Politique de Certification de l Infrastructure de Gestion de Clés du CEA

Transcription

1 Direction Centrale de la Sécurité Réf. : DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Politique de Certification de l Infrastructure de Gestion de Clés du CEA Réf. du fichier : Politique Certification IGC Définitivie A6.doc Page 1 sur 45 Modèle AQ : DCS/DIR/QUA/MOD/4.2/0001_A0

2 Direction Centrale de la Sécurité Réf. : DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Etat de révision du document : Date Indice Etat Rédacteur Observations 06/01/2003 A0 PROJ CV Création du document 14/01/2003 A1 PROJ CV Corrections typographiques et ajout schéma 15/01/2003 A2 PROJ CV Modification de la notion de validité des CRL 14/02/2003 A3 PROJ CV Modification des noms des AC Mise à jour des URL contenues dans les certificats Complément des procédures de séquestre et recouvrement 24/02/2003 A4 PROJ CV Evolutions liées à la rédaction de la DPC 13/03/2003 A5 PROJ CV Corrections typographiques Modification des sujets des certificats utilisateurs 01/04/2003 A6 VALI CV Modifications de la mise en page Réf. du fichier : Politique Certification IGC Définitivie A6.doc Page 2 sur 45 Modèle AQ : DCS/DIR/QUA/MOD/4.2/0001_A0

3 1. INTRODUCTION PRESENTATION GENERALE Contexte Objectifs de la Politique de Certification IDENTIFICATION APPLICATION DE LA POLITIQUE ET GROUPE D'UTILISATEURS CONCERNES Autorités et Groupes d'utilisateurs concernés Types d applications concernés CONTACTS Autorité compétente dans l accréditation des composantes de l IGC Personnes à contacter concernant ce document DISPOSITIONS D ORDRE GENERAL OBLIGATIONS DES ACTEURS Obligations communes à toutes les composantes Abonné Autorité Administrative Autorité d Enregistrement Opérateur d Enregistrement Autorité de Certification Autorité de Séquestre Service de Publication Utilisateur de certificat RESPONSABILITES DES ACTEURS Responsabilités des acteurs de l IGC Limites de responsabilités du CEA RESPONSABILITES FINANCIERES INTERPRETATIONS DE LA LOI BAREMES DE PRIX PUBLICATIONS ET SERVICES ASSOCIES Publication des informations relatives à l IGC Fréquence de publication Contrôles d accès Service de Publication et Portail Web CONTROLE DE CONFORMITE Fréquence du contrôle de conformité Identification et qualifications du contrôleur Sujets couverts par le contrôle de conformité Mesures à prendre en cas de non-conformité Communication des résultats POLITIQUE DE CONFIDENTIALITE Type d informations considérées comme confidentielles Type d informations considérées comme non confidentielles Divulgation des causes de révocation et de suspension des certificats Délivrance aux autorités légales Délivrance à la demande du propriétaire Autres circonstances de délivrance possible DROITS DE PROPRIETE IDENTIFICATION ET AUTHENTIFICATION ENREGISTREMENT INITIAL Conventions de noms Nécessité d utilisation de noms explicites Règles d interprétation des différentes formes de noms Unicité des noms Procédures de résolution des litiges sur la revendication d un nom Reconnaissance, authentification et rôle concernant les noms de marques Authentification de l identité d un organisme Authentification de l identité d un individu...16 Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 3 sur 45

4 3.2. RE-GENERATION DE CERTIFICAT EN FIN DE VALIDITE RE-GENERATION DE CLES APRES REVOCATION AUTHENTIFICATION D UNE DEMANDE DE REVOCATION BESOINS OPERATIONNELS DEMANDE DE CERTIFICAT Demande de certificat pour l AC Utilisateur Demande de certificat pour l AC Badge Demande de certificat pour l AC Technique Demande de certificat pour l AC Partenaire GENERATION DE CERTIFICAT ACCEPTATION D UN CERTIFICAT REVOCATION DES CERTIFICATS Causes possibles de révocation Origine des demandes de révocation Procédure de demande de révocation Temps de traitement d une révocation Fréquence de mise à jour de la liste des certificats révoqués (CRL) Exigences de contrôle des CRL Publication des causes de révocation Contrôle en ligne des CRL Cas particulier de la révocation pour compromission de clé JOURNALISATION ARCHIVES Types de données archivées Durée de rétention des archives Protection des archives Procédures d accès et de récupération des archives CHANGEMENT DE CLE D UNE COMPOSANTE COMPROMISSION ET PLAN ANTI-SINISTRE En cas de corruption des ressources informatiques (logiciels ou données) En cas de révocation du certificat d une composante de l IGC Mesures de sécurité en cas de sinistre FIN DE VIE D UNE COMPOSANTE CONTROLES DE SECURITE PHYSIQUE, DES PROCEDURES ET DU PERSONNEL CONTROLES DE SECURITE PHYSIQUE CONTROLES DES PROCEDURES Rôles de confiance Nombre de personnes nécessaires à chaque tâche Identification et authentification des rôles CONTROLES DU PERSONNEL CONTROLES TECHNIQUES DE SECURITE GENERATION ET INSTALLATION DE BICLES Génération de biclés Délivrance de clé privée à son propriétaire Transmission de clé publique à une AC Délivrance de la clé publique des AC aux utilisateurs Taille des clés Génération des paramètres de clé publique Contrôle de la qualité des paramètres Mode de génération de clé (matériel ou logiciel) Usage de la clé PROTECTION DE CLE PRIVEE Module de cryptographie utilisant des normes Contrôle des clés privées par plusieurs personnes Séquestre de clé privée Recouvrement de clé privée Archivage de clé privée Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 4 sur 45

