Politique de certification de l AC portail de l armement pour les certificats les personnes physiques. Version 0.2

de l AC portail de l armement pour les certificats les personnes physiques. Version 0.2

Circuit de validation Nom Organisation Date Visa Rédigé par : Y.Quenec hdu Rédacteur 01/04/2005 Relecture par : Mr Krier DGA Approuvé par : Michel Maudet Chef de projet Historique des évolutions Ver Date Auteur Justificatif 0.1 28/03/2005 Y.Quenec hdu Écriture du document initial 0.2 08/04/2005 M. Maudet Relecture et modification du document - Page 2 sur 32

Sommaire Sommaire... 3 1 Glossaire... 6 2 Présentation du document... 9 2.1 Introduction... 9 2.2 Définition de la politique de certification... 9 2.3 Définition de la Déclaration des Pratiques de Certification (DPC)... 9 3 Politique de certification... 10 3.1 Présentation générale... 10 3.2 Nveau de sécurité préconisé dans l administration... 10 3.3 Niveau de sécurité de la PC de l AC portail de l armement... 11 3.4 Architecture de l IC portail de l armement... 11 3.5 Disposition générales... 12 3.5.1 Responsabilités des acteurs... 12 3.5.2 Obligations communes... 12 3.5.2 Obligation des demandeurs et titulaire de certificats... 13 3.5.3 Obligation de l AC portail de l armement... 13 3.5.4 Publication et services associés... 14 3.5.5 Règles générales de publication... 14 3.5.6 Accès aux publications... 14 3.5.7 Fréquence des mises à jour de l annuaire des certificats valides... 15 3.5.8 Fréquence des mises à jour des listes de certificats révoqués... 15 3.5.9 Audit et contrôles de conformité... 15 3.6 Politique de confidentialité... 15 3.6.1 Types d informations considérées comme non-confidentielles... 15 3.6.2 Types d informations considérées comme confidentielles... 15 3.6.3 Procédures de certification... 15 3.7 Responsabilité de l AC... 15 3.7.1 Règlement des litiges... 16 4 Mesures d identification et d authentification... 17 4.1 Demande de certificat Forme de l identifiant... 17 4.2 Procédures de résolution des litiges sur la revendication d un nom Unicité des identifiants... 17 4.3 Authentification de l identité d un individu... 17 4.4 Authentification d une demande de révocation... 18 4.5 Renouvellement après révocation... 18 5 Besoins opérationnels... 19 Page 3 sur 32

5.1 Génération d un certificat... 19 5.1.1 Demande de certificat... 19 5.1.2 Identification et authentification du demandeur auprès de l AC portail de l armement pour les société... 19 5.1.3 Identification et authentification du demandeur auprès de l AC portail de l armement pour les Personnes Publiques... 19 5.1.4 Génération du certificat... 20 5.1.5 Validation du certificat... 20 5.1.6 Révocation du certificat d un titulaire... 20 5.1.6.1 Causes possibles de révocation... 20 5.1.6.2 Origine possible de la demande de révocation... 21 5.1.6.3 Processus de demande de révocation... 21 5.1.6.4 Temps de traitement d une révocation... 22 5.1.6.5 Besoins exceptionnels... 22 5.1.7 Journalisation des événements... 23 5.1.7.1 Durée de conservation des journaux d événements... 23 5.1.7.2 Système de collecte des journaux... 23 5.1.7.3 Imputabilité... 23 5.1.8 Archives... 23 5.1.9 Changement de clé de l AC... 24 5.1.10 Compromission de la clé privée d une composante... 24 5.1.11 Cessation d activité de l AC portail de l armement... 24 6 Mesures de contrôles physiques, des procédures et du personnel... 25 6.1 Contrôles physiques... 25 6.1.1 Situation géographique... 25 6.1.2 Accès physique... 25 6.1.3 Electricité et air conditionné... 25 6.1.4 Expositions à l eau... 25 6.1.5 Prévention et protection contre le feu... 25 6.1.6 Conservation des médias... 26 6.2 Contrôle des procédures... 26 6.2.1 Rôles de confiance... 26 6.2.2 Nombre de personnes nécessaires à chaque tâche... 26 6.2.2.1 Contrôles du personnel... 26 6.2.2.2 Procédures préalables de contrôle... 26 6.2.2.3 Formation... 26 6.2.2.4 Sanctions pour des actions non-autorisées... 27 6.2.2.5 Contrôle du personnel contractant... 27 6.2.2.6 Documentation fournie au personnel... 27 7 Contrôle technique de sécurité... 28 7.1 Génération et installation des certificats... 28 7.1.1 Génération de certificat... 28 7.1.2 Délivrance de la clé publique d une AC... 28 7.1.3 Transmission de la clé publique à une AC... 28 7.1.4 Fourniture de la clé publique de validation d une AC aux utilisateurs 28 Page 4 sur 32

