
L’objet de la présente politique d’horodatage est de formaliser les engagements de l’AH. Cette PH définit
les objectifs et les engagements de l’AH pour assurer la fiabilité des Services d’horodatage fournis. Elle est
un document public accessible librement par les services demandeurs et les Utilisateurs finaux.
Ce document constitue la politique d’horodatage (PH) de Docapost BPO. Il développe les points suivants :
• Une description des services rendus par l’Autorité d’Horodatage (AH) de Docapost BPO;
• Un ensemble d’exigences concernant l’exploitation de l’AH.
La structure et le contenu de la présente PH sont inspirés des documents :
• ETSI TS 102023 v1.2.2 – 10/2008 – Policy requirements for time-stamping authorities
• [ETSI-TSP]
ETSI TS 101861 v1.2.1 – 03/2002 – Time Stamping Profile
• [PH-TYPE]
Référentiel Général de Sécurité – PH Type v2.3
• [RFC3161]
IETF – Time Stamp Protocol – 08/2001
2
Version du
23/07/2012
Page 7 / 22
Généralités
Les définitions et les abréviations ci-dessous ont, pour la plupart, été reprises de l’annexe 12 au RGS «
Politique d’horodatage type » v. 2.3 du 18 février 2010.
2.1
Définitions
Abonné - Entité ayant besoin de faire horodater des données par une Autorité d'horodatage et qui a
accepté les conditions d'utilisation de ses services.
Autorité de Certification (AC) - Entité émettant des Certificats après vérification de l’identité de la personne
ou du représentant du système applicatif, ou de la procédure ayant mené à son identification. L’AC est
responsable de l’ensemble des composantes matérielles, humaines et organisationnelles utilisées dans le
processus de création et de gestion des Certificats. Il s’agit de CertiNomis dans le cadre de la présente PH.
Autorité d'horodatage (AH) – Autorité responsable de la gestion de l’environnement d’Horodatage et de la
production de Contremarques de temps de Docapost BPO sur les données qui lui sont présentées afin
d’attester de l’existence de ces données à la date de la Contremarque de temps. Il s’agit de Docapost BPO
dans le cadre de la présente PH.
Contremarque de temps - Donnée signée qui lie une représentation d'une donnée à un temps particulier,
exprimé en heure UTC, établissant ainsi la preuve que la donnée existait à cet instant-là
Coordinated Universal Time (UTC) - Echelle de temps liée à la seconde, telle que définie dans la
recommandation ITU-R TF.460-5 [TF.460-5].
Déclaration des pratiques d’horodatage (DPH) - Une DPH identifie les pratiques (organisation, procédures
opérationnelles, moyens techniques et humains) que l'AH applique dans le cadre de la fourniture de ses
services d'horodatage et en conformité avec la ou les politiques d'horodatage qu'elle s'est engagée à
respecter.
Jeton d’horodatage - Voir contremarque de temps.
Module d'horodatage - Produit de sécurité comportant une ressource cryptographique et qui est dédié à la
mise en œuvre des fonctions d'horodatage de l'UH, notamment la génération, la conservation et la mise en
œuvre de la clé privée de signature de l'UH ainsi que la génération des contremarques de temps.
Politique d'horodatage (PH) - Ensemble de règles, identifié par un nom (OID), définissant les exigences
auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations et indiquant
l'applicabilité d'une contremarque de temps à une communauté particulière et/ou une classe d'application
avec des exigences de sécurité communes.
Service d’horodatage - Ensemble des prestations nécessaires à la génération et à la gestion de
Contremarques de temps.
Système d'horodatage - Ensemble des unités d’horodatage et des composants d’administration et de
supervision utilisés pour fournir des services d'horodatage.
Unité d'Horodatage (UH) - Ensemble de matériel et de logiciel en charge de la création de contremarques
de temps caractérisé par un identifiant de l’unité d’horodatage accordé par une AC, et une clé unique de
signature de contremarques de temps.
UTC(k) - Temps de référence réalisé par le laboratoire "k" et synchronisé avec précision avec le temps UTC,
dans le but d'atteindre une précision de ±100 ns, selon la recommandation S5 (1993) du Comité Consultatif
pour la définition de la Seconde. (Rec. ITU-R TF.536-1 [TF.536-1]).
Version du
23/07/2012
Page 8 / 22
Utilisateur de contremarque de temps – Entité (personne ou système) qui fait confiance à une
Contremarque de temps émise sous une PH donnée par une AH donnée.
Utilisateur final - Abonné ou Utilisateur de contremarques de temps
2.2
Abréviations
Pour le présent document, les abréviations suivantes s'appliquent :
2.3