5 Mise à la clé du module cryptographique Méthode d activation de clé privée Méthode de désactivation de clé privée Méthode de destruction de clé privée AUTRES ASPECTS DE GESTION DES BICLES Archivage des clés publiques Durée de vie des clés publiques et privées DONNEES D'ACTIVATION SECURITE DES POSTES DE TRAVAIL CONTROLES TECHNIQUES DU SYSTEME DURANT SON CYCLE DE VIE SECURITE DES RESEAUX CONTROLES TECHNIQUES DES MODULES DE CRYPTOGRAPHIE PROFILS DES CERTIFICATS ET DES LISTES DE CERTIFICATS REVOQUES PROFILS DES CERTIFICATS PROFILS DES CRL ADMINISTRATION DES SPECIFICATIONS PROCEDURES DE MODIFICATION DE CES SPECIFICATIONS POLITIQUES DE PUBLICATION ET DE NOTIFICATION PROCEDURES D APPROBATION DES DPC ANNEXE A : DOCUMENTS DE REFERENCES ANNEXE B : GLOSSAIRE B.1 ACRONYMES B.2 ACTIONS B.3 ACTEURS B.4 OBJETS ANNEXE C : FORMAT DES CERTIFICATS C.1 CERTIFICATS DE L AC RACINE C.1.1 Champs de base du certificat C.1.2 Extensions du certificat C.2 CERTIFICATS DES AC SUBORDONNEES C.2.1 Champs de base des certificats C.2.2 Extensions des certificats C.3 CERTIFICATS DES ABONNES C.3.1 Champs de base des certificats des Abonnés C.3.2 Extensions des certificats des Abonnés des AC Utilisateur, Badge et Partenaire C.3.3 Extensions des certificats des Abonnés de l AC Technique ANNEXE D : FORMAT DES CRL Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 5 sur 45

6 1. INTRODUCTION 1.1. PRESENTATION GENERALE Contexte L évolution des réseaux et des traitements automatisés d informations impose de renforcer la protection des données sur les systèmes d information. La cryptographie est une solution qui, en complément des architectures de SI et procédures organisationnelles, permet de garantir l intégrité et la confidentialité des données, ainsi que l identité des personnes y accédant. Cependant, pour être mise en œuvre de façon efficace, cette solution doit être en premier lieu guidée par les besoins de sécurité, tout en tenant compte de considérations relatives à sa mise en œuvre effective. Pour ces raisons, l entreprise se doit de maîtriser son usage, par souci de préservation de la disponibilité du patrimoine, non-dispersion des conventions secrètes et respect des obligations légales. C est dans ce cadre que le Commissariat à l Energie Atomique (CEA) a décidé de se doter d une Infrastructure de Gestion de Clés, afin de fédérer et maîtriser l utilisation des outils cryptographiques Objectifs de la Politique de Certification Ce document décrit la Politique de Certification (PC) de l Infrastructure de Gestion de Clés (IGC) gérée par le CEA. La PC est un ensemble de règles qui indique les conditions de gestion et d utilisation des clés et des certificats dépendants de l IGC. Son but est de fournir aux utilisateurs de l IGC les informations relatives aux garanties offertes par les certificats qu elle émet, ainsi que les conditions d utilisation de ces certificats. Les pratiques mises en oeuvre pour atteindre les garanties offertes sur ces certificats sont présentées dans un autre document, la Déclaration relative aux Pratiques de Certification (DPC). La présente PC reprend la structuration du document «Procédures et Politiques de Certification de Clés» [PC2] émis par la Commission Interministérielle pour la Sécurité des Systèmes d Information (CISSI), lui-même issu du document [RFC 2527] IDENTIFICATION Chaque Politique de Certification doit être identifiée de façon unique. On lui donne pour cela un nom de référence ainsi qu un Identifiant d Objet. La référence de la présente politique de certification est "PC_CEA_IGC". Un Identifiant d Objet (OID) est une série de nombres organisée en arborescence et que l on associe à un «objet» (généralement informatique). Le CEA a obtenu auprès de l IANA la branche « » sous laquelle la branche «1» désigne le projet IGC et la sous-branche «2» la présente Politique de Certification. L OID de la politique est donc « » et il se décompose comme suit : { iso(1) org(3) dod(6) internet(1) private(4) enterprises(1) cea(12384) igc(1) pc(2) } Tous les certificats émis selon la présente politique portent une référence à cet OID. La politique de certification est consultable à l adresse : Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 6 sur 45

7 1.3. APPLICATION DE LA POLITIQUE ET GROUPE D'UTILISATEURS CONCERNES Synopsis de l IGC CEA Composantes AC Racine Acteurs Autorité de Séquestre AC Filles Service de Publication Autorité Administrative Portail Web Utilisateurs de certificats Opérateurs Autorités d Enregistrement Abonnés Autorités et Groupes d'utilisateurs concernés Abonnés Un Abonné est une entité (personne physique, système informatique, ) disposant d'un certificat en cours de validité, émis par une Autorité de Certification de la présente Politique de Certification. L Abonné peut également être désigné sous le nom de Porteur de certificat. Autorité Administrative L'Autorité Administrative est garante de l'application de la Politique de Certification de l'igc. Elle valide et contrôle les pratiques de certification (DPC) des composantes de l IGC. Autorité d Enregistrement Les Autorités d Enregistrement (AE) sont les composantes de l IGC qui relayent les demandes de certification des utilisateurs auprès des Autorités de Certification. Elles ont en charge la vérification de l'identité des demandeurs lors de leur demande de certification. Les AE sont reconnues par l Autorité de Certification pour laquelle elles authentifient les utilisateurs. Elles sont au plus proche des utilisateurs et gèrent les Abonnés appartenant à un périmètre défini. Autorité de Certification L Autorité de Certification (AC) une composante de l IGC qui a en charge l'émission, la révocation et le renouvellement de certificats. Par ces actes, elle engage la responsabilité du CEA vis à vis des utilisateurs qui lui font confiance. L IGC est composée de plusieurs AC : AC Racine o seule AC possédant un certificat auto-signé, elle gère les certificats des autres AC de l IGC (appelées AC filles) ; AC Utilisateur o gère les certificats des personnes physiques possédant un badge CEA ; o délivre un seul certificat par utilisateur, en utilisant des supports logiciels (fichiers) pour le transport des biclés ; Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 7 sur 45

