ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Transcription

1 ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe - BKAM, tous droits réservés Page 1 sur 45

2 Table des matières 1 INTRODUCTION Présentation générale Définitions et acronymes Identification du document Entités interagissant avec la PKI Externe Autorités de certification Opérateur d enregistrement des utilisateurs externes Responsable d Enregistrement des utilisateurs externes Entité Externe Porteur de certificat (encore dénommé entité finale) Autres entités Usage des certificats Domaines d'utilisation applicables Bi-clés et certificats des porteurs Bi-clés et certificats des serveurs et dispositifs Bi-clés et certificats de l AC et des composantes de la PKI Gestion de la PC Entité gérant la PC Point de contact Entité déterminant la conformité de la DPC à la présente PC RESPONSABILITES CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS PUBLIEES Entités chargées de la mise à disposition des informations Informations publiées Délais et fréquence de publication Contrôle d accès aux informations publiées IDENTIFICATION ET AUTHENTIFICATION Nommage Types de noms Unicité des noms...15 BKAM, tous droits réservés Page 2 sur 45

3 3.2 Validation initiale de l'identité d un porteur Génération de la clé privée Vérification de l identité d un acteur de la PKI Opérateur d Enregistrement Responsable d Enregistrement Porteur de certificat Informations non vérifiées du porteur Validation de l'autorité du demandeur Critères d'interopérabilité Identification et validation d'une demande de renouvellement des clés Identification et validation d une demande de révocation EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS Demande de certificat Origine d'une demande de certificat Processus et responsabilités pour l'établissement d'une demande de certificat Traitement d'une demande de certificat Processus de vérification et de validation d une demande de certificat Acceptation ou rejet de la demande Durée d'établissement du certificat Délivrance du certificat Actions de l'ac concernant la délivrance d un certificat Notification par l'ac de la délivrance du certificat au porteur Acceptation du certificat Démarche d'acceptation du certificat Publication du certificat Notification par l'ac aux autres entités de la PKI de la délivrance du certificat Usages de la bi-clé et du certificat Utilisation de la clé privée et du certificat par le porteur Utilisation de la clé publique et du certificat Renouvellement d'un certificat Délivrance d'un nouveau certificat suite à un changement de la bi-clé Identification et validation pour un renouvellement courant Identification et validation pour un renouvellement après révocation Modification du certificat Révocation et suspension des certificats Causes possibles d une révocation...21 BKAM, tous droits réservés Page 3 sur 45

4 Certificats de porteurs Certificats d'une composante de la PKI Origine d une demande de révocation Certificats de porteurs Certificats d'une composante de la PKI Procédure de traitement d'une demande de révocation Révocation d'un certificat de porteur Révocation d'un certificat d'une composante de la PKI Délai accordé au porteur pour formuler une demande de révocation Délai de traitement par l'ac d une demande de révocation Révocation d'un certificat de porteur Révocation d'un certificat d'une composante de la PKI Exigences de vérification de la révocation par les utilisateurs de certificats Fréquence d'établissement des LCR Délai maximum de publication d'une LCR Disponibilité d'un système de vérification en ligne de la révocation et de l'état des certificats Exigences techniques de vérification en ligne de la révocation des certificats par les utilisateurs de certificats Autres moyens disponibles d'information sur les révocations Exigences spécifiques en cas de compromission de la clé privée Causes possibles d une suspension Origine d une demande de suspension Procédure de traitement d'une demande de suspension Limites de la période de suspension d'un certificat Fonction d'information sur l'état des certificats Caractéristiques opérationnelles Disponibilité de la fonction Fin de la relation entre le porteur et l'ac Séquestre de clé et recouvrement Politique et pratiques de recouvrement par séquestre des clés Politique et pratiques de recouvrement par encapsulation des clés de session 25 5 MESURES DE SECURITE NON TECHNIQUES Mesures de sécurité physique Mesures de sécurité procédurales Mesures de sécurité vis-à-vis du personnel Procédures de constitution des données d'audit Archivage des données Changement de clé d'ac BKAM, tous droits réservés Page 4 sur 45