AC
Autorité de Certification

AH
Autorité d'horodatage

ANSSI
Agence Nationale la Sécurité des Systèmes d’Information

DPH
Déclaration des Pratiques d’Horodatage

ETSI
European Telecommunications Standards Institute

LCR
Liste des Certificats Révoqués

IGC
Infrastructure de Gestion de Clés

OID
Object Identifier

PH

RGS
Référentiel Général de Sécurité

UH
Unité d'Horodatage

UTC
Coordinated Universal Time
Services d’horodatage
Les Services d’horodatage sont divisés en deux composantes:
• Un service de fourniture d’horodatage qui génère les Jetons d’horodatage conformément au
RFC3161.
• Un service de gestion de l’horodatage qui surveille et contrôle le fonctionnement opérationnel
des actions d’horodatage pour garantir que le service est conforme aux spécifications de l’AH. Ce
service est responsable de l’installation, de la surveillance, du contrôle et de la désinstallation du
service de fourniture d’horodatage. Il doit, par exemple, contrôler que l’horloge utilisée pour
l’horodatage est bien synchronisée au format UTC.
2.4
Autorité d’Horodatage
L’AH a la complète responsabilité de la fourniture des Services d’horodatage définis au paragraphe 2.3.
Les clés de signature de l’AH sont utilisées pour signer les Jetons d’horodatage et l’AH est identifiée comme
l’émetteur de ces Jetons.
L’AH fait appel à d’autres entités pour assurer la conservation des Jetons d’horodatage dans le temps. Elle
en conserve cependant l’entière responsabilité et s’assure que les exigences décrites dans la présente PH et
Version du
23/07/2012
Page 9 / 22
dans la DPH associée sont satisfaites.
2.5
Utilisateurs finaux
Les Utilisateurs finaux sont les Abonnés, les Utilisateurs des contremarques de temps .Certaines obligations
sont à leur charge, figurant dans des documents contractuels, directement ou indirectement applicables.
2.6
Identification de la PH
La présente PH est identifiée par l’Identifant d’Objet (OID) suivant :
1.2.250.1.229.1.3
Les Jetons d’horodatage émis par les Services d’Horodatage comportent l’OID de la PH applicable au
moment de leur émission.
3
Dispositions générales
3.1
Obligations de l’AH
Version du
23/07/2012
Page 10 / 22
L’AH s’assure que toutes les exigences détaillées dans la présente PH sont mises en place.
L’AH garantit la conformité des exigences et des procédures prescrites dans la présente PH, même lorsque
les fonctionnalités d'horodatage sont remplies par des sous-traitants.
L’AH met à disposition les moyens pour permettre l'adhésion aux obligations complémentaires indiquées
dans la Contremarque de temps.
L’AH fournit des Services d'horodatage conformément à sa DPH.
L’AH fournit sur son site ses conditions générales d’utilisation applicables directement ou indirectement
aux Utilisateurs finaux.
L’AH s’engage à ce que les Jetons d’horodatage dans le cadre de la présente PH aient une durée de validité
de 10 ans.
3.2
Obligations de l’Abonné
L’Abonné s’engage à respecter les obligations qui le concernent contenues dans les conditions générales
d’utilisation du Service d’horodatage de Docapost BPO.
L’Abonné s’engage à vérifier la validité d’un Jeton d’horodatage dès sa réception. Il est recommandé qu’il
vérifie que le certificat de l’UH n'est pas révoqué.
L’Abonné s’engage également à vérifier que les données sur lesquelles portent le Jeton d’horodatage sont
bien celles transmises pour horodatage.
Un tiers archiveur a en charge l’archivage des contremarques de temps.
3.3
Obligations de l’Utilisateur final de la contremarque de temps
Pour faire confiance à une Contremarque de temps, l’Utilisateur final s’engage à :
•
vérifier que la Contremarque de temps a été correctement signée, et que le certificat de l’UH est
valide à l'instant de la vérification.
•
tenir compte des limitations sur l'utilisation de la Contremarque de temps indiquées dans la PH, la
DPH et les conditions générales d'utilisation.
3.4
Version du
23/07/2012
Page 11 / 22
Obligations pour les AC fournissant les certificats des Unités d’horodatage
Les certificats d’horodatage, certifiant les clés publiques associées aux clés privées (hébergées dans les UH)
utilisées pour la signature des Jetons d’horodatage générés dans le cadre de la présente PH, sont émis par
l’AC CertiNomis.
Ces certificats sont exclusivement dédiés à l’horodatage : le champ « usage avancé » des clés privées est
positionné en conséquence.
L’AC fournit un service de révocation, renouvelé / mis à jour via un mécanisme de LCR.
3.5
