Plan de services 1 : Certificat électronique RGS Signer et Horodater Edition du 20 Août 2013 1. Généralités Le SDITEC a fait l acquisition de certificats électroniques de niveau RGS 2 étoiles (**) et 3 (***) étoiles conformes aux critères définis dans le Référentiel Général de Sécurité (RGS) institué par le décret n 2010-112 du 2 février 2010. Ces certificats sont classés PRIS V2.1. Ces certificats sont utilisés pour réaliser des opérations d authentification forte ainsi que des opérations de signature électronique. Conformément aux exigences du RGS pour des certificats de niveau **et ***, ces derniers sont délivrés sur un support de type clé cryptographique au format USB. Les certificats peuvent être utilisés dans des environnements Windows XP, Windows Vista et Windows 7, Macintosh Leopard et Snow Leopard avec les navigateurs Internet Explorer 7.0 ou supérieur, Firefox 3.6 ou supérieur et Safari. Dans l annexe «signer et horodater» jointe au présent document nous abordons les méthodes de signature de document. 2. Présentation des certificats K.SIGN La société KEYNECTIS est Tiers de Confiance, éditeur et opérateur de services de confiance et de certification électronique. Keynectis participe activement au développement des moyens de signature électronique, de l émission de certificats à l horodatage, la validation de signature ou la gestion de la preuve électronique. Pour ce faire Keynectis s appuie sur son infrastructure de haute sécurité certifiée PSCE et sur son IGC Sequoia certifiée CC EAL4 + sous qualification standard pour l hébergement et l opération des services de fourniture certificats électroniques. K.Sign est une gamme de certificat sur carte à puce qui se décline sous 3 formats selon le type de certificat supporté. La gestion de ces certificats se faisant à travers l IGC Sequoia certifiée CC EAL4 +. Durée de Vie des Certificats Les certificats ont une durée de vie de 3 ans. En cas de perte ou de vol ou de besoin de réaffectation un forfait remplacement vous est proposé permettant le remplacement complet pendant les deux premières années d un certificat émis (Même date de fin de validité) Supports Physiques des Certificats Support Gemalto Classic TPC IM CC certifié Critères Communs EAL4+ / PPSSCD, totalement compatible avec le référencement RGS ** et ***.
Les certificats RGS ** et *** sont réalisés après vérification d informations fournies par le demandeur (Personne Physique ou Morale) et la délivrance se fait par envoi séparé avec face à face conformément à la politique de certification agrée par L ANSSI Les livrables K.Sign for PDF se composent d un tokens USB (contenant les certificats de personnes prêts à l emploi). Les opérations de fabrication sont réalisées au sein du Bunker sécurisé de KEYNECTIS Un droit d accès au serveur OCSP de KEYNECTIS. Un droit d accès au serveur d horodatage de KEYNECTIS, lors de chaque signature, assujetti à un droit de tirage de jetons d horodatage par certificat. Ce support cryptographique contient l ensemble des certificats d AC suivants : Certificat KEYNECTIS ROOT CA, KEYNECTIS ICS CA, KEYNECTIS ICS ADVANCED Class 3 CA (signé par l AC KEYNECTIS ROOT CA), Class 2 Primary CA et le certificat ICS Advanced Class 3 délivré par l AC Class 2 Primary CA. Environnements supportés pour la signature et l Authentification
3. Processus de délivrance I. Autorité d Enregistrement déléguée : Profils, Rôles, Responsabilités Dans un souci de dématérialisation des échanges, KEYNECTIS a créé pour ses clients administrations et entreprises une offre de délivrance de certificats électronique RGS 1.0 ** et *** et un processus audité d autorité d enregistrement déléguée conforme au RGS ** et *** sans utilisation de documents papier. L association du service de signature à distance K.Websign sans pré-requis d installation (utilisable sur tous les postes utilisateurs Windows, Mac, Unix équipé d un simple navigateur) et du système de génération de