5 5.7 Reprise suite à compromission ou sinistre Fin de vie de la PKI Transfert d activité ou cessation d activité affectant une composante de la PKI autre que l AC Cas de cessation d activité affectant l AC MESURES DE SECURITE TECHNIQUES Génération et installation de bi clés Génération des bi-clés Clés d'ac Clés de porteurs générées par l'ac Clés porteurs générées par le porteur Transmission de la clé privée à son propriétaire Transmission de la clé publique à l AC Transmission de la clé publique de l AC aux utilisateurs de certificats Tailles des clés Vérification de la génération des paramètres des bi-clés et de leur qualité Objectifs d'usage de la clé Mesures de sécurité pour la protection des clés privées et pour les modules cryptographiques Standards et mesures de sécurité pour la protection des modules cryptographiques Modules cryptographiques de l'ac Dispositifs de création de signature des porteurs Contrôle de la clé privée par plusieurs personnes Séquestre de la clé privée Copie de secours de la clé privée Archivage de la clé privée Transfert de la clé privée vers / depuis le module cryptographique Stockage de la clé privée dans un module cryptographique Méthode d'activation de la clé privée Clés privées de l'ac Clés privées des porteurs Méthode de désactivation de la clé privée Clés privées de l'ac Clés privées des porteurs Méthode de destruction des clés privées Clés privées de l'ac Clés privées des porteurs Autres aspects de la gestion des bi-clés Mesures de sécurité des systèmes informatiques hébergeant la PKI Exigences de sécurité technique spécifiques aux systèmes informatiques Niveau d'évaluation de la sécurité des systèmes informatiques...34 BKAM, tous droits réservés Page 5 sur 45

6 6.5 Mesures de sécurité liées au développement des systèmes Mesures de sécurité réseau Contrôle des modules cryptographiques Horodatage / Système de datation PROFIL DES CERTIFICATS ET DES LCR Certificats d utilisateur de niveau Certificat d Authentification et de Signature d un Utilisateur Externe (niveau 2) Certificats d utilisateur de niveau Certificat d Authentification et Signature d un Utilisateur Externe (niveau 3) Profil de la CRL de l AC Externe Profil OCSP AUDIT DE CONFORMITE ET AUTRES EVALUATIONS Fréquences et / ou circonstances des évaluations Identités des auditeurs Relations entre auditeurs et entités évaluées Sujets couverts par les évaluations Actions prises suite aux conclusions des évaluations AUTRES PROBLEMATIQUES METIERS ET LEGALES Tarifs Responsabilité financière Confidentialité des données professionnelles Périmètre des informations confidentielles Informations hors périmètre des informations confidentielles Responsabilité en termes de protection des informations confidentielles Protection des données personnelles Droits sur la propriété intellectuelle et industrielle Interprétations contractuelles et garanties BKAM, tous droits réservés Page 6 sur 45

7 9.6.1 Autorités de Certification Service d enregistrement Porteurs de certificats Utilisateurs de certificats Autres participants Limites de garantie Limite de responsabilités Indemnités Durée et fin anticipée de validité de la PC Durée de validité...45 BKAM, tous droits réservés Page 7 sur 45

8 1 INTRODUCTION 1.1 Présentation générale Bank Al-Maghrib (BKAM) a mis en place une infrastructure PKI (Public Key Infrastructure) permettant de gérer et de délivrer des certificats électroniques à ses agents et ses partenaires, leur offrant ainsi un ensemble de services de sécurité, appelé services de confiance. Il s agit de : l authentification forte au système d information et aux applications de BKAM ; la signature électronique des documents électroniques et des flux de données ; le chiffrement des données électroniques et des flux de données. L objectif de la Politique de Certification (PC), objet du présent document, est de définir les règles et procédures que doit respecter BKAM en tant qu Autorité de Certification Externe dans la gestion, tout au long de leur cycle de vie, des certificats électroniques délivrés à ces partenaires et tiers externes. BKAM agit également en tant qu Autorité de Certification Interne, qui délivre des certificats à ses agents, applications et serveurs de BKAM. La Déclaration des Pratiques de Certification (DPC) de l'ac décrit l'organisation opérationnelle de la PKI et la répartition des rôles (notamment les rôles techniques) conformément à l organisation fonctionnelle adoptée et les dispositions de la présente PC. La DPC a donc pour objet de décrire de manière détaillée les pratiques d émission et de gestion de certificats adoptées par l AC. Afin de faciliter l'utilisation et l adoption de cette PC, sa structure est conforme au standard international [RFC3647]. BKAM, tous droits réservés Page 8 sur 45