8 AC Badge o gère les certificats des personnes physiques possédant un badge CEA ; o délivre deux certificats par utilisateur (un certificat de signature/authentification et un certificat de chiffrement), en utilisant des cartes à puce pour le transport des biclés ; AC Technique o gère les certificats d authentification des entités techniques (serveurs Web, routeurs, passerelles, ) appartenant au CEA ; o gère aussi les certificats attribués à des rôles d exploitation ou d administration d entités techniques ; o les biclés sont transportées par support logiciel ; AC Partenaire o gère les certificats des personnes physiques ou morales travaillant en collaboration avec le CEA mais ne possédant pas de badge CEA. Les biclés sont transportées par support logiciel. Autorité de Séquestre L Autorité de Séquestre (AS) est la composante de l IGC qui a la responsabilité de séquestrer les biclés générées par une AC ou fournies par les utilisateurs. Elle permet le recouvrement de ces clés pour le compte des utilisateurs (perte de la biclé, départ d un employé de l entreprise, etc.) ou pour le compte d autorités légales. Opérateurs Les Opérateurs réalisent l exploitation des services offerts par les différentes composantes de l IGC. Lorsqu une action est validée par une autorité compétente, ils sont chargés de lancer l exécution des fonctions cryptographiques correspondantes. Portail Web Le Portail Web est la composante de l IGC qui a le rôle d interface entre les Acteurs et les autres composantes de l IGC. Il permet aux Opérateurs de mettre en œuvre les différentes fonctions auxquelles ils ont accès, aux utilisateurs d effectuer leurs demandes de certificats, aux Abonnés de révoquer et renouveler leurs certificats, aux Utilisateurs de certificats d accéder au Service de Publication. Le Portail Web a aussi en charge la publication des ressources bibliographiques et documentaires de l IGC. Service de Publication Le Service de Publication distribue les certificats et les listes de révocation émis par l IGC aux Utilisateurs de ces certificats. Utilisateur de certificat Un Utilisateur de certificat est une entité (personne physique, système informatique, ) susceptible d'utiliser un certificat émis par l'igc, sans forcément en détenir un en propre ; par exemple en vérifiant la signature d un Abonné, ou en lui transmettant un message chiffré. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 8 sur 45

9 Types d applications concernés Les certificats et clés émis par les AC de la présente Politique de Certification sont destinés à être intégrés à toute application mettant en œuvre de la cryptographie et autorisée par la réglementation du CEA. A titre d exemple, les applications possibles pour chaque catégorie d Abonné sont : Abonnés des AC Utilisateur et Badge : authentification et le chiffrement des messages électroniques authentification auprès de serveurs (Web, VPN, ) chiffrement de fichiers authentification de composants logiciels Abonnés de l AC Technique : authentification de serveurs Web authentification de passerelles de réseaux privés virtuels authentification des administrateurs d entités réseau Abonnés de l AC Partenaire : authentification et chiffrement des communications entre le CEA et ses collaborateurs extérieurs La mise en œuvre de ces applications est soumise à des configurations logicielles et matérielles définies par la Direction des Technologies de l Information du CEA et publiées sur le Portail Web de l IGC. Sont exclues de la présente politique les applications permettant la mise en œuvre de la signature électronique telle que définie par la loi, et les applications permettant de réaliser des transactions financières CONTACTS Autorité compétente dans l accréditation des composantes de l IGC L IGC étant strictement réservée aux besoins interne du CEA, aucune accréditation par un organisme extérieur n est demandée Personnes à contacter concernant ce document CEA DCS/SPACI/SSI Route du Panorama B.P Fontenay-aux-Roses Cedex tél. : fax. : mel : FarDcsSsi@zoe.cea.fr Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 9 sur 45

10 2. DISPOSITIONS D ORDRE GENERAL 2.1. OBLIGATIONS DES ACTEURS Tous les acteurs de l IGC se doivent de respecter la [NIG469] Obligations communes à toutes les composantes protéger sa clé privée et ses données d activation en intégrité et en confidentialité ; n utiliser ses clés publiques et privées qu aux fins pour lesquelles elles ont été émises et avec les outils spécifiés en accord avec la présente politique ; respecter et appliquer la ou les DPC mises en oeuvre ; respecter le résultat d un contrôle de conformité et remédier aux non-conformités qu il révèle ; respecter l engagement qui lie l entité à l IGC ; documenter ses procédures internes de fonctionnement ; Abonné protéger sa clé privée et ses données d activation en intégrité et en confidentialité ; respecter la PC selon laquelle ses certificats ont été émis ; dès qu il suspecte ou a connaissance d une compromission ou d une perte de sa clé privée, en informer l autorité chargée de la révocation ; fournir à son AE des données personnelles d identification sincères et authentiques lors de son enregistrement ; informer son AE de tout changement concernant les informations figurant dans ses certificats ; utiliser ses certificats et biclés aux fins pour lesquelles ils sont générés Autorité Administrative valider la Politique de Certification ; résoudre les litiges ; contrôler la conformité des DPC avec la PC Autorité d Enregistrement s assurer de l identité du demandeur de certificat lorsqu il lui présente son formulaire de demande ; authentifier les demandes de révocation qu il reçoit et les traiter avec diligence Opérateur d Enregistrement n accepter que les demandes pour lesquelles il a reçu un formulaire validé par une Autorité d Enregistrement qu il reconnaît ; authentifier les demandes de révocation qu il reçoit de la part des Abonnés ; traiter avec diligence les demandes de révocations authentifiées ; conserver et protéger en confidentialité et en intégrité des données personnelles d identification transmises pour l enregistrement Autorité de Certification en cas de révocation du certificat d une composante de l IGC, en informer tous les utilisateurs finaux, par tout moyen jugé pertinent ; documenter et publier les schémas de certification qu elle entretient avec d autres AC ou d autres IGC ; générer et renouveler les certificats quand les demandes ont été authentifiées ; révoquer les certificats quand les demandes ont été authentifiées ; transmettre des listes de certificats (valides et révoqués) au service de publication ; garantir l'intégrité et la précision des dates utilisées dans la génération des certificats, des listes de révocations, des journaux d événements, des archives, etc. ; générer les clés des Abonnés lorsque cela est demandé ; pour les AC Utilisateur, Badge et Partenaire, transmettre les biclés de confidentialité à l Autorité de Séquestre ; délivrer des clés aux Abonnés par un canal protégé (en confidentialité et en intégrité pour les clés privées, en intégrité pour les clés publiques). Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 10 sur 45