certificat RGS ** et *** permet de réaliser très simplement la fonction d autorité d enregistrement déléguée (AED), par le SDITEC. Figure 1 - Processus d'enregistrement et de délivrance de certificats RGS** et RGS*** On distingue trois rôles complémentaires : l Autorité de Certification, l Autorité d Enregistrement, l Autorité d Enregistrement Déléguée L autorité de certification, opérée et administrée par les équipes de la Direction des Services KEYNECTIS repose sur l Infrastructure de Gestion de Clé Sequoia développée en propre par KEYNECTIS. Cette infrastructure de Gestion de Clé a été certifiée Critères Communs EAL4+ et jouit
d une qualification délivrée par l ANSSI (Agence Nationale de la Sécurité et des Systèmes d Information). Le SDITEC assure quant à lui le rôle d Autorité d Enregistrement Déléguée (AED) et procède à l enregistrement des porteurs. Il désigne pour cela une ou plusieurs personnes appelées Opérateurs d AED Centrale qui doivent être déclarées à KEYNECTIS. Ces administrateurs (Gérard LIOT et Pierre SAUZE) ont à leur charge d enregistrer les collectivités et établissements publics qui sont par la suite considérés comme porteurs de certificats. Les collectivités et établissements publics agissent en tant que porteur de certificat aussi appelé utilisateur. La Direction des Services de KEYNECTIS a pour charge d assurer : La gestion de la demande de certificat et de révocation, la production du certificat sur demande de l AED et validé par l AE, la personnalisation graphique et électrique du support cryptographique, l émission d un code PIN, associé au support cryptographique du porteur, sous enveloppe sécurisée. Le code PIN n est pas conservé par KEYNECTIS, l envoi du support cryptographique à l AED (SDITEC) et l envoi du code PIN au seul porteur. II. Cinématique de l AE Déléguée La procédure complète de délivrance est détaillée dans la «PROCEDURE DE DELIVRANCE DE CERTIFICAT». La mise en application du RGS souligne la nécessité de mettre en place un processus de délivrance rigoureux qui ne souffre pas de laxisme. En particulier les documents d identités présentés doivent être en cours de validité et remis avant toute délivrance. 4. Révocation La révocation d un certificat est effectuée selon les instigateurs de la manière suivante : AED : l AED signe un formulaire de demande de révocation et le transmet au Service Client de KEYNECTIS par fax. L Operateur d AE du Service Client vérifie le formulaire et vérifie que l AED est autorisée. Si les vérifications sont correctes, l Opérateur d AE révoque le certificat du porteur ; AE (Service Client de KEYNECTIS) : En cas de non respect des procédures par l AED ou un porteur, l AE peut révoquer l AED et/ou des porteurs ; Porteur : le porteur se connecte directement sur l interface de K.Registration (URL fournie lors de la remise du certificat par l AED) et s authentifie en saisissant son code de révocation. 5. Assistance du Syndicat Le SDITEC assure du lundi au vendredi de 09h00 à 12h30 et de 14h00 à 17h00 une assistance en ligne pour la mise en œuvre de la signature électronique. Le Syndicat ne connaît pas le code personnel de la clef de signature et ne peut suppléer de ce fait à l oubli du code par le porteur.
L attention du porteur est appelée sur le nombre d essai de la saisie du code secret qui est limité à 3. En cas de 3 saisies fausses successives le certificat est détruit dans la clef. Le porteur devra refaire l acquisition d un certificat payant. 6. Maintenance Le SDITEC assure une maintenance réglementaire des certificats dans la limite de l application du RGS au moment de la production du certificat. Le SDITEC fournira les drivers de mise en œuvre pour les systèmes d exploitation déclarés compatible de ce certificat. 7. Financement Chaque adhérent devra acquérir le certificat auprès du syndicat selon les conditions tarifaires fixées par le conseil syndical. Le certificat est consenti pour un prix d achat unique.