9 1.2 Définitions et acronymes Les acronymes utilisés dans la présente PC sont les suivants : AC AE AH BKAM CEN DAPR DeltaCRL DN DOSI DPC DRRE DSA ETSI PKI LAR LCR MC OC OCSP OID PC PP PSCE RSA SP URL Autorité de Certification Autorité d'enregistrement Autorité d Horodatage BANK AL-MAGHRIB Comité Européen de Normalisation Direction de l Audit et de la Prévention des Risque Mécanisme par lequel la Liste de Certificats Révoqués se met à jour via des incrémentations (différence entre la précédente LCR) Distinguished Name Direction de l Organisation et des Systèmes d Information Déclaration des Pratiques de Certification Direction du Réseau et des Relations avec les Entreprises (Entité chargée de la gestion des certificats PKI Externe) Digital Signature Algorithm European Telecommunications Standards Institute Public Key Infrastructure ou Infrastructure de Gestion de Clés publiques Liste des certificats d'ac Révoqués Liste des Certificats Révoqués Mandataire de Certification Opérateur de Certification Online Certificate Status Protocol Object Identifier Politique de Certification Profil de Protection Prestataire de Services de Certification Electronique Rivest Shamir Adelman Service de Publication Uniform Resource Locator BKAM, tous droits réservés Page 9 sur 45

10 1.3 Identification du document La présente PC peut être identifiée par son numéro d identifiant d objet unique (OID) ou par d autres éléments, plus explicites, à savoir le nom, le numéro de version et la date de mise à jour de ce document. Le numéro d OID de cette PC est indiqué à des fins de gestion documentaire et n est pas utilisé dans les certificats. Le numéro d OID du présent document est : Par ailleurs, la présente politique de certification est liée à la déclaration de pratiques de certification (DPC) identifiée par l OID suivant : Entités interagissant avec la PKI Externe Autorités de certification La PKI mise en place par BKAM permet l émission de plusieurs types de certificats électroniques définis selon divers critères. Il s agit : d(es) usage(s) souhaité(s) pour ces certificats (signature, authentification, chiffrement, etc.) ; de leur niveau de sécurité (niveau 2 ou niveau 3). BKAM a choisi un modèle de confiance hiérarchique composé d une AC «racine» et des AC «filles». La hiérarchie des autorités en charge de certification est structurée de la manière suivante: une Autorité de Certification racine en charge de certifier les Autorités filles opérationnelles de BKAM. Le certificat de l AC «racine» est auto signé et ne dépend pas d autres Autorités de Certification ; une Autorité de Certification «fille» Externe délivrant des certificats pour des utilisateurs externes et des applications de BKAM, à usage externe. une Autorité de Certification «fille» Interne, qui dispose de sa propre PC, délivrant des certificats pour les utilisateurs internes et des applications de BKAM, à usage interne. Le schéma ci-dessous reprend le modèle de confiance de BKAM ainsi que les différents types de certificats délivrés par l AC Externe. BKAM, tous droits réservés Page 10 sur 45