11 Autorité de Séquestre protéger la confidentialité des clés secrètes qu elle gère ; permettre le recouvrement des clés privées qu elle séquestre par les personnes autorisées ; s assurer de la légitimité des demandes de recouvrement qu elle traite ; mettre en œuvre le recouvrement des biclés dans les délais prévus par la PC (cf ) Service de Publication protéger en intégrité les listes qu il publie ; mettre à jour les listes de certificats et les CRL dans les délais fixés par la PC (cf ) ; protéger l intégrité des données qui lui ont été transmises par l AC ; Utilisateur de certificat consulter les listes de certificats publiées et vérifier la validité des certificats avant leur utilisation RESPONSABILITES DES ACTEURS Responsabilités des acteurs de l IGC Les acteurs, composantes et autorités de l IGC sont responsables de la mise en œuvre des moyens techniques et humains nécessaires au respect de leurs obligations Limites de responsabilités du CEA Le CEA décline toute responsabilité vis à vis de l utilisation, dans des conditions autres que celles prévues par la présente PC, des certificats et clés émis par son IGC. Il décline notamment sa responsabilité pour tout dommage résultant d un emploi de ces certificats pour des usages tels que : la réalisation de transactions financières, la réalisation d actes délictueux, l utilisation de moyens de cryptologie illégaux ou non approuvés par le CEA, le traitement d informations n appartenant pas au CEA. Le CEA décline également sa responsabilité pour tout dommage résultant des erreurs ou inexactitudes entachant les informations contenues dans les certificats émis par son IGC, lorsque ces erreurs ou inexactitudes résultent directement du caractère erroné des informations qui lui ont été transmises RESPONSABILITES FINANCIERES Sans objet INTERPRETATIONS DE LA LOI Les composantes de l'igc veillent à la protection des données à caractère personnel d une personne physique, suivant la loi [L78-17] et la directive [DE 96/95/CE] ; ainsi qu au respect de la législation française et européenne définissant les conditions d usage des moyens cryptographiques ([L ], [D99-199], [D99-200], [D98-101], [A475], [A730], [A732]). Les certificats fournis ne permettant pas de réaliser des opérations de signature électronique au sens des textes [L ], [D ] et [DE 93/CE], ils ne sont pas applicables au contexte de l IGC CEA. Les certificats fournis par l IGC permettant d assurer des fonctions de confidentialité, l Autorité de Séquestre est en charge de l application de l article 11-1 de la loi [L91-646]. Néanmoins, l IGC ne fournissant des certificats de confidentialité que pour les besoins internes du CEA, elle n est pas considérée comme un organisme gérant pour le compte d autrui des conventions secrètes. De ce fait, les textes [D98-102], [A731] et [A733] ne lui sont pas applicables BAREMES DE PRIX Sans objet dans le contexte d une IGC d entreprise à usage interne. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 11 sur 45

12 2.6. PUBLICATIONS ET SERVICES ASSOCIES Publication des informations relatives à l IGC Les informations suivantes sont diffusées publiquement : la politique de certification (PC) ; les empreintes numériques des certificats des AC ; les certificats des AC ; les listes de révocation des certificats. Les formulaires de gestion des certificats (création, révocation, etc.) de chaque AC ne sont diffusés qu aux Abonnés et aux personnes autorisées à demander des certificats. Le Service de Publication a en charge la diffusion de ces documents (cf ) Fréquence de publication La publication en ligne des informations est permanente. Le Service de Publication a en charge la disponibilité et la continuité du service. Dans la mesure du possible, les interruptions pour maintenance sont annoncées une semaine à l avance. Les listes des certificats et CRL publiées sont mises à jour dans les 24 heures ouvrées qui suivent leur transmission par les AC Contrôles d accès La population des utilisateurs est différente pour chaque AC. Le Service de Publication est responsable de la mise en oeuvre du contrôle d'accès permettant de ne publier aux utilisateurs que les informations qui les concernent Service de Publication et Portail Web Les informations publiées sont reparties entre un annuaire LDAP, un portail Web et des points de distribution. Le Portail Web est réparti sur deux sites : pour la consultation des certificats des Abonnés et les formulaires de gestion des certificats des AC Utilisateur, Badge et Technique. Ce site n est accessible que depuis l Intranet CEA. pour la diffusion des informations publiques (cf ), la consultation des certificats révoqués en ligne, et les formulaires de gestion des certificats des utilisateurs de l AC Partenaire. Ce site est accessible depuis Internet. L annuaire LDAP distribue les certificats de l IGC ainsi que les listes de révocation. L arborescence de l annuaire, les attributs utilisés et son adresse sont précisés sur le Portail Web. Les points de distribution sont des URL utilisant le protocole HTTP. Ils sont inscrits dans les certificats émis par les AC. Ils permettent de récupérer les CRL, les certificats des AC et la Politique de Certification. Ils sont de la forme : pour la Politique de Certification pour les CRL pour les certificats des AC où ac-nom est : ac-racine ac-utilisateur ac-badge ac-technique ac-partenaire 2.7. CONTROLE DE CONFORMITE Fréquence du contrôle de conformité Le premier contrôle de conformité d une composante précède sa mise en service, puis des contrôles sont pratiqués annuellement Identification et qualifications du contrôleur L Autorité Administrative désigne un contrôleur compétent en sécurité des systèmes d information, n appartenant pas à la composante, et dûment autorisé à pratiquer ces contrôles. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 12 sur 45