7.1.5 Taille des clés... 28 7.1.6 Mode de génération de clé... 29 7.1.7 Protection de clé privée... 29 7.1.8 Méthode de protection de la clé d AC,... 29 7.1.9 Autres aspects de la gestion des certificats... 29 7.1.9.1 Archivage des clés publiques... 29 7.1.9.2 Durée de vie des certificats... 29 8 Profils des certificats et listes de certificats révoqués... 30 8.1 Profil du certificat... 30 8.1.1 Identifiants d algorithmes... 32 8.1.2 contraintes de nom... 32 8.1.3 Identifiant de politique de certification... 32 8.1.4 Profils des LCR... 32 Page 5 sur 32

1 Glossaire Autorité de certification (AC CA) L'AC est responsable des Certificats signés en son nom et de l'ensemble de l'infrastructure à clés publiques qu'elle a mise en place. En particulier, l'ac assure les fonctions suivantes : Mise en application de la Politique de Certification, Émission des Certificats, Gestion des Certificats, Publication de la Liste des Certificats Révoqués (LCR), Journalisation et archivage des événements et informations relatives au fonctionnement de l'icp. L'AC assure ces fonctions directement ou en les sous-traitant, tout ou partie. Dans tous les cas, l'ac en garde la responsabilité. Autorité de certification Racine (AC Racine) Une relation de confiance hiérarchique peut lier des AC successives. Une Autorité est alors à la base de toutes les AC, on l appelle Autorité de Certification Racine (ACR ou AC Root). Elle est prise comme référence par la communauté d utilisateurs des certificats émis par ces AC. L Autorité est un élément essentiel de la confiance qui est accordée au certificat. Autorité d enregistrement (AE) L Autorité d'enregistrement est l interface entre le demandeur de certificat et l Autorité de Certification. Elle vérifie les données propres au demandeur de certificat ainsi que le respect des contraintes liées à l usage d un certificat, conformément à la Politique de Certification. Elle transmet ensuite ces données à l Autorité de Certification qui génère le certificat. L AE dépend directement de l Autorité de Certification. Elle intervient également lors de la réception de demandes de révocation de certificats. Autorité administrative (AA) Elle définit et fait appliquer la politique et les procédures de certification. Liste de Certificats Révoqués (LCR - CRL ) Liste comprenant les numéros de série des Certificats ayant fait l'objet d'une Révocation, signée par l'ac émettrice. OID Identificateur numérique unique enregistré conformément à la norme d'enregistrement ISO pour désigner un objet ou une classe d'objets spécifiques. OCSP (Online Certificate Statut Protocol) OCSP est défini dans le RFC2560. Le but d OCSP est de surmonter les limitations imposées par les CRL de base et de fournir une réponse immédiate et à jour aux questions sur le statut d'un certificat. Une information spécifique de révocation pour un certificat est retournée plutôt qu'une grande liste linéaire de recherche sous forme de CRL. Autorité d'enregistrement (AE-RA) L'AE est responsable des fonctions qui lui sont déléguées par l'ac, en vertu de la Politique de Certification. Page 6 sur 32

