Rappels PKI
Transcription
Rappels PKI
PUBLIC KEY INFRASTRUCTURE Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé Rappels PKI Fonctionnement général Pourquoi ? ◦ ◦ ◦ ◦ Authentification Intégrité Confidentialité Preuve (non-répudiation) Comment ? ◦ Certificats ◦ Bi-clés ◦ Autorités d’Enregistrement et de Certification Rappels PKI Certificat X.509v3 Rappels PKI Schéma obtention Rappels PKI Certificats x.509v2 ◦ CRL – Certificate Revocation List Rappels PKI Schéma de révocation Rappels PKI PKI des Impôts TéléTVA – schéma général Politique de modernisation du MINEFI Souplesse et sécurité des demandes Dématérialisation des démarches « Télé-procédures » Projet modèle TéléTVA Principe • Obtention du certificat • Inscription au service • Connexion au service Authentification et chiffrement grâce au certificat • Certificats primaires et secondaires • Inscription uniquement en ligne Présentation et vérification du certificat Génération du formulaire d’inscription Envoi postale du formulaire TéléTVA – Inscription Saisie de la déclaration via formulaire en ligne Saisie contrôlée Sauvegarde possible Choix du compte à débiter Signature du formulaire à la validation Horodatage par le serveur Envoi d’accusé de réception TéléTVA – Utilisation Consultation des déclarations effectuées Communication des informations fiscales TéléTVA – Utilisation Délégation du service Ajout et suppression par le certificat principal TéléTVA – Certificats secondaires Certificat délivré uniquement par une AC Certificat révoqué n’est plus utilisable Peut être révoqué par détenteur secondaire, représentant de l’entreprise ou par AC Certificat secondaire révoqué = 1 compte révoqué Certificat principal révoqué = plusieurs comptes révoqués TéléTVA – Vie d’un certificat PKI des Impôts Mise en place d’une PKI par une banque Abonné Autorité de Certification (AC) Autorité d’enregistrement centralisé (AEC) Autorité d’enregistrement locale (AEL) Représentant de l’entreprise (RE) Banque – acteurs Signature du contrat entre RE et AC Responsabilités judiciaires Nomination des RE Banque – mise en service Abonné remplit le dossier de demande Dossier validé par un RE AEL procède a une seconde vérification Dossier transmis a l AEC AEC fait une saisie informatique Notification électronique ◦ RE ◦ AEL ◦ Abonne (code secret pour retrait) Banque – création de certificat Retrait en ligne du certificat ◦ Login + code secret ◦ Bi-clé générée par navigateur client ◦ Clé publique transmise au serveur (PKCS#10, SSLv3) ◦ AC génère le certificat correspondant a la clé publique ◦ Téléchargement du certificat ◦ Import dans le navigateur Support matériel possible Banque – création de certificat Banque – création de certificat Révocation d´un certificat par ◦ ◦ ◦ ◦ Abonné (email ou téléphone) Représentant de l´entreprise AC AEC ou AEL Numéro de certificat inscrit dans la LCR Notification à l´abonné, RE et AEL Banque – révocation de certificat Renouvellement obligatoire tous les deux ans ◦ Abonné prévenu avant expiration ◦ Connexion en https pour retirer son nouvau certificat Un certificat non renouvellé = nouvelle inscription au service Banque – renouvellement de certificat Responsabilités juridiques liées à l´utilisation du service Concerne tous les acteurs de la PKI Ex: ◦ Désignation du responsable de l´entreprise ◦ Clauses de révocation obligatoire Banque – politique de certification Architecture technique AC test: certificats de portée très limitée • AC Admin: certificats des administrateurs pour accéder au système • AC clients: délivre les certificats des adonnés. • AC Racine: AC principale autosignée • PKI de la CPS Carte de Professionnel de la Santé Qui est derrière la PKI de la CPS ? ◦ Le GIP CPS composé de 5 membres L’Etat Les régimes d’assurance maladie obligatoire Les régimes complémentaires Les ordres professionnels Les organismes utilisateurs Quand ? Pourquoi ? ◦ Le 3 février 1993 ◦ Répondre aux besoins de confidentialité, d’authentification, de sécurité Algorithme asymétrique pour chiffrer / signer Accès sécuriser aux dossiers des patients Echanges chiffrés ou signés entre les professionnels (envoie des Feuilles de Soins) PKI de la CPS Organisation de l’IGC CPS ◦ Le GIP CPS a le rôle de : AE – Autorité d’Enregistrement GIP AC – Autorité de Certification AE Annuaire de publication ◦ Certificats valides ◦ Certificats révoqués PKI de la CPS AC Annuaire de publication Schéma d’obtention d’une CPS PKI de la CPS Explication de la création de la CPS ◦ Un boitier cryptographique qui génère les clés ◦ Les clés privées sont mises dans la CPS Clé de signature 2048 bits Clé d’authentification 1024 bits ◦ Le GIP envoie la carte et le code par courriers séparés PIN PKI de la CPS Fin de vie d’un certificat ◦ ◦ ◦ ◦ Perte de la carte Perte du code PIN Date de validité expirée Changement de l’état de l’art cryptographique PKI de la CPS Schéma de révocation d’un certificat PKI de la CPS Conclusion PKI TéléTVA – PKI CPS 2 cas concrets de déploiement de PKI ◦ PKI de la TéléTVA ◦ PKI de la CPS Future ◦ Carte Vitale 2 ◦ IAS – Identification, Authentification, Signature Objectif : une carte pour plusieurs applications Conclusion