13 Sujets couverts par le contrôle de conformité Le contrôle de conformité porte sur les procédures mises en œuvre par la composante et leur correspondance avec les règles de la Politique de Certification et de la DPC de la composante Mesures à prendre en cas de non-conformité A l issue du contrôle de conformité, le contrôleur rend un rapport à l Autorité Administrative indiquant les éventuels écarts relevés. Le cas échéant, il peut proposer des solutions correctives. L Autorité Administrative évalue la gravité des écarts, en informe la composante, et étudie avec elle les mesures à prendre afin de corriger dans les meilleurs délais les écarts relevés. En cas de grave disfonctionnement de la composante, une révocation de son certificat peut être décidée par l Autorité Administrative Communication des résultats Les résultats sont communiqués aux composantes concernées. De plus, ils peuvent être communiqués à toute personne ou entité ayant le besoin d en connaître POLITIQUE DE CONFIDENTIALITE Type d informations considérées comme confidentielles On définit au sein de l IGC deux niveaux de confidentialité : «Diffusion Limitée IGC CEA» et «Confidentiel IGC CEA». La DPC détaille les conditions d usage et de traitement de ces informations. Les informations suivantes sont classées «Confidentiel IGC CEA» : clés privées des composantes et des utilisateurs ; conventions cryptographiques nécessaires au recouvrement des clés des AC ; code porteur et mot de passe d activation des clés privées ; Dans le contexte de l IGC, toute information qui n est pas classée «Confidentiel IGC CEA», et qui n est pas explicitement déclarée comme non confidentielle au est classée «Diffusion Limitée IGC CEA». Ces informations regroupent en particulier : journaux d événement des composantes ; données d identification d un utilisateur (identifiant nominatif) ; les certificats permettant d identifier une personne ; les causes de révocation des certificats ; les DPC des composantes Type d informations considérées comme non confidentielles Les informations suivantes ne sont pas confidentielles : la Politique de Certification ; les certificats des AC ; les certificats des Abonnés de l AC Technique ; les listes des révocations ; les formulaires de gestion des certificats des utilisateurs de l AC Partenaire Divulgation des causes de révocation et de suspension des certificats La cause de révocation d un certificat doit être communiquée à l AC qui procède à la révocation. Cette cause est conservée par l AC mais elle n apparaît pas dans la liste de révocation publiée Délivrance aux autorités légales Les autorités légales dûment mandatées peuvent demander à accéder aux informations confidentielles. Elles doivent pour cela adresser leur demande à l Autorité Administrative Délivrance à la demande du propriétaire Toute information, même confidentielle, est accessible par son propriétaire Autres circonstances de délivrance possible Les informations confidentielles peuvent être délivrées à tout tiers pouvant démontrer un besoin d en connaître, et dûment habilité par sa fonction à en prendre connaissance. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 13 sur 45

14 2.9. DROITS DE PROPRIETE Le CEA est titulaire de l ensemble des droits de propriété intellectuelle et industrielle attachés aux éléments de toute nature et notamment logiciel, bases de données, documentation, matériel, système, savoir-faire utilisés au titre du service proposé et fourni par l IGC, ou a obtenu des titulaires desdits droits, les autorisations nécessaires aux fins d exécution dudit service. Les logiciels, bases de données, documentation, matériel, système, savoir-faire et tout autre produit, élément, document, utilisés au titre du service proposé et fourni pour l IGC, ainsi que tous les droits de propriété intellectuelle et industrielle qui y sont attachés (droits d auteur, brevet, marque, etc.), restent en toutes circonstances la propriété exclusive du CEA, quel s en soit l état d achèvement et ce, au fur et à mesure de leur réalisation. En conséquence, la fourniture du service par l IGC ne saurait être interprétée comme entraînant la cessions d un quelconque doit de propriété intellectuelle et industrielle appartenant au CEA. Le porteur de certificat de l IGC CEA s engage à maintenir sur tous les exemplaires et copies, mêmes partielles, des éléments précités, les mentions de propriété au profit du CEA, et à n effectuer aucune adjonction ou modification, rendant notamment ces mentions de propriété illisibles, sans avoir obtenu d accord préalable écrit du CEA. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 14 sur 45