L'AE assure habituellement les fonctions suivantes : Gestion des demandes de Certificats, Vérification de l'identité des demandeurs de certificats Archivage des dossiers de demandes de Certificats, Vérification des demandes de révocation de Certificats. Infrastructure à Clés Publiques (ICP - IGC - PKI) Une PKI est un ensemble de technologies, organisations, procédures et pratiques qui supporte l implémentation et l exploitation de certificats basés sur la cryptographie à clés publique Politique de Certification Ensemble de règles, définissant les exigences auxquelles l'autorité de Certification se conforme dans la mise en place de prestations adaptées à certains types d'applications. La Politique de Certification doit être identifiée par un OID défini par l'autorité de Certification. Renouvellement d'un Certificat Opération effectuée à la demande d'un Porteur de Certificat ou en fin de période de validité d'un Certificat et qui consiste à générer un nouveau Certificat. Révocation d'un Certificat Opération demandée par le Porteur de Certificat ou le Responsable Habilité de la Société Cliente, par une AC, une AE, et dont le résultat est la suppression de la caution de l'ac sur un Certificat donné, avant la fin de sa période de validité. La demande peut être la conséquence de différents types d'événements tels que la compromission d'une biclé, le changement d'informations contenues dans un certificat, etc. L'opération de révocation est considérée terminée quand le certificat mis en cause est publié dans la Liste des Certificats Révoqués. Certificat Clé publique d'un Porteur de Certificat, ainsi que certaines autres informations rendues infalsifiables par la signature numérique de l'autorité de Certification qui l'a délivré. Un Certificat contient des informations telles que : l'identité du Porteur de Certificat, la clé publique du Porteur de Certificat, la durée de vie du Certificat, l'identité de l'autorité de Certification qui l'a émis, la signature de l'autorité de Certification qui l'a émis. Un numéro de série unique par AC Politique de Certification Ensemble de règles, définissant les exigences auxquelles l'autorité de Certification se conforme dans la mise en place de prestations adaptées à certains types d'applications. La Politique de Certification doit être identifiée par un OID défini par l'autorité de Certification. UTF-8 Format de transformation qui permet aux systèmes informatiques qui n'acceptent que les jeux de caractères codés sur 8 bits de convertir des caractères Unicode (codés sur 16 bits) en leurs équivalents codés sur 8 bits et inversement, sans perte d'informations. Page 7 sur 32

PKCS Cryptosystème à clé publique. Syntaxes développées par la RSA, elles concernent le chiffrement RSA, l'accord de Diffie-Hellman, le chiffrement basé sur les mots de passe, la syntaxe des certificats étendus, la syntaxe des messages chiffrés, la syntaxe des informations de clé privée et la syntaxe d'accréditation. PKCS #1 : décrit une méthode permettant de chiffrer les données à l'aide du système de cryptographie à clés publiques RSA. Elle permet l'élaboration de signatures et d'enveloppes électroniques. PKCS #5 : password based cryptographic PKCS #6 : Extended certificate syntax PKCS #7 : définit la syntaxe d'un message cryptographique, indique un format général pour les messages chiffrés. PKCS #8 : private key info syntax PKCS #9 : selected attribute type PKCS #10 : messages standard de demande de certificat PKCS #11 : Cryptoki, est une API développée par RSA Labs qui définit un jeu de fonctions cryptographiques utilisables par les applications locales. Un module logiciel qui offre des fonctions PKCS#11 se nomme également CRYPTOKI. PKCS#11 est une API alternative à CAPI. PKCS #12 : personnal info syntax (Echange d'informations personnelles), définit un format portable pour le stockage ou le transport des clés privées, certificats, informations confidentielles, etc. d'un utilisateur. Page 8 sur 32

2 Présentation du document 2.1 Introduction Le présent document comprend la Politique de Certification (PC) de l Autorité de Certification «Portail de l armement». Ce document expose les engagements de l'autorité de Certification «Portail de l armement» en ce qui concerne la délivrance de certificats numériques. L objectif de cette Autorité de Certification est de permettre l émission de certificats pour les utilisateurs des portails (industriels et acheteurs de la Défense) qui seront utilisés pour l authentification et la signature de plis sur la SCDM. Au regard de l intérêt primordial de la Politique de Certification et afin d établir la confiance à l égard des certificats délivrés, cette Politique de Certification doit être bien comprise et consultable par les titulaires de Certificats ainsi que par les Utilisateurs tiers de Certificats. 2.2 Définition de la politique de certification La Politique de Certification de l Autorité de Certification «Portail de l armement» est un ensemble de règles et de définitions fixant le niveau de sécurité de l environnement de création et d utilisation de certificats de signature, appelés certificats E-ACHATS, émis pour des personnes physiques. 2.3 Définition de la Déclaration des Pratiques de Certification (DPC) La Déclaration des Pratiques de Certification est un document confidentiel qui reprend l ensemble des pratiques utilisées par l Autorité de Certification «Portail de l armement». Ce document définit de façon complète et détaillée le processus de gestion du cycle de vie des certificats générés par cette Autorité de Certification. Page 9 sur 32