Déclarations des pratiques d’horodatage
L’AH doit démontrer qu’elle possède la fiabilité nécessaire pour la fourniture de Services d’horodatage. En
particulier :
•
L’AH dispose d’une DPH décrivant les procédures utilisées pour assurer sa conformité à toutes les
exigences identifiées dans la présente PH.
•
La DPH, de nature confidentielle, est la propriété de l’AH. Cependant, l’AH se réserve le droit de
diffuser les parties publiques de la DPH et en particulier :
o
le cadre d’application de la DPH ;
o
les coordonnées de l’AH ;
o
la PH appliquée ;
o
les algorithmes de hachage autorisés pour constituer l’objet horodaté ;
o
la durée minimum pendant laquelle il est possible de vérifier les Contremarques de temps, à
compter de leur date de génération ;
o
la précision de la date des Contremarques de temps par rapport à l’échelle de temps UTC ;
o
les obligations des Abonnés ;
o
les obligations des Utilisateurs de Contremarque de temps ;
o
les obligations de l’AC fournissant les certificats aux UH ;
o
les informations permettant de vérifier la Contremarque de temps ;
o
les limitations de responsabilité.
•
La DPH expose les mécanismes et les procédures mis en œuvre pour atteindre les objectifs de sécurité
de la PH, en particulier les processus que l’AH emploiera pour la création des Contremarques de temps
et le maintien de l'exactitude de ses horloges ;
•
La DPH décrit les pratiques opérationnelles de l’AH mises en œuvre pour la délivrance des
Contremarques de temps et la gestion des Services d'horodatage ;
•
La DPH définit comment l'AH et les autres entités participant au cycle de vie des Contremarques de
temps se conforment aux exigences physiques, environnementales, procédurales, organisationnelles
et techniques identifiées dans la présente PH.
3.6
Version du
23/07/2012
Page 12 / 22
Conditions générales d’utilisation
Pour l’application de la présente PH, l’AH met à disposition des Utilisateurs finaux de ses Services
d’horodatage sur son site internet :
a)
Une information sur un point de contact de l’AH ;
b)
Une description ou une référence à la présente PH.
c)
Au moins un algorithme de hachage qui peut être utilisé pour représenter la donnée à horodater.
d)
La période de temps minimum, hors cas de révocation, durant laquelle les Contremarques de
temps seront vérifiables.
e)
L'exactitude du temps dans les Contremarques de temps par rapport au temps UTC.
f)
Toutes les limitations sur l'utilisation du Service d'horodatage.
g)
Les obligations de l'Abonné, si elles ne font partie ni du contrat avec l'Abonné, ni de la DPH.
h)
Les obligations des Utilisateurs de Contremarques de temps, si elles ne font partie ni du contrat
avec les Utilisateurs de contremarques de temps, ni de la DPH.
i)
L'information sur la manière de vérifier les Contremarques de temps de telle façon que
l'Utilisateur de Contremarques de temps puisse "raisonnablement avoir confiance" dans les Contremarques
de temps ainsi que les restrictions possibles sur sa période de validité.
j)
La période de temps pendant laquelle les fichiers d'audit de l’AH sont conservés.
k)
Le système légal applicable.
l)
Les limitations de responsabilité.
m)
Les procédures pour les plaintes et le règlement des conflits.
n)
signé).
Les éléments permettant de valider la chaîne de certificats (du certificat de l’UH au certificat auto-
o)
Le nom du pays dans lequel l’AH est établie et l'identifiant de l’AH (tel que figurant dans le
certificat de l’UH).
L’AH met également à disposition les conditions de disponibilité du service (par exemple le temps moyen
d'indisponibilité du service d'horodatage, le temps moyen de rétablissement du service suite à une
indisponibilité et les dispositions prises pour les plans de secours, y compris les services de secours prévus).
3.7
Conformité avec les exigences légales
L’AH garantit la conformité de ses services avec les exigences légales. En particulier :
a) Des mesures techniques appropriées et organisationnelles sont prises contre le traitement non autorisé
ou illégal de données à caractère personnel (cf. [CNIL] : Loi n° 78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004), contre la perte
accidentelle, la destruction de données à caractère personnel ou les dégâts commis aux données à
caractère personnel.
Version du
23/07/2012
Page 13 / 22
b) Les informations fournies par les Abonnés à l’AH ne sont pas divulguées, à moins de leur accord, d'une
décision judiciaire ou d'une exigence légale.
4