15 3. IDENTIFICATION ET AUTHENTIFICATION 3.1. ENREGISTREMENT INITIAL Conventions de noms Le nom contenu dans un certificat (sujet du certificat) est sous la forme d'un DN. L attribut Common Name (CN) du DN identifie de manière unique le possesseur du certificat. Les conventions de nommage utilisées dépendent de chaque AC : AC Utilisateur et AC Badge : CN="NOM Prénom PNxxxxxxC" avec le nom de famille en majuscule, la première lettre des prénoms en majuscule (cf ). «PNxxxxxxC» se compose comme suit : o P : première lettre du prénom en majuscule o N : première lettre du nom en majuscule o xxxxxx : numéro à 6 chiffres du badge CEA de la personne o C : première lettre, en majuscule, de la couleur du badge (Bleu, Jaune, Rouge, Vert ou Autre) ; AC Partenaire : CN="NOM Prenom ENTREPRISE" avec le nom de famille en majuscule, la première lettre des prénoms en majuscule (cf ). ENTREPRISE représente le nom de l entreprise, en majuscule, à laquelle elle appartient. En l absence d entreprise de rattachement, le mot «NON-CEA» est utilisé ; AC Technique : CN="nom DNS ou adresse IP" pour un certificat de serveur, ou CN="pseudonyme" pour un certificat associé à un rôle sur une entité technique Nécessité d utilisation de noms explicites Les certificats étant destinés à identifier des personnes ou des entités techniques, les noms qu ils contiennent doivent être explicites et respecter les conventions du Règles d interprétation des différentes formes de noms Les règles d interprétation des caractères accentués et des noms composés sont détaillées dans la DPC Unicité des noms L unicité d un certificat est basée sur l unicité de son numéro de série pour une Autorité de Certification donnée. Cependant, afin d éviter les ambiguïtés sur la propriété d un certificat, l unicité du CN est respectée (cf ). Pour les Abonnés de l AC Partenaire, une homonymie peut apparaître entre des personnes d une même entreprise. Dans ce cas, un numéro de séquence est ajouté au nom de la personne. Pour les autres AC, l'utilisation du numéro de badge, de l'adresse IP ou du nom DNS garantit l'unicité pour ces types d'entités Procédures de résolution des litiges sur la revendication d un nom Pour le cas des pseudonymes, lorsque le nom à inclure dans un certificat provoque un litige avec un autre Abonné, l Autorité d Enregistrement à qui la demande de certification a été formulée est responsable de la résolution de ce litige. A défaut, et sur demande du plaignant, l Autorité Administrative peut intervenir sur la résolution du litige Reconnaissance, authentification et rôle concernant les noms de marques Aucun nom de marque ou autre nom déposé ne peut être utilisé comme sujet d'un certificat sans un accord écrit de son propriétaire ; à l exception des noms des Abonnés pouvant présenter une homonymie avec une marque déposée Authentification de l identité d un organisme Tout demandeur de certificat pour l AC Partenaire doit fournir un courrier de son employeur attestant de son lien avec son entreprise (durée et type de contrat), et précisant le nom, l adresse, la raison sociale, et le numéro de SIRET de l entreprise. Ce document doit être signé par un responsable hiérarchique et porter le cachet de l entreprise. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 15 sur 45

16 Authentification de l identité d un individu Les Autorités d'enregistrement authentifient des demandeurs de certificats lors d un rapport facial. Les Abonnés des AC Utilisateur et Badge, ainsi que les responsables des Abonnés de l AC Technique sont identifiés par leur badge CEA. Les Abonnés de l AC Partenaire doivent fournir à l AE une photocopie d une pièce d identité, et leur présenter l original lors de leur rencontre RE-GENERATION DE CERTIFICAT EN FIN DE VALIDITE Les Abonnés des AC Utilisateur et Badge peuvent demander le renouvellement de leur certificat en fin de vie (mais non-expiré) en remplissant le formulaire disponible sur le Portail Web. La demande, authentifiée par le certificat en fin de vie, est automatiquement validée. Le renouvellement des certificats expirés des AC Utilisateur et Badge, ainsi que le renouvellement des certificats des AC Techniques et Partenaire se fait en effectuant une nouvelle demande de certification (cf. 4.1) RE-GENERATION DE CLES APRES REVOCATION Après révocation de son certificat, il appartient à l'utilisateur de formuler une nouvelle demande de génération de certificat (cf. 4.1). Le processus de génération d un certificat est alors mis en œuvre dans sa totalité. Il n'est pas permis de réutiliser la même biclé pour le nouveau certificat, sauf dérogation accordée par l'autorité Administrative AUTHENTIFICATION D UNE DEMANDE DE REVOCATION Les Abonnés des AC Utilisateur et Badge peuvent demander la révocation de leur certificat en utilisant un formulaire du Portail Web. Le contrôle d'accès au formulaire de révocation met en œuvre la clé privée de l'abonné pour son authentification. Un Abonné ne peut révoquer que son propre certificat. Dans le cas d'une perte de la clé privée, rendant impossible l'utilisation du Portail Web, et pour les Abonnés des AC Technique et Partenaire, la demande de révocation se fait en contactant l Autorité d Enregistrement. En cas d indisponibilité de l AE, l Opérateur d Enregistrement peut être contacté directement. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 16 sur 45

17 4. BESOINS OPERATIONNELS 4.1. DEMANDE DE CERTIFICAT Demande de certificat pour l AC Utilisateur Avant de demander un certificat, l utilisateur doit s assurer auprès de son correspond informatique que son poste de travail est compatible avec les exigences de l IGC et les recommandations de la DTI. Il peut ensuite procéder à sa demande : l utilisateur consulte le Portail Web de l IGC (cf ) et sélectionne l AC Utilisateur ; il se rend sous la rubrique «demande de certificat» ; il sélectionne son centre CEA d appartenance parmi ceux proposés ; il fournit les informations demandées par le formulaire : o nom, prénom, numéro de badge, couleur du badge ; o numéro de téléphone ; o ses adresses mel : une au format «carte de visite» : Prenom.Nom@cea.fr l autre au format identifiant@nom_serveur.cea.fr (la consultation de l annuaire Exchange permet de connaître cette adresse) une éventuelle troisième adresse o un mot de passe qui protégera sa clé privée, et qu il sera le seul à connaître (aucun acteur de l IGC ne pourra en prendre connaissance, ni le changer) ; en validant le formulaire, l utilisateur obtient un récapitulatif de sa demande qu il doit imprimer et signer ; il transmet alors ce document à son AE lors d'une rencontre où il présente son badge afin de lui permettre de valider son identité ; l'ae vérifie les informations du formulaire, et si elles sont correctes, le signe et le transmet à l Opérateur d Enregistrement ; o lorsque le demandeur est une AE, il doit faire valider son formulaire par son responsable hiérarchique ; les Opérateurs d Enregistrement valident les demandes de certificat pour lesquelles ils ont reçu un formulaire dûment signé par l utilisateur et son AE ; lorsque sa demande est validée par l Opérateur, le demandeur reçoit un mel de confirmation (adressé à la première adresse mel qu il a saisie) ; ce mel contient l URL de son fichier personnel (contenant sa biclé et son certificat) ; le demandeur télécharge le fichier et installe ses clés dans l application voulue. Ce fichier est protégé par le mot de passe donné lors de sa demande. Le demandeur devient alors un Abonné ; Une fois l installation terminée, l Abonné transfert son fichier personnel sur disquette et la conserve dans un endroit sûr Demande de certificat pour l AC Badge Avant de demander un certificat, l utilisateur doit s assurer auprès de son correspondant informatique que son poste de travail est compatible avec les exigences de l IGC et les recommandations de la DTI. Il doit aussi être équipé d un lecteur de cartes à puce et des logiciels associés. L utilisateur doit aussi renouveler son badge CEA si celui-ci ne possède pas de fonctions cryptographiques. Il peut ensuite procéder à sa demande : l utilisateur consulte le Portail Web de l IGC (cf ) et sélectionne l AC Badge ; il se rend sous la rubrique «demande de certificats» ; il sélectionne son centre CEA d appartenance parmi ceux proposés ; Il insère son badge dans le lecteur et fournit les informations demandées par le formulaire : o nom, prénom, numéro de badge, couleur du badge ; o numéro de téléphone ; o ses adresses mel : une au format «carte de visite» : Prenom.Nom@cea.fr l autre au format identifiant@nom_serveur.cea.fr (la consultation de l annuaire Exchange permet de connaître cette adresse) Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 17 sur 45

