Rappels PKI

PUBLIC KEY INFRASTRUCTURE
Rappels PKI
PKI des Impôts
PKI de la Carte de Professionnel de Santé
Rappels PKI
Fonctionnement général

Pourquoi ?
◦
◦
◦
◦

Authentification
Intégrité
Confidentialité
Preuve (non-répudiation)
Comment ?
◦ Certificats
◦ Bi-clés
◦ Autorités d’Enregistrement et de Certification
Rappels PKI

Certificat X.509v3
Rappels PKI

Schéma obtention
Rappels PKI

Certificats x.509v2
◦ CRL – Certificate Revocation List
Rappels PKI

Schéma de révocation
Rappels PKI
PKI des Impôts
TéléTVA – schéma général

Politique de modernisation du MINEFI

Souplesse et sécurité des demandes

Dématérialisation des démarches

« Télé-procédures »

Projet modèle
TéléTVA
Principe
•
Obtention du certificat
•
Inscription au service
•
Connexion au service
Authentification et
chiffrement grâce au certificat
•
Certificats primaires et
secondaires
•

Inscription uniquement en ligne

Présentation et vérification du certificat

Génération du formulaire d’inscription

Envoi postale du formulaire
TéléTVA – Inscription







Saisie de la déclaration via formulaire en
ligne
Saisie contrôlée
Sauvegarde possible
Choix du compte à débiter
Signature du formulaire à la validation
Horodatage par le serveur
Envoi d’accusé de réception
TéléTVA – Utilisation

Consultation des déclarations effectuées

Communication des informations fiscales
TéléTVA – Utilisation

Délégation du service

Ajout et suppression par le certificat
principal
TéléTVA – Certificats
secondaires





Certificat délivré uniquement par une AC
Certificat révoqué n’est plus utilisable
Peut être révoqué par détenteur
secondaire, représentant de l’entreprise
ou par AC
Certificat secondaire révoqué = 1 compte
révoqué
Certificat principal révoqué = plusieurs
comptes révoqués
TéléTVA – Vie d’un certificat
PKI des Impôts
Mise en place d’une PKI par une banque

Abonné

Autorité de Certification (AC)

Autorité d’enregistrement centralisé (AEC)

Autorité d’enregistrement locale (AEL)

Représentant de l’entreprise (RE)
Banque – acteurs

Signature du contrat entre RE et AC

Responsabilités judiciaires

Nomination des RE
Banque – mise en service






Abonné remplit le dossier de demande
Dossier validé par un RE
AEL procède a une seconde vérification
Dossier transmis a l AEC
AEC fait une saisie informatique
Notification électronique
◦ RE
◦ AEL
◦ Abonne (code secret pour retrait)
Banque – création de certificat

Retrait en ligne du certificat
◦ Login + code secret
◦ Bi-clé générée par navigateur client
◦ Clé publique transmise au serveur (PKCS#10,
SSLv3)
◦ AC génère le certificat correspondant a la clé
publique
◦ Téléchargement du certificat
◦ Import dans le navigateur

Support matériel possible
Banque – création de certificat
Banque – création de certificat

Révocation d´un certificat par
◦
◦
◦
◦
Abonné (email ou téléphone)
Représentant de l´entreprise
AC
AEC ou AEL

Numéro de certificat inscrit dans la LCR

Notification à l´abonné, RE et AEL
Banque – révocation de certificat

Renouvellement obligatoire tous les deux
ans
◦ Abonné prévenu avant expiration
◦ Connexion en https pour retirer son nouvau
certificat

Un certificat non renouvellé = nouvelle
inscription au service
Banque – renouvellement de
certificat

Responsabilités juridiques liées à
l´utilisation du service

Concerne tous les acteurs de la PKI
Ex:

◦ Désignation du responsable de l´entreprise
◦ Clauses de révocation obligatoire
Banque – politique de certification
Architecture
technique
AC test: certificats de portée
très limitée
•
AC Admin: certificats des
administrateurs pour accéder
au système
•
AC clients: délivre les
certificats des adonnés.
•
AC Racine: AC principale
autosignée
•
PKI de la CPS
Carte de Professionnel de la Santé

Qui est derrière la PKI de la CPS ?
◦ Le GIP CPS composé de 5 membres





L’Etat
Les régimes d’assurance maladie obligatoire
Les régimes complémentaires
Les ordres professionnels
Les organismes utilisateurs

Quand ?

Pourquoi ?
◦ Le 3 février 1993
◦ Répondre aux besoins de confidentialité, d’authentification, de
sécurité
 Algorithme asymétrique pour chiffrer / signer
 Accès sécuriser aux dossiers des patients
 Echanges chiffrés ou signés entre les professionnels (envoie des
Feuilles de Soins)
PKI de la CPS

Organisation de l’IGC CPS
◦ Le GIP CPS a le rôle de :
 AE – Autorité d’Enregistrement
GIP
 AC – Autorité de Certification
AE
 Annuaire de publication
◦ Certificats valides
◦ Certificats révoqués
PKI de la CPS
AC
Annuaire de
publication

Schéma d’obtention d’une CPS
PKI de la CPS

Explication de la création de la CPS
◦ Un boitier cryptographique qui génère les clés
◦ Les clés privées sont mises dans la CPS
Clé de signature
2048 bits
Clé d’authentification
1024 bits
◦ Le GIP envoie la carte et le code par courriers
séparés
PIN
PKI de la CPS

Fin de vie d’un certificat
◦
◦
◦
◦
Perte de la carte
Perte du code PIN
Date de validité expirée
Changement de l’état de l’art cryptographique
PKI de la CPS

Schéma de révocation d’un certificat
PKI de la CPS
Conclusion
PKI TéléTVA – PKI CPS

2 cas concrets de déploiement de PKI
◦ PKI de la TéléTVA
◦ PKI de la CPS

Future
◦ Carte Vitale 2
◦ IAS – Identification, Authentification, Signature
 Objectif : une carte pour plusieurs applications
Conclusion