Exigences opérationnelles (reprise du plan de la PH type RGS)
4.1
Gestion des requêtes de contremarques de temps
Version du
23/07/2012
Page 14 / 22
La fourniture d'une Contremarque de temps en réponse à une demande (par exemple les performances et
le prix du service) est à la discrétion de l'AH et définie dans les conditions générales d'utilisation fournies à
l'Abonné ou à toute personne requérant indirectement au Service d’horodatage fourni par l’AH.
4.2
Fichiers d’audit
L'AH garantit que toutes les informations appropriées concernant le fonctionnement du Service
d'horodatage sont enregistrées pendant une période de temps suffisante précisée dans la DPH, en
particulier dans le but de fournir une preuve en cas d'enquêtes légales. Notamment :
a)
La confidentialité et l'intégrité des enregistrements d'audit courants et archivés relatifs au
fonctionnement des Services d'horodatage sont assurées.
b)
Les enregistrements relatifs au fonctionnement des Services d'horodatage sont disponibles si
exigés dans le but de fournir une preuve d'un fonctionnement correct des Services d'horodatage en cas
d'enquêtes légales.
4.3
Gestion de la durée de vie de la clé privée
L’AH garantit que les clés privées de signature des UH ne sont pas employées au-delà de la fin de leur cycle
de vie. En particulier :
a)
Des procédures opérationnelles et techniques sont mises en place pour assurer qu'une nouvelle
paire de clés est mise en place quand la fin de la période d'utilisation d'une clé privée d’UH a été atteinte.
b)
Des procédures techniques sont mises en place pour détruire la clé privée lorsque la période
d’utilisation de cette clé a été atteinte.
4.4
Synchronisation de l’horloge
L’AH garantit que son horloge est synchronisée avec le temps UTC selon l'exactitude déclarée. En
particulier :
a)
Le calibrage de chaque horloge d’UH est maintenu de telle manière que les horloges ne puissent
pas dériver à l'extérieur de l’exactitude déclarée.
b)
Les horloges des UH sont protégées contre les menaces relatives à leur environnement qui
pourraient aboutir à une désynchronisation avec le temps UTC en dehors de l’exactitude déclarée.
c)
L’AH garantit que, si son horloge interne ne respecte plus l’exactitude déclarée, des moyens
pourront le détecter.
d)
Si l'horloge d'une UH est détectée comme étant en dehors de l'exactitude annoncée, alors les
Contremarques de temps ne sont plus générées.
Version du
23/07/2012
Page 15 / 22
e)
Les ajustements concernant la synchronisation de l’échelle de temps UTC avec les échelles de
temps UTC(k) sont pris en compte par l’AH (cas des sauts de seconde programmés). Un enregistrement du
temps exact (selon l’exactitude déclarée) de l’instant de ce changement est effectué par l’AH.
f) Les propriétés du Module d’horodatage opérant l’horloge sont conformes aux exigences de la PH type. Ce
module fait l’objet d’une qualification au niveau standard.
g)
Si la précision par rapport au temps UTC est différente d’une seconde, cette précision est
indiquée explicitement dans chaque Jeton d’horodatage.
h)
Si aucune précision n’est indiquée dans le Jeton d’horodatage, cela signifie que la précision par
rapport au temps UTC est d’une seconde.
4.5
Exigences du contenu d’une Contremarque de temps
L’AH garantit que les Contremarques de temps sont générées en toute sécurité et incluent le temps
correct. En particulier :
a)
La Contremarque de temps inclut l’identifiant de la PH et l'identifiant du certificat de l’UH. Ce
certificat inclut :
•
un identifiant du pays dans lequel l’AH est établie, à savoir FR
•
un identifiant de l’AH,
•
une identification de l’UH qui génère les Contremarques de temps.
b)
La Contremarque de temps inclut un identifiant de la PH applicable au moment de sa génération.
c)
Chaque Contremarque de temps comporte un identifiant unique.
d)
Les informations de temps portées dans les Contremarques de temps sont reliées à un temps
fourni par un laboratoire UTC (k).
e)
Le temps inclus dans une Contremarque de temps est synchronisé avec le temps UTC au moins
avec l’exactitude définie dans la DPH.
f)
La Contremarque de temps inclut une représentation de la donnée à horodater (c'est-à-dire la
valeur de hachage et l'identifiant d'algorithme de hachage) telle que fournie par le demandeur.
g)
4.6
La Contremarque de temps est signée en employant une clé produite exclusivement à cette fin
Compromission de l’AH
L’AH garantit dans le cas d'événements qui affectent la sécurité des Services d'horodatage, incluant la