18 une éventuelle troisième adresse en validant le formulaire, l utilisateur obtient un récapitulatif de sa demande qu il doit imprimer et signer ; il transmet alors ce document à son AE lors d'une rencontre où il présente son badge afin de lui permettre de valider son identité ; l AE vérifie les informations du formulaire, et si elles sont correctes, le signe et le transmet à l Opérateur d Enregistrement du centre ; o lorsque le demandeur est une AE, il doit faire valider son formulaire par son responsable hiérarchique ; les Opérateurs d Enregistrement valident les demandes de certificat pour lesquelles ils ont reçu un formulaire dûment signé par l utilisateur et son AE ; lorsque sa demande est validée par l Opérateur, le demandeur reçoit un mel de confirmation (adressé à la première adresse mel qu il a saisie) ; ce mel contient les URL qui lui permettent d obtenir son certificat de signature et sa clé de chiffrement ; l utilisateur insère son badge dans le lecteur et consulte les URL contenues dans le mel de confirmation. Il suit les instructions afin de charger son certificat de signature, et d incorporer sa clé de chiffrement et son certificat de chiffrement dans son badge Demande de certificat pour l AC Technique Le demandeur doit contacter son AE en lui transmettant les informations sur l entité à certifier (soit une demande électronique contenant la clé publique à certifier, soit le nom IP ou DNS de l entité) ainsi que le nom et l adresse mel du responsable de l entité. L AE se charge de vérifier la légitimité de la demande. L AE retransmet ces informations, par mel signé, à l Opérateur de l AC Technique. Cet Opérateur est désigné sur le Portail Web de l IGC. L Opérateur vérifie la signature électronique du mel. Si la signature est valide, il imprime et signe la demande pour archivage. Il peut ensuite valider la demande. Lorsque le certificat est créé, il est transmis par messagerie au responsable de l entité. Lorsque la clé privée est générée par l AC, elle est transmise par messagerie sous la forme d un fichier personnel protégé par mot de passe, au responsable de l entité certifiée. Le mot de passe est transmis par mel signé et chiffré à l AE du demandeur. Le responsable de l entité certifiée doit se mettre en contact avec son AE pour obtenir son mot de passe Demande de certificat pour l AC Partenaire Les collaborateurs CEA qui désirent faire certifier leurs partenaires extérieurs peuvent télécharger sur le Portail Web de l IGC un formulaire à imprimer et à faire remplir par les personnes à certifier. Ce formulaire doit être signé par le demandeur, le responsable CEA de la collaboration, et l AE concernée. Ce formulaire doit être accompagné d une photocopie d un document justifiant de l identité du demandeur. L AE est en charge d évaluer la pertinence du document justifiant l identité du demandeur. Cette demande est transmise par l AE à l Opérateur de l AC Partenaire (désigné sur le Portail Web de l IGC). L Opérateur transmet par messagerie le fichier personnel (protégé en intégrité et confidentialité) contenant la biclé et le certificat au partenaire extérieur, et il lui transmet par téléphone ou courrier papier le mot de passe protégeant ce fichier GENERATION DE CERTIFICAT Les certificats sont générés par les AC après validation des demandes par les Opérateurs d Enregistrement. Lorsque le certificat est transmis à son titulaire par mel, ou lorsque celui-ci récupère son certificat par téléchargement, l AC transmet le certificat au Service de Publication. La période de validité des certificats générés est fixée par défaut à un an. Cette durée peut être écourtée à la demande de l utilisateur ou de son autorité hiérarchique. Elle peut aussi être allongée en cas de demande motivée de l utilisateur, et après acceptation par l Autorité d Enregistrement concernée. En aucun cas la durée d un certificat ne peut dépasser les deux ans de validité (hors certificats d AC) ACCEPTATION D UN CERTIFICAT La demande d un certificat par un utilisateur implique son acceptation d office. Si un utilisateur désire refuser un certificat qui lui a été remis, il doit en demander la révocation. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 18 sur 45