3 Politique de certification 3.1 Présentation générale Le présent document définit la Politique de Certification (PC) de l AC du portail de l armement de la Délégation Générale pour l Armement. Définition La Politique de Certification de l AC «Portail de l armement» est un ensemble de règles et de définitions fixant le niveau de sécurité de l environnement de création et d utilisation de certificats de signature, émis par le portail de l armement aux bénéfices des titulaires. Principes de l Infrastructure de Confiance (IC) Identification par authentification auprès du portail de l armement Les certificats client ont une durée de validité de trois ans. Les certificats de l AC subordonnées du portail de l armement ont une durée de validité de douze ans et une durée de vie de 40 ans pour l AC Racine. 3.2 Nveau de sécurité préconisé dans l administration La DCSSI, dépendant du Premier Ministre de la République Française, propose un cadre pour définir une politique de certification dans les administrations, en particulier les ministères de l'économie, des Finances et de l'industrie, de la Justice, de l'emploi et de la Solidarité, de la Défense, de l'intérieur, de l'équipement et des Transports. Le tableau suivant, extrait de la PC 2 - Politique et procédures de Certification de clés de la Commission Interministérielle de la Sécurité des Systèmes d Information (CISSI), présente les politiques recommandées en fonction du niveau d assurance sécurité recherché: Niveau d'assurance Besoin de sécurité PC recommandée par la CISSI Niveau basique Authentification Confidentialité Cette politique est adaptée aux applications d'authentification nécessitant un niveau d'assurance peu élevé Cette politique est adaptée aux applications de confidentialité nécessitant un niveau d'assurance PC2_A1 PC2_C1 Page 10 sur 32

peu élevé Niveau moyen Authentification Confidentialité Cette politique est adaptée aux applications d'authentification traitant des données sensibles, mais non classifiées de défense Cette politique est adaptée aux applications de confidentialité traitant des données sensibles mais non classifiées de défense PC2_A2 PC2_C2 Niveau élevé Authentification Confidentialité Cette politique est adaptée aux applications d'authentification traitant des informations très sensibles et notamment des informations classifiées de défense Cette politique est adaptée aux applications de confidentialité traitant des données très sensibles et notamment des informations classifiées de défense PC2_A3 PC2_C3 3.3 Niveau de sécurité de la PC de l AC portail de l armement Les recommandations de la DCSSI en matière de politique de certification dépendent du besoin de sécurité des applications concernées. La PC de l AC portail de l armement couvre des applications d authentification traitant des données sensibles, mais non classifiées de défense. Afin d être au niveau de certification préconisé par la DCSSI, cette PC suit les recommandations PC2_A2. Niveau d'assurance Besoin de sécurité PC appliquée Certificat de type 3 Authentification Cette politique est adaptée aux applications d'authentification traitant des données sensibles, mais non classifiées de défense PC2_A2 3.4 Architecture de l IC portail de l armement L architecture de l Infrastructure de Confiance (IC) doit permettre une évolution de la politique de certification et doit autoriser l intégration efficace de nouvelles entités sans remettre en cause l existant. Page 11 sur 32

Le processus de l IC est le suivant : Phases 1 2 Descriptif Présentation du demandeur sur le portail de l armement L utilisateur s authentifie par son identifiant et son mot de passe précédemment récupéré lors du processus d enregistrement auprès du portail L utilisateur réalise une demande de certificat auprès du portail La demande est transmise de manière sécurisée à l Autorité de certification racine L'autorité de certification génère les certificats. Il transfère le certificat par voie électronique sécurisée au demandeur. L utilisateur récupère de façon immédiate son certificat. 3 Les contrôles nécessaires à l attribution de certificats pour les personnes publiques sont réalisées lors des phases d inscription. Pour les sociétés uniquement, un pli recommandé est adressé par courrier postal au demandeur afin de réaliser un contrôle face à face. Le demandeur doit retirer ce pli sous une période maximum de 15 jours. Le demandeur doit valider son certificat sur le portail avec un code d activation fournit dans le pli recommandé 4 Les administrateurs du portail possédant le droit de gestion des certificats valident ensuite le certificat de façon définitive au travers d un écran de validation. 5 Le certificat est alors considéré comme valide 3.5 Disposition générales 3.5.1 Responsabilités des acteurs La réussite d une infrastructure de gestion de clefs publiques (IGC) repose sur une parfaite communication entre les différentes autorités et les titulaires de certificats. Chacune des parties tient un rôle bien déterminé dans l organisation de certification. 3.5.2 Obligations communes Les obligations suivantes sont communes à tous les acteurs de la certification : Page 12 sur 32