compromission de la clé privée de signature d'une UH ou la perte détectée de calibrage qui pourrait
affecter des Contremarques de temps émises, qu'une information appropriée est mise à la disposition des
Abonnés et des Utilisateurs de contremarques de temps. En particulier :
a)
Le plan de secours de l’AH traite le cas de la compromission réelle ou suspectée de la clé privée de
signature d'une UH ou la perte de calibrage de l'horloge d'une UH, qui pourrait affecter des Contremarques
de temps émises.
b)
Dans le cas d'une compromission, réelle ou suspectée, ou d’une perte de calibrage d'une UH, qui
pourrait affecter des Contremarques de temps émises, l’AH mettra à la disposition de tous les Abonnés et
Utilisateurs de contremarques de temps une description de la compromission qui est survenue.
Version du
23/07/2012
Page 16 / 22
c)
Dans le cas d'une compromission, réelle ou suspectée, ou d’une perte de calibrage d'une UH, qui
pourrait affecter des Contremarques de temps émises, l’AH prendra les mesures nécessaires pour que les
Contremarques de temps de cette UH ne soient plus générées jusqu'à ce que des actions soient faites pour
restaurer la situation.
d)
Dans le cas d'un événement majeur dans le fonctionnement de l’AH ou d'une une perte de
calibrage, qui pourrait affecter des Contremarques de temps émises, chaque fois que cela sera possible,
l’AH mettra à la disposition de tous ses Abonnés et des Utilisateurs de contremarques de temps toute
information pouvant être utilisée pour identifier les Contremarques de temps qui pourraient avoir été
affectées, à moins que cela ne contrevienne à la vie privée des Abonnés ou à la sécurité des Services
d'horodatage.
4.7
Fin d’activité
L'AH de Docapost BPO s'engage à informer ses Abonnés et les Utilisateurs de contremarques de temps,
avec un préavis d'au moins 3 (trois) mois, de sa décision d'arrêter ses activités de délivrance de Services En
particulier :
Avant de fermer ses Services d’horodatage, les procédures suivantes sont appliquées :
•
L’AH rend disponible aux Abonnées et aux Utilisateurs de contremarques de temps toute modalité
concernant la fin de ses activités (date prévue de fin d’activité, etc.) ;
•
Les autorisations données aux sous-traitants de l’AH intervenant dans le processus de création des
Jetons d’horodatage sont révoquées ;
•
L’AH prend les mesures nécessaires afin de :
• soit continuer à assurer les fonctions de vérification pendant un délai de 10 ans de la validité des
Jetons d’horodatage,
• soit transférer contractuellement à un organisme fiable les fonctions permettant cette
vérification ;
•
De plus, l’AH prend les mesures nécessaires afin de continuer à rendre disponibles aux Utilisateurs de
contremarques de temps pendant une période raisonnable ses clés publiques ainsi que ses
certificats ;
•
Les clés privées des UH sont détruites de manière à rendre impossible leur recouvrement ;
•
L’AH prend les dispositions financières permettant de couvrir les frais relatifs à ces exigences, y
compris en cas de liquidation judiciaire ;
Les pratiques de l’AH prévoient les mesures à prendre à la fermeture des services. Ces mesures
comprennent:
•
La notification des Abonnés et des Utilisateurs de contremarques de temps ;
•
La transmission des obligations de l’AH à d’autres parties d'horodatage.
Version du
23/07/2012
Page 17 / 22
5
Exigences physiques et environnementales, procédurales et organisationnelles
5.1
Exigences physiques et environnementales
L’AH garantit que l'accès physique aux services critiques est contrôlé et que les risques physiques d'atteinte
à ses actifs sont réduits au minimum. En particulier :
- l'accès physique aux équipements concernés par les Services d'horodatage est limité aux individus
autorisés ;
- des contrôles sont mis en œuvre pour éviter la perte, des dégâts ou la compromission d'actifs et
l'interruption des activités ;
- des contrôles sont mis en œuvre pour éviter la compromission ou le vol d'informations ou d'équipements
informatiques ;
- des contrôles d'accès sont appliqués aux modules d'horodatage pour remplir les exigences de sécurité des
modules d'horodatage.
- le système d'horodatage fonctionne dans un environnement qui protège physiquement les services de la
compromission au moyen d'un accès non autorisé aux systèmes ou aux données ;
- la protection physique est réalisée par la création d’un périmètre de sécurité dédié clairement défini
autour des UH ;