11 1.4.2 Opérateur d enregistrement des utilisateurs externes Il est responsable de la gestion des demandes de certification des utilisateurs des partenaires de BKAM et de la génération des certificats. Il est aussi, habilité pour changer l état des certificats : révoquer, suspendre ou réactiver. Ce rôle est assuré par le service Relations avec la Clientèle au niveau de la Direction du Réseau et des Relations avec les Entreprises (DRRE) Responsable d Enregistrement des utilisateurs externes C est la personne responsable au niveau de l entité qui donne l autorisation finale pour le déclenchement d une procédure donnée (attribution d un certificat, renouvellement, etc.). Ce rôle est assuré par le service Relations avec la Clientèle au niveau de la DRRE Entité Externe Partenaire de BKAM qui a besoin d utiliser une des applications de cette dernière ou d échanger avec elle d une manière sécurisée en utilisant un certificat électronique Porteur de certificat (encore dénommé entité finale) La personne physique, rattachée à une entité externe, identifiée dans le certificat et détentrice de la clé privée associée à la clé publique contenue dans le certificat Autres entités D autres entités interagissent avec la PKI ; il s agit notamment de : l Opérateur d enregistrement des cartes à puces, en charge de la gestion BKAM, tous droits réservés Page 11 sur 45

12 du cycle de vie des cartes à puces et certificats des utilisateurs externes. Ce rôle est assuré par le service Relations avec la Clientèle au niveau de la DRRE ; la Hotline PKI : l utilisateur y accède pour toute aide ou assistance. Elle intervient en cas de perte ou de vol de la carte à puce hors les heures de travail. Elle est assurée par le Département de la Sécurité. 1.5 Usage des certificats Domaines d'utilisation applicables Bi-clés et certificats des porteurs L Autorité de Certification Externe de BKAM délivre à la fois des certificats de niveau 2, qui sont des certificats support logiciel, et des certificats de niveau 3 qui sont des certificats sur support carte à puce. Au niveau 2, les certificats suivants sont délivrés : Certificats, d Authentification et de Signature, qui permettent à l utilisateur : o de s authentifier afin d accéder aux logiciels, applications web ou systèmes d information en général; o de signer des documents ou autres données électroniques afin de garantir leur intégrité. Au niveau 3, un porteur dispose des certificats suivants sur sa carte à puce : Certificats d Authentification et de Signature, qui lui permettent : o de s authentifier afin d accéder aux logiciels, applications web ou systèmes d information en général; o de signer des documents ou autres données électroniques afin de garantir leur intégrité et l authenticité de l émetteur Bi-clés et certificats des serveurs et dispositifs Outre les certificats destinés aux porteurs, l Autorité de Certification Externe délivre également des certificats à destination des serveurs ou dispositifs informatiques des partenaires de BKAM. Les certificats à destination des serveurs et dispositifs sont des certificats de niveau 2 et sont régis par les mêmes procédures de certification à destination des porteurs de certificats de niveau Bi-clés et certificats de l AC et des composantes de la PKI Les certificats des différentes composantes de l infrastructure PKI de BKAM sont délivrés par l Autorité de Certification Racine. BKAM, tous droits réservés Page 12 sur 45

13 Les certificats des Autorités de Certification de BKAM sont exclusivement délivrés par l Autorité de Certification Racine. La clé privée de l Autorité de Certification Externe n est utilisée que dans les cas suivants : signature des certificats des porteurs émis par l Autorité de Certification Externe; signature de la Liste des Certificats Révoqués (LCR) émise par l Autorité de Certification Externe. 1.6 Gestion de la PC Entité gérant la PC La présente PC est soumise à l approbation du Comité PKI de BKAM afin de : valider les usages et restrictions d'usage des certificats émis par l AC ; vérifier sa conformité aux évolutions technologiques et aux exigences fonctionnelles ou réglementaires. La périodicité minimale de révision de cette PC est de deux (2) ans. Un tableau indiquant les différentes versions de la PC, les dates de révisions et les principales modifications apportées par rapport à sa version antérieure est présenté en page 2 du présent document Point de contact Rôle Entité Coordonnées Entité responsable Bank Al-Maghrib représentée par la Direction de l Audit et de la Prévention des Risques Bank Al-Maghrib 277, Avenue Mohammed V Boîte postale 445 Rabat Entité déterminant la conformité de la DPC à la présente PC La Banque vérifie la conformité de la DPC à la présente PC directement, ou par l intermédiaire d experts indépendants spécialisés dans le domaine des infrastructures de gestion de clés. BKAM, tous droits réservés Page 13 sur 45

