PUBLIC KEY INFRASTRUCTURE
Rappels PKIPKI des ImpôtsPKI de la Carte de Professionnel de Santé
Rappels PKIFonctionnement général
Rappels PKI
Pourquoi ?◦Authentification◦Intégrité◦Confidentialité◦Preuve (non-répudiation)
Comment ?◦Certificats◦Bi-clés◦Autorités d’Enregistrement et de Certification
Rappels PKI
Certificat X.509v3
Rappels PKI
Schéma obtention
Rappels PKI
Certificats x.509v2◦CRL – Certificate Revocation List
Rappels PKI
Schéma de révocation
PKI des ImpôtsTéléTVA – schéma général
TéléTVA
Politique de modernisation du MINEFI
Souplesse et sécurité des demandes
Dématérialisation des démarches
« Télé-procédures »
Projet modèle
Principe• Obtention du certificat
• Inscription au service
• Connexion au service
• Authentification et chiffrement grâce au certificat
• Certificats primaires et secondaires
TéléTVA – Inscription
Inscription uniquement en ligne
Présentation et vérification du certificat
Génération du formulaire d’inscription
Envoi postale du formulaire
TéléTVA – Utilisation
Saisie de la déclaration via formulaire en ligne
Saisie contrôléeSauvegarde possibleChoix du compte à débiterSignature du formulaire à la validationHorodatage par le serveurEnvoi d’accusé de réception
TéléTVA – Utilisation
Consultation des déclarations effectuées
Communication des informations fiscales
TéléTVA – Certificats secondaires
Délégation du service
Ajout et suppression par le certificat principal
TéléTVA – Vie d’un certificat
Certificat délivré uniquement par une ACCertificat révoqué n’est plus utilisablePeut être révoqué par détenteur
secondaire, représentant de l’entreprise ou par AC
Certificat secondaire révoqué = 1 compte révoqué
Certificat principal révoqué = plusieurs comptes révoqués
PKI des ImpôtsMise en place d’une PKI par une banque
Banque – acteurs
Abonné
Autorité de Certification (AC)
Autorité d’enregistrement centralisé (AEC)
Autorité d’enregistrement locale (AEL)
Représentant de l’entreprise (RE)
Banque – mise en service
Signature du contrat entre RE et AC
Responsabilités judiciaires
Nomination des RE
Banque – création de certificat
Abonné remplit le dossier de demandeDossier validé par un REAEL procède a une seconde vérificationDossier transmis a l AECAEC fait une saisie informatiqueNotification électronique
◦RE◦AEL◦Abonne (code secret pour retrait)
Banque – création de certificat
Retrait en ligne du certificat◦Login + code secret◦Bi-clé générée par navigateur client◦Clé publique transmise au serveur (PKCS#10,
SSLv3)◦AC génère le certificat correspondant a la clé
publique◦Téléchargement du certificat◦Import dans le navigateur
Support matériel possible
Banque – création de certificat
Banque – révocation de certificat
Révocation d´un certificat par◦Abonné (email ou téléphone)◦Représentant de l´entreprise◦AC◦AEC ou AEL
Numéro de certificat inscrit dans la LCR
Notification à l´abonné, RE et AEL
Banque – renouvellement de certificat
Renouvellement obligatoire tous les deux ans◦Abonné prévenu avant expiration◦Connexion en https pour retirer son nouvau
certificat
Un certificat non renouvellé = nouvelle inscription au service
Banque – politique de certification
Responsabilités juridiques liées à l´utilisation du service
Concerne tous les acteurs de la PKIEx:
◦Désignation du responsable de l´entreprise◦Clauses de révocation obligatoire
Architecture technique• AC test: certificats de portée très limitée
• AC Admin: certificats des administrateurs pour accéder au système
• AC clients: délivre les certificats des adonnés.
• AC Racine: AC principale autosignée
PKI de la CPSCarte de Professionnel de la Santé
PKI de la CPS
Qui est derrière la PKI de la CPS ?◦ Le GIP CPS composé de 5 membres
L’Etat Les régimes d’assurance maladie obligatoire Les régimes complémentaires Les ordres professionnels Les organismes utilisateurs
Quand ?◦ Le 3 février 1993
Pourquoi ?◦ Répondre aux besoins de confidentialité, d’authentification, de
sécurité Algorithme asymétrique pour chiffrer / signer Accès sécuriser aux dossiers des patients Echanges chiffrés ou signés entre les professionnels (envoie des
Feuilles de Soins)
PKI de la CPS
Organisation de l’IGC CPS◦Le GIP CPS a le rôle de :
AE – Autorité d’Enregistrement
AC – Autorité de Certification
Annuaire de publication◦ Certificats valides◦ Certificats révoqués
AE AC
GIP
Annuaire depublication
PKI de la CPS
Schéma d’obtention d’une CPS
PKI de la CPS
Explication de la création de la CPS ◦Un boitier cryptographique qui génère les clés◦Les clés privées sont mises dans la CPS
◦Le GIP envoie la carte et le code par courriers séparés
Clé de signature 2048 bits
Clé d’authentification1024 bits
PIN
PKI de la CPS
Fin de vie d’un certificat◦Perte de la carte◦Perte du code PIN◦Date de validité expirée◦Changement de l’état de l’art cryptographique
PKI de la CPS
Schéma de révocation d’un certificat
ConclusionPKI TéléTVA – PKI CPS
Conclusion
2 cas concrets de déploiement de PKI◦PKI de la TéléTVA◦PKI de la CPS
Future◦Carte Vitale 2◦IAS – Identification, Authentification, Signature
Objectif : une carte pour plusieurs applications
QUESTIONS ?
MERCI