- des contrôles de sécurité physique et environnementale sont mis en œuvre pour protéger
l'environnement qui abrite les ressources du système, les ressources du système elles-mêmes et les
équipements utilisés pour remplir leur fonction ;
- la politique de sécurité physique et environnementale de l’AH pour les systèmes concernés par la gestion
de l'horodatage concerne le contrôle d'accès physique, la protection vis
-à-vis des catastrophes naturelles, les facteurs de sécurité liés au feu, la défaillance des services de base
(par exemple le secteur, les télécommunications), l'écroulement de la structure, des fuites de plomberie, la
protection contre le vol, la casse et la pénétration et, le rétablissement de la sécurité après un désastre ;
- des contrôles sont mis en œuvre pour empêcher des équipements, de l'information, des médias et du
logiciel touchant aux Services d'horodatage d'être enlevés du site sans autorisation.
5.2
Exigences procédurales
L’AH garantit que les composants du système d'horodatage sont sûrs et correctement opérés, avec un
risque minimal d'échec. En particulier :
a)
L'intégrité des composants du système d'horodatage et l'information sont protégées contre les
virus, les logiciels malveillants et non autorisés.
b)
Un rapport d'incident et des procédures de réponse aux incidents sont employés d'une telle façon
que les dégâts liés aux incidents de sécurité et aux défaillances soient réduits au minimum.
c)
Les supports employés dans les systèmes d'horodatage sont manipulés de manière sécuritaire
pour les protéger des dégâts, du vol, de l'accès non autorisé et de l'obsolescence. Nota - Chaque membre
du personnel avec des responsabilités de gestion est responsable de la planification et de l'exécution
effective de la PH et des pratiques d'horodatage.
Version du
23/07/2012
Page 18 / 22
d)
Des procédures sont établies et mises en œuvre pour tous les rôles de confiance et administratifs
qui impactent la fourniture des services d'horodatage.
e)
Tous les supports sont traités de manière sécuritaire conformément aux exigences de la
classification de l'information. Les supports contenant des données sensibles sont retirés de manière
sécuritaire quand ils ne sont plus utiles.
f)
Les charges sont contrôlées et des projections de charge dans le futur sont effectuées pour
garantir que des puissances de traitement et des stockages adéquats seront disponibles.
g)
L’AH agira d'une façon opportune et coordonnée pour répondre rapidement aux incidents et
limiter l'impact des infractions à la sécurité. Tous les incidents doivent être rapportés aussitôt que possible
après l'incident.
h)
Les opérations de sécurité doivent être séparées des autres opérations.
i)
L’AH garantit que l'accès au système d'horodatage est limité aux individus dûment autorisés (par
exemple, des pare-feux et une séparation du réseau de production ont été mis en œuvre pour protéger le
réseau interne de l’AH d'accès non autorisés incluant l'accès par des Abonnés et des tierces personnes).
j)
L’AH garantit une administration efficace des utilisateurs (cela inclut les opérateurs, les
administrateurs et les auditeurs), pour maintenir la sécurité du système, y compris la gestion des comptes
des utilisateurs, l'audit, et la modification ou le retrait rapide d'accès.
k)
Des procédures de contrôle de changement sont appliquées pour les nouvelles versions, les
modifications et les corrections d'anomalies de n'importe quel logiciel opérationnel.
5.3
Exigences organisationnelles
L’AH s’assure que son organisation satisfait les exigences suivantes:
a)
L’AH emploie un personnel qui possède l'expertise, l'expérience et les qualifications nécessaires
pour les services offerts, tels que l'exige la fonction.
b)
Les rôles de sécurité et les responsabilités, comme spécifié dans la politique de sécurité de l’AH,
sont documentés dans des descriptions de poste. Les rôles de confiance, sur lesquels la sécurité du
fonctionnement de l’AH repose, sont clairement identifiés.
c)
Les rôles de confiance incluent les rôles qui impliquent les responsabilités suivantes :
- les officiers chargés de la sécurité : responsabilité complète d'administrer la mise en œuvre des pratiques
de sécurité;
- les administrateurs système : autorisés à installer, configurer et maintenir les modules d'horodatage de
l’AH pour la gestion de l'horodatage ;
- les opérateurs système : responsables pour faire fonctionner les modules d'horodatage de l’AH de