14 2 RESPONSABILITES CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS PUBLIEES 2.1 Entités chargées de la mise à disposition des informations Voir paragraphe Informations publiées Information publiée PC LAR Emplacement de publication ldap://ldap.bkam.ma/cn=bkam-ac-racine, cn=certification Authorities, dc=bkam, dc=ma? authorityrevocationlist?base? objectclass=certificationauthority LCR Certificat de l AC Fille Certificat de l AC Racine 1. 0http://pki.bkam.ma/crls/ac_externe.crl 2. ldap://ldap.bkam.ma/cn=bkam-ac-externe, cn=certification Authorities, dc=bkam, dc=ma? certificaterevocationlist? base? objectclass=certificationauthority Délais et fréquence de publication Les informations documentaires publiées sont mises à jour après chaque modification dans un délai de 48 heures. La fréquence de mise à jour des LCR est au maximum de vingt-quatre (24) heures. La fréquence de mise à jour des LAR est au maximum d un (1) mois. 2.4 Contrôle d accès aux informations publiées Les informations publiées sont destinées aux porteurs et utilisateurs de certificats, et sont en accès libre et gratuit. Ces informations ne peuvent être modifiées que par un personnel de BKAM habilité. L attribution et la gestion de ces habilitations sont décrites dans la DPC. BKAM, tous droits réservés Page 14 sur 45

15 3 IDENTIFICATION ET AUTHENTIFICATION 3.1 Nommage Types de noms Les noms utilisés dans les certificats sont conformes aux spécifications de la norme X.500. Dans chaque certificat X509 V3 de l'iut-t, l'ac émettrice (issuer) et le porteur (subject) sont identifiés par un "Distinguished Name" DN de type X.501 dont le format est le suivant : dc = ma, dc = bkam o cn = Certification Authorities CN = BKAM-AC-RACINE CN = BKAM-AC-EXTERNE o cn = Composants PKI CN = BKAM-AE-EXTERNE CN = BKAM-AV CN = BKAM-AH o CN = < Matricule> o CN = <Nom DNS du PC, serveur, équipement de réseau, dispositif mobil, ou Domain Controller> Etant donné que les caractères utilisés dans les certificats sont de type ASCII, tous les noms et prénoms seront écrits en lettres majuscules sans tildes et accents Unicité des noms Afin d'assurer une identification unique et permanente du porteur, au sein du domaine de l'ac, dans tous ses certificats (première certification, renouvellement, etc.), le DN du champ "subject" utilisé dans chaque certificat permet d'identifier de façon unique le porteur correspondant, au sein du domaine de l'ac. Durant toute la durée de vie de l'ac, un DN est attribué à un seul porteur de certificat. Il est à rappeler que l unicité d un certificat est basée sur l unicité de son numéro de série à l intérieur du domaine de l AC. Toutefois, ce numéro est propre au certificat et non au porteur et ne permet, par conséquent, pas d'assurer une identification unique et permanente dans tous les certificats d'un porteur donné. 3.2 Validation initiale de l'identité d un porteur Les dossiers de demande de certificats pour les porteurs sont adressés à l Autorité d Enregistrement représentée par la DRRE en tant qu opérateur d enregistrement des utilisateurs externes. Les informations, relatives aux moyens de la validation initiale de l identité d un porteur, décrites ci-dessous sont valables pour tous les cas d utilisation. Cependant, BKAM, tous droits réservés Page 15 sur 45