ANNEXE Signer et horodater Les technologies de la signature électronique rendent possible l'essor de la dématérialisation en toute confiance. Les méthodes de signature électronique avec horodatage, permettent de prouver les éléments d'authentification et de consentement à un moment donné. La fiabilité du procédé de signature électronique est présumée, lorsque sont respectées les conditions prévues par le décret n 2001-272 du 30 mars 2001 pris pour l application de l article 1316-4 du code civil et relatif à la signature électronique. L article 1 er du décret définit deux types de signature : La signature électronique «simple» qui garantit le lien entre l identification du signataire et l acte auquel elle s attache La signature électronique «sécurisée» La signature électronique est sécurisée, si elle satisfait aux exigences suivantes : -être propre au signataire ; -être créée par des moyens tels que le signataire puisse la garder sous son contrôle exclusif ; -garantir, avec l acte auquel elle s attache, un lien tel que toute modification ultérieure de l acte soit détectable. L article 3 de l arrêté du 15 juin 2012 prévoit dans le cadre des marchés publics, que la signature électronique est au format XAdES, PAdES ou CAdES. Pour signer et horodater électroniquement, il est nécessaire de disposer à la fois : -d un certificat électronique, c'est-à-dire de la clé privée de signature associée au certificat -d une application logicielle -d un horodatage Le certificat électronique Un certificat électronique est une identité numérique. Il est nominatif, donc appartient personnellement à un agent d une administration. Le certificat électronique est constitué de trois éléments indissociables suivants : 1 Les informations concernant l identité du titulaire (nom, prénom, email ), son organisation (association ou administration ), la période de début et de fin de validité du certificat, l identité de l autorité de certification qui l a généré, les fonctionnalités autorisées du certificat, l adresse concernant l accès à la politique de certification de l autorité ainsi que l adresse de la liste des certificats révoqués ; 2 La clé privée ; 3 La clé publique. Le certificat, est constitué d une clé publique et d une clé privée associée qui doit rester secrète (on parle de certificat à clé asymétrique) qui est confinée dans un support matériel cryptographique : une clé USB cryptographique ou une carte à puce, par exemple. L autorité de certification est un prestataire qui produit des certificats, pour le compte d utilisateurs. L autorité de certification signe le certificat (avec sa propre clé privée), garantissant ainsi l intégrité du certificat et la véracité des informations contenues dans les certificats qu elle émet. L autorité de certification assure le lien entre l utilisateur (le futur signataire) et le certificat qu elle va émettre pour lui, en s assurant préalablement, par l examen de pièces d identité et le cas échéant, par une rencontre en face-à-face, de la véracité des informations fournies par le demandeur du certificat.
L application logicielle pour signer L application logicielle ou outil de signature permet d apposer la signature sur un document électronique. Vous pouvez utiliser les outils suivant : PDFCREATOR pour une signature PAdES*, XEMELIOS pour une signature XAdES*, XolidoSign pour une signature CAdES* ou PAdES. L horodatage Opération visant à associer à un fichier sa date et son heure de création ou de réception. Vous pouvez inclure dans votre signature basée sur certificat la date et l heure à laquelle vous signez le document. Les tampons temporels sont plus faciles à vérifier s ils sont associés à un certificat approuvé par une autorité. L inclusion d un tampon temporel au document aide à établir à quel moment vous l avez signé et réduit les risques de non-validité de la signature. Vous pouvez obtenir un tampon temporel d une autorité tierce ou de l autorité de certification qui vous a remis votre identification numérique. Les tampons temporels s affichent dans le champ de signature. Si un serveur de tampons temporels est configuré, le tampon temporel apparaît sous l onglet Date/Heure de la boîte de dialogue Propriétés de la signature. En l absence d un serveur de tampons temporels, le champ de signature affiche l heure locale de l ordinateur au moment de l apposition d une signature. Pour configurer un serveur de tampons temporels, vous devez connaître le nom du serveur et l URL. Keynectis utilise le serveur d horodatage suivant : http://kstamp.keynectis.com/ksign/ * Le RGS est un ensemble de règles de sécurité qui s imposent aux autorités administratives dans la sécurisation de leurs systèmes d information. Il propose également des bonnes pratiques en matière de sécurité des systèmes d information que les autorités administratives sont libres d appliquer. Le RGS a été approuvé par arrêté au journal officiel le 18 mai 2010 (Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques) * PAdES, PDF Advanced Electronic Signature (signature pour les fichiers pdf uniquement), * CAdES, CMS Advanced Electronic Signature (signature pour tous les types de fichiers), * XAdES, XML Advanced Electronic Signature (signature pour les fichiers XML uniquement),