Protéger et garantir l intégrité et la confidentialité de leurs clés privées. N utiliser leurs clés publiques et privées qu aux fins d authentification et de non répudiation. Respecter les accords ou contrats qui les lient entre eux. Documenter leurs procédures internes de fonctionnement Mettre en œuvre les moyens (techniques et humains) nécessaires à la création, à l utilisation des certificats de l AC portail de l armement dans des conditions garantissant qualité et sécurité. 3.5.2 Obligation des demandeurs et titulaire de certificats Les demandeurs et les titulaires de certificats doivent : Lors de la demande de certificat, ne fournir que des renseignements et documents exacts. Vérification avec une pièce d identité et une feuille de mission pour les personnes publiques qui sont validées par les administraterus du portail possédant le droit de gestion des certificats. Respecter les conditions d utilisation de leur clé privée et du certificat correspondant Protéger leur clé privée par des moyens appropriés à leur environnement Informer l Autorité de certification par l établissement d une demande de révocation pour toute compromission ou suspicion de compromission. Respecter l usage pour lequel les certificats ont été émis. Vérifier la signature numérique de l AC portail de l armement et la chaîne incluant l AC portail de l armement Contrôler la validité des certificats (dates de validité et statut de révocation 3.5.3 Obligation de l AC portail de l armement La Délégation Générale pour l Armement joue un rôle institutionnel d'identifiant des titulaires en étant Autorité d Enregistrement (AE) et d autorité de certification en étant l émetteur des certification La Délégation Générale pour l Armement est Autorité de Certification (AC) pour les titulaires de certificats. Les obligations sont les suivantes : Pouvoir démontrer aux Utilisateurs tiers de certificats, qu elle a émis un certificat pour un demandeur donné et que ce certificat accepté n est pas révoqué Prendre toutes les mesures raisonnables pour s assurer que ses porteurs sont informés de leurs droits et obligations notamment en ce qui concerne l utilisation et la gestion des clés, des certificats ou encore les équipements et des logiciels nécessaires à leur utilisation. Tenir à disposition des titulaires de certificats la notification de révocation du certificat d une composante de l AC portail de l armement ou d un titulaire de certificat Vérification par l AA de l authenticité et de l exactitude des données personnelles d identification présentées par les demandeurs de certificats. Définition des données à faire apparaître dans le gabarit du certificat Enregistrement des demandes de certificats Page 13 sur 32

Délivrance d un dépôt de demande de certificat Génération des certificats Publication des certificats Vérification de l origine et de l exactitude des demandes de révocation de certificat. Enregistrement des demandes de révocation de certificat Révocation de certificats et publication des listes de certificats révoqués Notification de révocation de certificat au porteur Journalisation et archivage des événements et informations relatives au fonctionnement de l IGC o o o Accès aux systèmes physiques Modifications des systèmes et des applications Opérations effectuées grâce aux applications de l AC ou de l AE 3.5.4 Publication et services associés Les informations publiées sur le portail de l armement sont les suivantes : La politique de certification Les listes de certificats révoqués (LCR) Le certificat des AC subordonnées et celui de l AC Racine. La liste des certificats comporte des informations contrôlées et à jour, protégées en intégrité et dont l accès en écriture est exclusivement réservé au personnel de l AC après authentification. 3.5.5 Règles générales de publication La publication d un événement est réalisée en temps réel après validation de ce dernier et, au plus tard dans un délai de 24 heures. Le délai de publication court à partir des moments suivants : pour la politique de certification : à compter de sa création et de sa modification pour la liste des certificats révoqués : à compter de la réception de la demande de révocation. Le délai de 24 heures doit être raccourci, tant que faire se peut, dans le cas de la constatation par l AC d un incident majeur tel que la perte, la suspicion de compromission, la compromission, le vol de la clé privée de la clé racine. 3.5.6 Accès aux publications L AC est responsable de la mise en oeuvre d une politique de sécurité adaptée à l accès aux publications dont l intégrité doit être protégée. Les documents et listes ci-dessus sont mis à jour par le personnel habilité de l Autorité de Certification qui, seul, y a accès en écriture. Page 14 sur 32