manière quotidienne. Autorisés pour effectuer les opérations de sauvegarde et des secours ;
- les auditeurs de système : autorisés à consulter les archives et les fichiers d'audit des modules
d'horodatage.
6
Version du
23/07/2012
Page 19 / 22
Exigences de sécurité techniques
L’AH réalise ou fait réaliser une évaluation de risques pour déterminer les actifs et les menaces pour ces
actifs afin de déterminer les mesures de sécurité nécessaires et les procédures opérationnelles.
6.1
Exactitude de temps
L'exactitude de temps de l’AH de Docapost BPO est de 1s (une seconde) par rapport au temps UTC. La
précision des UH est assurée par la source de temps interne, le mécanisme de synchronisation et les
sources de temps externes.
La synchronisation de l’UH est effectuée selon un processus mis en œuvre par des personnels habilités de
Docapost BPO dûment affectés à cette tâche. Des précisions quant aux modalités de la synchronisation
sont fournies dans la DPH.
L’initialisation de la synchronisation des UH garantit que la source de temps interne des UH :
- Délivre une date et une heure avec la précision de 1 seconde au regard de la ou des sources de temps
externes ;
- Est uniquement synchronisée par rapport aux sources de temps externes précisées dans la DPH.
6.2
6.2.1
Génération de clé
Génération des clés de l’AH
L’AH garantit que toutes les clés cryptographiques sont produites dans des circonstances contrôlées et sont
conformes aux normes existant en la matière.
La génération des clés de signature de l’AH est réalisée dans un environnement physique sécurisé avec du
personnel autorisé.
Les propriétés du Module d’horodatage assurant la génération des clés de signature de l’AH sont
conformes aux exigences de la PH Type. En particulier, ce Module fat l’objet d’une qualification au niveau
standard.
L’algorithme de génération des clés, la longueur des clés obtenue et l’algorithme de signature utilisés pour
la signature des Jetons d’horodatage sont conformes aux exigences du RGS.
6.2.2
Génération des clés d’UH
La génération des clés de signature des UH est effectuée dans un module d'horodatage répondant aux
exigences de sécurité du module d’horodatage des UH. Ainsi :
• La génération des bi-clés des UH est réalisée exclusivement par des utilisateurs autorisés ;
• Les clés utilisées pour signer les Jetons d’horodatage ne servent qu’à cet usage ;
• La procédure de génération des clés de signature est exécutée sous double contrôle et elle fait l’objet
d’une trace systématique.
• La confidentialité et l’intégrité des clés privées de signature des UH sont garanties ;
Version du
23/07/2012
Page 20 / 22
• Les accès à ses services sont limités en fonction de l’utilisateur et du rôle qui lui a été assigné ;
• Des enregistrements d’audit pour chaque modification concernant la sécurité sont créés ;
• Les tentatives d’altérations physiques sont détectées ;
• Les utilisateurs sont identifiés et authentifiés ;
• Les propriétés du module cryptographique permettant la génération des clés de signature des UH sont
l’une suivantes :
o FIPS 140-1 Level 3 ou plus ;
o CEN Workshop Agreement 14167-2 ;
o EAL 4 ou plus, ou tout autre critère de sécurité équivalent.
6.3
Certification des clés de l’unité d’horodatage
L’AH s’assure que la valeur de la clé publique et l’identifiant de l’algorithme de signature contenus dans la
demande de certificat de l’UH sont égaux à ceux générés par l’UH.
Le certificat d’UH demandé auprès d'une AC (Certinomis) contient au minimum les informations suivantes :
- le nom (DN) de l’UH pour laquelle la demande de certificat est faite ;
- la valeur de la clé publique (et l'identifiant de l'algorithme) ;
- la durée d'utilisation souhaitée pour la clé privée.
L’AH permet à l’AC de vérifier que la demande de certificat pour l’UH est valide, en lui fournissant
notamment les informations et documents nécessaires lors de l'enregistrement. De manière générale, l'AH
respecte les obligations qui lui incombent et qui découlent de la politique de certification de l'AC.
L’AH vérifie, lors de l'import du certificat de l’UH, qu'il provient bien de l’AC auprès de laquelle la demande
de certificat a été effectuée.
L’AH s’assure que l’UH ne peut être opérationnelle qu’une fois que les exigences ci-dessus auront été
remplies.
6.4
Protection des clés privées des unités d’horodatage
L’AH garantit que les clés privées des UH restent confidentielles et conservent leur intégrité. En particulier,