16 pour des besoins métier spécifiques, les processus complets de la gestion administrative et organisationnelle des certificats sont décrits et disponibles auprès des correspondants des services (opérateurs et responsables d enregistrement des utilisateurs externes) de BKAM Génération de la clé privée Cas des certificats logiciels Sur opération initialisée par le porteur, la bi-clé est générée par un dispositif technique opéré par l Autorité d Enregistrement. La bi-clé et le certificat associé sont générés et installés directement sur le poste du porteur. Cas des certificats délivrés sur support matériel Sur opération initialisée par le porteur, la bi-clé et le certificat associé sont générés par un dispositif technique opéré par l Autorité d Enregistrement, sur support matériel connecté au poste de l Opérateur d enregistrement des utilisateurs externes Vérification de l identité d un acteur de la PKI Opérateur d Enregistrement Les Opérateurs d Enregistrement doivent être connus de l Autorité d Enregistrement afin que celle-ci puisse vérifier leur habilitation à faire des demandes liées à la gestion des certificats Responsable d Enregistrement Les Responsables d Enregistrement doivent être connus de l Autorité d Enregistrement afin que celle-ci puisse vérifier leur habilitation à valider des demandes Porteur de certificat La demande d enregistrement est faite par l Opérateur d Enregistrement et validée par le Responsable d Enregistrement. Dans le cas de certificat sur support matériel, l'authentification du porteur par l AE est réalisée lors d'un face-à-face physique ou par une méthode apportant un degré d'assurance équivalent, lors de la remise de la carte à puce. Dans le cas d un certificat de type logiciel, la vérification de l identité du porteur se base sur les informations déclarées au niveau de la demande formulée par le mandataire habilité Informations non vérifiées du porteur Aucune exigence n est formulée dans la présente PC. BKAM, tous droits réservés Page 16 sur 45

17 3.2.4 Validation de l'autorité du demandeur La validation de l autorité du demandeur est effectuée via l application d Autorité d enregistrement de la PKI qui dispose de la liste des Opérateurs d Enregistrement et de Responsables d Enregistrement. Ces derniers s authentifient sur cette application via leur certificat afin de pouvoir émettre la demande Critères d'interopérabilité Les demandes d accords et les accords de reconnaissance avec des AC extérieures au domaine de sécurité de la PKI sont validés par le Comité PKI de BKAM. 3.3 Identification et validation d'une demande de renouvellement des clés Le renouvellement de la bi-clé d'un porteur entraîne automatiquement la génération et la fourniture d'un nouveau certificat. Inversement, un nouveau certificat ne peut pas être fourni au porteur sans renouvellement de la bi-clé correspondante. L autorité d enregistrement (AE) notifie le porteur du certificat 90 jours avant son expiration. 3.4 Identification et validation d une demande de révocation Les certificats des porteurs peuvent être révoqués. Le tableau suivant présente le processus d identification des demandeurs de révocation de certificats: Moyen Demandeur autorisé Authentification du demandeur Opérateur de révocation Application PKI Opérateur d enregistrement des utilisateurs externes Certificat électronique AE Application PKI Responsable d enregistrement des utilisateurs externes Certificat électronique AE BKAM, tous droits réservés Page 17 sur 45

18 4 EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS 4.1 Demande de certificat Origine d'une demande de certificat Un certificat ne peut être demandé que par le partenaire à l Opérateur d Enregistrement des utilisateurs externes. Les entités des futurs porteurs de certificat adressent leurs requêtes de certificat à l opérateur d enregistrement des utilisateurs externes via le formulaire établi et signé par le responsable engageant l etablissement à cet effet disponible chez l opérateur d enregistrement des utilisateurs externes Processus et responsabilités pour l'établissement d'une demande de certificat Les informations à fournir sont celles contenues dans le dossier de demande établi par le futur porteur de certificat ou par son mandataire habilité. Les informations suivantes font partie de la demande de certificat : le nom du porteur à utiliser dans le certificat et son adresse ; les données personnelles d identification du porteur ; les données d identification de l entité du porteur la signature authentifiée du requérant par le service Relations avec la Clientèle au niveau de la DRRE La demande de certificat est établie par l Opérateur d Enregistrement via l application PKI. 4.2 Traitement d'une demande de certificat Processus de vérification et de validation d une demande de certificat Afin de vérifier et de valider une demande de certificat, l Opérateur d Enregistrement effectue les opérations suivantes : vérifier l identité du futur porteur ; vérifier la cohérence des justificatifs éventuellement présentés ; s assurer que le futur porteur a pris connaissance des modalités applicables à l utilisation du certificat Acceptation ou rejet de la demande En cas de rejet de la demande, l'ae informe le porteur en précisant les raisons du rejet. BKAM, tous droits réservés Page 18 sur 45