3.5.7 Fréquence des mises à jour de l annuaire des certificats valides L annuaire de certificats valides est mis à jour instantanément à chaque génération de certificats. 3.5.8 Fréquence des mises à jour des listes de certificats révoqués La mise à jour, par l AC, de la liste de certificats révoqués a lieu dans un délai inférieur à 24 heures après une révocation. De façon systématique, au moins une mise à jour hebdomadaire est effectuée. 3.5.9 Audit et contrôles de conformité Chaque composante de l IC (AC, AE, ) est conforme à la politique de certification en vigueur, et ce préalablement à la mise en exploitation de ses services. 3.6 Politique de confidentialité 3.6.1 Types d informations considérées comme non-confidentielles Politique de certification 3.6.2 Types d informations considérées comme confidentielles Listes des certificats révoqués Déclaration des Pratiques de Certification Formulaire de demande de révocation de certificat et dossier associé Données d activation des clés privées (ne sont connues que du porteur). Clés privées des composantes. Clés privées d un utilisateur (ne sont connues ni de l AC ni de l AE). Journaux d événements de l AC et de l AE. 3.6.3 Procédures de certification La Déclaration des Pratiques de Certification et les procédures associées sont confidentielles. 3.7 Responsabilité de l AC L AC et l ensemble de ses composantes entendent se conformer aux termes et conditions de la Politique de certification. L AC fait son affaire personnelle de toute conséquence dommageable résultant du non-respect de sa Page 15 sur 32

PC par elle-même ou l une de ses composantes. 3.7.1 Règlement des litiges Cette politique de certification est soumise à la loi française. Les litiges entre partenaires de l ICP seront soumis, à l appréciation des tribunaux compétents Page 16 sur 32

4 Mesures d identification et d authentification 4.1 Demande de certificat Forme de l identifiant Pour les sociétés : Les informations d un demandeur de certificat comprend l identifiant, nom, le prénom du demandeur, l adresse électronique du demandeur, son adresse postale. La vérification des pièces justificatives aura été réalisée au préalable. Pour les personnes publiques : Les informations d un demandeur de certificat comprend l identifiant, nom, le prénom du demandeur, l adresse électronique du demandeur, un document numérisé de sa pièce d identité, un document numérisé nommé «justificatif de fonction». 4.2 Procédures de résolution des litiges sur la revendication d un nom Unicité des identifiants Pour permettre d inclure dans un certificat un nom identique à celui d un certificat déjà émis, l identifiant est ajouté au certificat sous la forme d un champ «uid» dans le DN pour obtenir l unicité du DN au moment de la génération du certificat. 4.3 Authentification de l identité d un individu L authentification de l identité d un demandeur est basée sur les éléments suivants : Société : Identifiant Nom, Prénom, Nom de la société Personnes Publiques : Identifiant Nom, Prénom, Page 17 sur 32

document numérisé de sa pièce d identité document numérisé nommé «justificatif de fonction». Le demandeur doit se présenter auprès du portail après authentification par son identifiant et son mot de passe afin de réaliser sa demande de certificats. 4.4 Authentification d une demande de révocation Lorsqu un titulaire de certificat souhaite réaliser une demande de révocation, il doit se présenter directement auprès du portail ou adresser cette demande auprès de l administrateur de sa société. Pour les personnes publiques la révocation est réalisée par le porteur du certificat ou par les administrateurs du portail possédant le droit de gestion des certificats. Il doit réaliser sa demande par le même processus que celui défini pour l enregistrement d une demande de certificat, c'est-à-dire par démarche spécifique et personnelle auprès du portail. 4.5 Renouvellement après révocation Après révocation, une nouvelle demande de certificat peut-être formulée par le demandeur dans les conditions initiales de demande de certificat. Il n y a pas de processus de renouvellement spécifique. Page 18 sur 32

