PUBLIC KEY INFRASTRUCTURE

Rappels PKIPKI des ImpôtsPKI de la Carte de Professionnel de Santé

Rappels PKIFonctionnement général

Rappels PKI

Pourquoi ?◦Authentification◦Intégrité◦Confidentialité◦Preuve (non-répudiation)

Comment ?◦Certificats◦Bi-clés◦Autorités d’Enregistrement et de Certification

Rappels PKI

Certificat X.509v3

Rappels PKI

Schéma obtention

Rappels PKI

Certificats x.509v2◦CRL – Certificate Revocation List

Rappels PKI

Schéma de révocation

PKI des ImpôtsTéléTVA – schéma général

TéléTVA

Politique de modernisation du MINEFI

Souplesse et sécurité des demandes

Dématérialisation des démarches

« Télé-procédures »

Projet modèle

Principe• Obtention du certificat

• Inscription au service

• Connexion au service

• Authentification et chiffrement grâce au certificat

• Certificats primaires et secondaires

TéléTVA – Inscription

Inscription uniquement en ligne

Présentation et vérification du certificat

Génération du formulaire d’inscription

Envoi postale du formulaire

TéléTVA – Utilisation

Saisie de la déclaration via formulaire en ligne

Saisie contrôléeSauvegarde possibleChoix du compte à débiterSignature du formulaire à la validationHorodatage par le serveurEnvoi d’accusé de réception

TéléTVA – Utilisation

Consultation des déclarations effectuées

Communication des informations fiscales

TéléTVA – Certificats secondaires

Délégation du service

Ajout et suppression par le certificat principal

TéléTVA – Vie d’un certificat

Certificat délivré uniquement par une ACCertificat révoqué n’est plus utilisablePeut être révoqué par détenteur

secondaire, représentant de l’entreprise ou par AC

Certificat secondaire révoqué = 1 compte révoqué

Certificat principal révoqué = plusieurs comptes révoqués

PKI des ImpôtsMise en place d’une PKI par une banque

Banque – acteurs

Abonné

Autorité de Certification (AC)

Autorité d’enregistrement centralisé (AEC)

Autorité d’enregistrement locale (AEL)

Représentant de l’entreprise (RE)

Banque – mise en service

Signature du contrat entre RE et AC

Responsabilités judiciaires

Nomination des RE

Banque – création de certificat

Abonné remplit le dossier de demandeDossier validé par un REAEL procède a une seconde vérificationDossier transmis a l AECAEC fait une saisie informatiqueNotification électronique

◦RE◦AEL◦Abonne (code secret pour retrait)

Banque – création de certificat

Retrait en ligne du certificat◦Login + code secret◦Bi-clé générée par navigateur client◦Clé publique transmise au serveur (PKCS#10,

SSLv3)◦AC génère le certificat correspondant a la clé

publique◦Téléchargement du certificat◦Import dans le navigateur

Support matériel possible

Banque – création de certificat

Banque – révocation de certificat

Révocation d´un certificat par◦Abonné (email ou téléphone)◦Représentant de l´entreprise◦AC◦AEC ou AEL

Numéro de certificat inscrit dans la LCR

Notification à l´abonné, RE et AEL

Banque – renouvellement de certificat

Renouvellement obligatoire tous les deux ans◦Abonné prévenu avant expiration◦Connexion en https pour retirer son nouvau

certificat

Un certificat non renouvellé = nouvelle inscription au service

Banque – politique de certification

Responsabilités juridiques liées à l´utilisation du service

Concerne tous les acteurs de la PKIEx:

◦Désignation du responsable de l´entreprise◦Clauses de révocation obligatoire

Architecture technique• AC test: certificats de portée très limitée

• AC Admin: certificats des administrateurs pour accéder au système

• AC clients: délivre les certificats des adonnés.

• AC Racine: AC principale autosignée

PKI de la CPSCarte de Professionnel de la Santé

PKI de la CPS

Qui est derrière la PKI de la CPS ?◦ Le GIP CPS composé de 5 membres

L’Etat Les régimes d’assurance maladie obligatoire Les régimes complémentaires Les ordres professionnels Les organismes utilisateurs

Quand ?◦ Le 3 février 1993

Pourquoi ?◦ Répondre aux besoins de confidentialité, d’authentification, de

sécurité Algorithme asymétrique pour chiffrer / signer Accès sécuriser aux dossiers des patients Echanges chiffrés ou signés entre les professionnels (envoie des

Feuilles de Soins)

PKI de la CPS

Organisation de l’IGC CPS◦Le GIP CPS a le rôle de :

AE – Autorité d’Enregistrement

AC – Autorité de Certification

Annuaire de publication◦ Certificats valides◦ Certificats révoqués

AE AC

GIP

Annuaire depublication

PKI de la CPS

Schéma d’obtention d’une CPS

PKI de la CPS

Explication de la création de la CPS ◦Un boitier cryptographique qui génère les clés◦Les clés privées sont mises dans la CPS

◦Le GIP envoie la carte et le code par courriers séparés

Clé de signature 2048 bits

Clé d’authentification1024 bits

PIN

PKI de la CPS

Fin de vie d’un certificat◦Perte de la carte◦Perte du code PIN◦Date de validité expirée◦Changement de l’état de l’art cryptographique

PKI de la CPS

Schéma de révocation d’un certificat

ConclusionPKI TéléTVA – PKI CPS

Conclusion

2 cas concrets de déploiement de PKI◦PKI de la TéléTVA◦PKI de la CPS

Future◦Carte Vitale 2◦IAS – Identification, Authentification, Signature

Objectif : une carte pour plusieurs applications

QUESTIONS ?

MERCI