19 4.2.3 Durée d'établissement du certificat Tout dossier complet est traité immédiatement après la validation de la demande par le responsable d enregistrement. 4.3 Délivrance du certificat Les certificats de signature émis par l Autorité de Certification Externe de BKAM et les clés privées associées peuvent : être de type logiciel. Dans ce cas, la remise du certificat se fait par l envoi d un . ou être stockés dans un support matériel sécurisé (carte à puce). Dans ce cas, un est envoyé au porteur l informant de la disponibilité de la carte à puce. Le retrait est effectué auprès de l Opérateur d enregistrement des cartes à puce au niveau de la DRRE Actions de l'ac concernant la délivrance d un certificat A chaque demande de certificat, l AC effectue les opérations suivantes : authentification du demandeur (Autorité d Enregistrement) ; vérification de l intégrité de la demande ; vérification technique de la demande ; création du certificat du futur porteur ; signature du certificat à l aide de la clé privée de l AC ; envoi du certificat à l Autorité d Enregistrement. L ensemble de ces opérations est détaillé dans la DPC. Les conditions de génération des clés et des certificats ainsi que les mesures de sécurité à respecter sont précisées dans les chapitres 5 et 6, notamment la séparation des rôles de confiance Notification par l'ac de la délivrance du certificat au porteur La notification est effectuée via envoi d un au porteur. 4.4 Acceptation du certificat Démarche d'acceptation du certificat A la réception de son certificat, le porteur est tenu d avertir son opérateur d enregistrement de toute inexactitude ou défaut dans les 5 jours ouvrés suivant la réception du certificat. Si nécessaire, le certificat peut être révoqué et remplacé par un autre. Un certificat est considéré comme accepté lorsque la clé privée associée est mise en œuvre. L acceptation d un certificat implique l acceptation de la PC de l Autorité de Certification. BKAM, tous droits réservés Page 19 sur 45

20 4.4.2 Publication du certificat Sans objet Notification par l'ac aux autres entités de la PKI de la délivrance du certificat L'AC informe l'ae, via l application web d enregistrement, de la délivrance du certificat. 4.5 Usages de la bi-clé et du certificat Utilisation de la clé privée et du certificat par le porteur L utilisation de la clé privée associée au certificat émis est décrite au chapitre 1.5. Les porteurs s engagent à respecter strictement ces usages autorisés. Dans le cas contraire, leur responsabilité pourrait être engagée. L usage autorisé de la clé privée et du certificat associé est également indiqué dans le certificat, au niveau du champ d extensions concernant les usages des clés. Les certificats et les bi-clés correspondants ont la même durée de vie Utilisation de la clé publique et du certificat Les certificats ne doivent être utilisés que dans les domaines d utilisation spécifiés au chapitre 1.5. Les utilisateurs de ces certificats s engagent à respecter strictement ces domaines d utilisation. Dans le cas contraire, leur responsabilité pourrait être engagée. L usage autorisé du certificat est indiqué dans le certificat au niveau d extensions concernant les usages des clés. 4.6 Renouvellement d'un certificat du chanp Dans la présente PC, le renouvellement d un certificat implique la génération de nouvelles bi-clés et par conséquent la génération du nouveau certificat correspondant. 4.7 Délivrance d'un nouveau certificat suite à un changement de la bi-clé Le renouvellement de la bi-clé d'un porteur entraîne automatiquement la génération et la fourniture d'un nouveau certificat. De plus, un nouveau certificat ne peut pas être fourni au porteur sans renouvellement de la bi-clé correspondante. Ce chapitre concerne aussi bien le cas où la bi-clé est générée par le porteur que le cas où elle est générée par l'ac Identification et validation pour un renouvellement courant Lors du premier renouvellement, la vérification de l identité du porteur est optionnelle. Lors du premier renouvellement, l'ac doit au minimum s'assurer que les informations du dossier d'enregistrement initial sont toujours valides. BKAM, tous droits réservés Page 20 sur 45