5 Besoins opérationnels 5.1 Génération d un certificat 5.1.1 Demande de certificat Le demandeur accède au portail de l armement et choisi le menu demande de certificat. 5.1.2 Identification et authentification du demandeur auprès de l AC portail de l armement pour les sociétés L authentification et l identification de l utilisateur sont réalisées par authentification auprès du portail de l armement après saisi de son identifiant et de son mot de passe. L identifiant et le mot de passe ont été attribués à l utilisateur lors de son inscription sur les portails de l armement. Lors de cet enregistrement, le demandeur présente : Identifiant de l utilisateur Nom de l utilisateur Adresse de courrier électronique Adresse de courrier postale Les informations présentées constituent le dossier d enregistrement. L AEL du portail enregistre la demande de certificat et adresse au demandeur un courrier électronique et un pli recommandé qui permettra la validation du certificat. Le dossier d enregistrement est copié dans la base de données du portail de l armement 5.1.3 Identification et authentification du demandeur auprès de l AC portail de l armement pour les Personnes Publiques L authentification et l identification de l utilisateur sont réalisées par authentification auprès du portail de l armement après saisi de son identifiant et de son mot de passe. Lors de cet enregistrement, le demandeur présente : Identifiant de l utilisateur Nom de l utilisateur Adresse de courrier électronique document numérisé de sa pièce d identité document numérisé nommé «justificatif de fonction». Page 19 sur 32

Les informations présentées constituent le dossier d enregistrement. L AEL du portail enregistre la demande de Le dossier d enregistrement est copié dans la base de données du portail de l armement 5.1.4 Génération du certificat La génération d un certificat et de la clé privée associée se déroule de la façon suivante : L AEL du portail fabrique et transmet le gabarit de certificat à l AC. L AC authentifie l AEL L AC génère le certificat et le signe L AC conserve une copie de la clé publique du certificat dans le service de publication L AC transmet le certificat au demandeur au travers de l AEL du portail La signature du certificat est faite dans un module cryptographique évalué au niveau EAL4 des Critères Communs, au niveau FIPS 140-2 Level 2. 5.1.5 Validation du certificat Pour les Personnes Publiques, le certificat est généré et délivré à l utilisateur. Les administrateurs du portail possédant le droit de gestion des certificats peuvent toutefois révoquer le certificat. Pour les sociétés : Le demandeur reçoit un pli recommandé à l adresse indiquée lors de la demande. Si, dans les quinze jours à compter du retrait de son certificat, le demandeur n a pas validé son certificat, par saisie de l identifiant contenu dans le pli recommandé, le certificat est considéré comme non valide. Les administrateurs du portail possédant le droit de gestion des certificats doivent alors révoquer le certificat. 5.1.6 Révocation du certificat d un titulaire 5.1.6.1 Causes possibles de révocation Les causes possibles de révocation du certificat sont les suivantes: Compromission, suspicion de compromission, vol ou perte de la clé privée du titulaire du certificat. Demande de révocation émise par l administrateur du portail ou par l administrateur de la société ou par l AC ou par le titulaire. Révocation du certificat de l AC émettrice du certificat. Changement d informations contenues dans le certificat (changement de fonctions de l utilisateur, changement de nom, etc.) Décès du porteur ou cessation d activité du porteur du certificat. Page 20 sur 32