19 4.4. REVOCATION DES CERTIFICATS Les Abonnés peuvent mettre fin à leurs engagements à tout moment. Ils doivent pour cela demander la révocation de leur certificat. Les certificats de la présente Politique de Certification ne peuvent être révoqués que de façon définitive. Il n est pas prévu de révocation temporaire (suspension) Causes possibles de révocation Le certificat de l AC Racine peut être révoqué dans les cas suivants : compromission, suspicion de compromission, perte ou vol de la clé privée correspondante ; cessation d activité de l AC ; par anticipation : par exemple, en cas de risque de mise en péril de l IGC suite à l apparition d une faiblesse des clés ou algorithmes utilisés. Le certificat des AC Utilisateur, Badge, Technique et Partenaire peuvent être révoqués dans les cas suivants : compromission, suspicion de compromission, perte ou vol de la clé privée correspondante ; révocation du certificat de l AC Racine ; cessation d activité de l AC ; par anticipation : par exemple, en cas de risque de mise en péril de l IGC suite à l apparition d une faiblesse des clés ou algorithmes utilisés ; grave non-respect de la Politique de Certification ou de la Déclaration des Pratiques de Certification. Les certificats des Abonnés peuvent être révoqués, dans les cas suivants : compromission, suspicion de compromission, vol ou perte de la clé privée ; révocation du certificat de l AC émettrice du certificat ; changement des informations contenues dans le certificat ; non-respect des engagements liant l utilisateur à l IGC ; départ de l'entreprise, changement d'activité, indisponibilité de longue durée ou décès du porteur Origine des demandes de révocation Pour les certificats des AC Utilisateur et Badge, la demande de révocation peut être émise par l Abonné ou son supérieur hiérarchique. Pour les certificats de l AC Technique, la demande de révocation peut être émise par le responsable de l entité certifiée (celui indiqué lors de la demande de certification). Pour les certificats de l AC Partenaire, la demande de révocation peut être émise par l Abonné, son collaborateur CEA ou le supérieur hiérarchique du collaborateur CEA. Dans tous les cas, l'autorité Administrative et l AC qui a émis le certificat peuvent demander la révocation d'un certificat Procédure de demande de révocation Les demandes de révocation se font par un formulaire du Portail Web, après authentification de l'abonné par sa clé privée. Dans les cas où cela n'est pas possible (perte de la clé privée, ou révocation demandée par une autre personne que l Abonné), la révocation se fait en contactant l'autorité d'enregistrement compétente, ou à défaut en contactant l Opérateur d Enregistrement. En charge pour l'ae ou pour l OE de s'assurer de la légitimité de la demande. La raison de la révocation doit être indiquée lors de la demande. Celle-ci est archivée mais elle n est pas précisée dans la liste de révocation. Seuls le numéro de série et la date de révocation sont ajoutés à la CRL. La date de révocation utilisée est celle de la révocation effective du certificat par l AC, soit quelques minutes après la validation par l Opérateur. Les certificats révoqués sont supprimés de l annuaire. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 19 sur 45

20 Temps de traitement d une révocation Les délais de traitement des demandes de révocation sont d un jour ouvré, c est à dire hors samedi, dimanche, jour fériés et journées de récupération du temps de travail nationales et de centres Fréquence de mise à jour de la liste des certificats révoqués (CRL) Les Autorités de Certification de l IGC ne garantissent le contenu des CRL qu à la date de leur signature. La date de prochaine mise à jour inscrite dans les CRL ne correspond pas à leur date de validité, elle indique uniquement la date «au plus tard» à laquelle l AC émettra une nouvelle CRL. La CRL de l AC Racine est mise à jour tous les trois mois, sauf en cas de révocation d une AC fille. Dans ce cas, la CRL est mise à jour dès que la révocation de l AC a été traitée. La date de prochaine mise à jour indiquée dans la CRL est de 4 mois postérieure à celle de la signature de la CRL. Les CRL des AC filles sont mises à jour quotidiennement. La date de prochaine mise à jour indiquée dans la CRL est de 7 jours postérieure à celle de la signature de la CRL Exigences de contrôle des CRL Il appartient aux Utilisateurs de certificats de vérifier le statut des certificats dans la CRL. De même, il lui appartient de vérifier la validité de la CRL (signature, dates, et validité de l émetteur). La signature d un Abonné ne peut être validée qu en utilisant une CRL émise postérieurement à l acte de signature Publication des causes de révocation Les causes de révocation n apparaissent pas dans les CRL. Elles sont néanmoins connues et archivées par les Autorités de Certification Contrôle en ligne des CRL Le service de contrôle en ligne des certificats révoqués est assuré par le Portail Web. Il permet, par le biais d'un formulaire, de vérifier la présence d un certificat parmi les certificats révoqués, sur la base du nom de l utilisateur, de son adresse de messagerie, ou du numéro de série de son certificat. Les CRL sont aussi librement disponibles en téléchargement sur l'annuaire LDAP et sur les points de distribution. Ces fichiers sont mis à jour dans les 24 heures qui suivent leur émission par une AC Cas particulier de la révocation pour compromission de clé En cas de révocation pour compromission ou suspicion de compromission de clé, la mise à jour de la CRL est réalisée selon la politique exprimée au Cependant, des mesures particulières peuvent être prises. Ces mesures doivent être approuvées par l Autorité Administrative. Ainsi, il peut être indiqué à l autorité chargée de la révocation la date à laquelle l on suppose que la compromission a eu lieu JOURNALISATION L ensemble des opérations effectuées par et sur les composantes de l IGC est journalisé. Le détail des évènements enregistrés ainsi que le traitement qui leur est appliqué sont spécifiés dans la DPC ARCHIVES Types de données archivées Les données d identification utilisées pour les demandes de certificats sont archivées : pour les AC Utilisateur et Badge, le formulaire de demande signé ; pour l AC Technique, le mel de demande imprimé et signé par l Opérateur ; pour l AC Partenaire, le formulaire de demande signé ainsi que le justificatif d identité. De plus, tous les certificats, clés privées séquestrées et les raisons des révocations sont archivés ; ainsi que toutes les données d exploitation relatives à la sécurité des composantes, suivant les modalités précisées dans la DPC. Réf. DCS/ACI/DOC/SSI/4.2/0114 Politique de Certification de l IGC CEA Page 20 sur 45