les clés de signature des UH sont gardées et utilisées à l'intérieur d'un module d'horodatage répondant aux
exigences de sécurité décrites dans le chapitre 4.3.2.
De plus, les clés privées de signature de l’AH sont conservées et utilisées par un module cryptographique
conforme à l’un des critères suivants :
- FIPS 140-1 Level 3 ou plus ;
Version du
23/07/2012
Page 21 / 22
- CEN Workshop Agreement 14167-2 ;
- EAL 4 ou plus, ou tout autre critère de sécurité équivalent.
6.5
Exigences de sauvegarde des clés des unités d’horodatage
L’AH garantit que la sauvegarde des clés des UH est interdite.
6.6
Destruction des clés des unités d’horodatage
L’AH garantit que les clés de signature des UH sont détruites à la fin de leur cycle de vie. La partie publique
contenue dans le certificat d’horodatage reste accessible.
6.7
Algorithmes obligatoires
L’algorithme de génération des clés, la longueur des clés obtenue et l’algorithme de signature utilisés pour
la signature des Jetons d’horodatage sont en concordance avec l’état de l’art existant figurant dans le RGS.
6.8
Vérification des Contremarques de temps
L’AH garantit que les Utilisateurs de contremarques de temps peuvent avoir accès à l'information utilisable
pour vérifier la signature numérique des Contremarques de temps. En particulier :
a)
Les certificats des UH sont joints à la Contremarque de temps ;
b)
Un ou plusieurs certificats utilisables pour valider une chaîne de certificats se terminant par un
certificat d’UH sont disponibles ;
c)
La validité d’une Contremarque de temps est vérifiable de façon autonome par l’Utilisateur final
pendant la période de publication en ligne des LCR délivrées par l’AC émettant les certificats d’horodatage
de l’UH ;
d)
La vérification d’un Jeton d’horodatage s’effectue à partir des informations publiées par l’AC
émettrice du Certificat d’UH ;
e)
Les LCR de l’AC sont accessibles sur son site Internet pendant la période de publication ;
f)
La période de vérification autonome d’un Jeton d’horodatage est au minimum de trois ans après
sa date d’émission. Au-delà, l’Utilisateur peut s’assurer de la validité d’un Jeton d’horodatage par requête
expresse auprès de l’AH
6.9
Renouvellement des clés des Unités d’horodatage
La durée de vie des bi-clés d’horodatage de l’AH, qui correspond à la durée de vie du certificat associé, est
de 4 (quatre) ans. La période d’activité des clés privées d’horodatage de l’AH, qui correspond à la période
durant laquelle les clés privées d’horodatage de l’AH sont utilisées pour émettre des Jetons dans le cadre
de la présente PH, est de 4 (quatre) ans.
Version du
23/07/2012
Page 22 / 22
Elle coïncide avec la période de renouvellement des clés de l’AH qui est également de 4 (quatre) ans.
L’AH s’assure que ses clés privées d’horodatage ne sont pas utilisées au-delà de la fin de leur période
d’activité. En fin de sa période d’activité, une clé privée de signature de l’AH est détruite sans possibilité de
reconstruction. La partie publique, contenue dans le certificat d’horodatage, reste, elle, accessible. Les
procédures techniques et opérationnelles permettent la mise en place d’une nouvelle bi-clé sur demande
de l’AH.
6.10 Gestion du cycle de vie des Modules d’horodatage utilisés pour la génération des Jetons
d’horodatage
L’AH assure la sécurité des modules d’horodatage durant leur cycle de vie.
En particulier, l’AH prend les mesures nécessaires visant à :
• Assurer que chaque module utilisé pour la signature des Jetons d’horodatage n’est pas modifié durant sa
livraison ;
• Assurer que chaque module utilisé pour la signature des Jetons d’horodatage n’est pas altéré avant et lors
de sa mise en fonction et lors de toute mise à jour ultérieure effectuée sur ce module ;
• Garantir que l’activation des clés de signature de l’AH dans chaque module n’est réalisée que par du
personnel autorisé ayant des rôles définis et au moins sous double contrôle au sein d’un environnement
physiquement sécurisé ;
• Assurer le fonctionnement correct des modules de signature des Jetons d’horodatage ;
• Assurer que la clé privée de signature de l’AH conservée dans un module est effacée à la fin du cycle de
vie du module d’horodatage.

Politique d`Horodatage

Transcription

Documents pareils

TrusTyTime

Téléchargez la fiche produit de StarSecure

administrateur systemes reseaux et developpement

doro congress 205

Ski forfaits à la demande - creafpa

doro matra r52 - OfficeEasy.fr

Doro PhoneEasy® 115