Chaque titulaire d un certificat est sous l'autorité de la Délégation Générale pour l Armement. Dès qu un changement intervient (ex : cessation d activité, radiation,...), une demande de révocation est réalisée sur le portail de l armement qui en informe l Autorité de certification afin que celle-ci génère la révocation du ou des certificats de signature du titulaire en question. 5.1.6.2 Origine possible de la demande de révocation La demande de révocation peut être réalisée par plusieurs types de personnes : Le titulaire de certificat Le groupe d administrateur du portail possédant les droits de gestion des certificats L administrateur de la société L autorité de certification 5.1.6.3 Processus de demande de révocation 5.1.6.3.1 Demande de révocation à l initiative du titulaire du certificat Si un titulaire de certificat souhaite réaliser une demande de révocation directement auprès du portail, cette demande doit être réalisée par le même processus que celui défini pour une demande de certificat, c'est-à-dire par démarche spécifique et personnelle auprès de l AEL. Les seules informations à valider sont : Identifiant de l utilisateur Nom de l utilisateur Adresse de courrier électronique Il doit en complément spécifier la cause de la révocation. A réception de la demande de révocation : L AC révoque le certificat et met à jour l annuaire des certificats valides et la base de données du portail L AC met à jour et signe la liste des certificats révoqués et la publie sur le site du portail L AC adresse à l AEL une notification de révocation. L AEL transmet la notification de révocation au titulaire. 5.1.6.3.2 Demande de révocation à l initiative du groupe d administrateur du portail possédant les droits de gestion des certificats Si un d administrateur du portail possédant les droits de gestion des certificats de certificat souhaite réaliser une demande de révocation, il doit s authentifier auprès de l AEL du portail. Le processus de révocation est le suivant : Recherche du porteur de certificat qui doit révoquer Sélection du porteur spécifier la cause de la révocation valider la demande de révocation Page 21 sur 32

A réception de la demande de révocation, L AC révoque le certificat et met à jour l annuaire des certificats valides et la base de données du portail L AC met à jour et signe la liste des certificats révoqués et la publie sur le site du portail L AC adresse à l AEL une notification de révocation. L AEL transmet la notification de révocation au titulaire 5.1.6.3.3 Demande de révocation à l initiative de l administrateur de la société Si un d administrateur de société souhaite réaliser une demande de révocation pour un collaborateur de sa société, il doit s authentifier auprès de l AEL du portail. Le processus de révocation est le suivant : Recherche du porteur de certificat qui doit révoquer Sélection du porteur spécifier la cause de la révocation valider la demande de révocation A réception de la demande de révocation, L AC révoque le certificat et met à jour l annuaire des certificats valides et la base de données du portail L AC met à jour et signe la liste des certificats révoqués et la publie sur le site du portail L AC adresse à l AEL une notification de révocation. L AEL transmet la notification de révocation au titulaire 5.1.6.4 Temps de traitement d une révocation Les demandes de révocation sont traitées dans un délai inférieur à 24 heures, mise à jour et publication de LCR à jour comprise, selon les modalités précitées. 5.1.6.5 Besoins exceptionnels 5.1.6.5.1 Révocation du certificat de l AC Les causes de révocation du certificat de l AC: Compromission, suspicion de compromission, vol ou perte de la clé privée de l AC Décision suite à un contrôle de conformité Cessation d activité de l AC. Les implications de la révocation du certificat de l AC sont : Révocation de tous les certificats émis par l AC Page 22 sur 32

5.1.7 Journalisation des événements Tous les événements concernant l IGC sont enregistrés et consultables uniquement en se connectant sur l interface privée de l outil InterPKI. Chaque événement contient les éléments suivants : Destinataire de l opération Nom de l exécutant Date et heure de l opération, L opération réalisée Résultat de l événement (échec ou réussite). 5.1.7.1 Durée de conservation des journaux d événements Chaque composante de l IC conserve de manière sécurisée les journaux pendant un mois, pour les besoins des contrôles et analyses prévus par cette PC. Les journaux sont, ensuite, archivés de manière sécurisée 5.1.7.2 Système de collecte des journaux Le système de collecte des journaux est interne à chaque composante de l IGC. Il est déclenché au démarrage du système informatique et reste actif jusqu à son arrêt. Le contournement du processus de journalisation est impossible. 5.1.7.3 Imputabilité L imputabilité d une action revient à la personne, l organisme ou le système l ayant exécutée et dont le nom figure dans le champ «nom de l exécutant» du journal d événements. 5.1.8 Archives L archivage est indispensable pour garder une trace des actions effectuées. Les types de données à archiver sont les suivants : Les OS (fichiers de configuration) et les applications de certification des diverses composantes la PC (après création puis chaque modification) la DPC (après création puis chaque modification) les listes de certificats et LCR tels qu émis ou publiés (archivage mensuel en début de chaque mois) les informations concernant les certificats (statuts, causes de révocation, etc.) les journaux d événements dont ceux des événements des titulaires de certificat sur l IGC (type d action, données saisies, ) Page 23 sur 32

les données issues du portail et du serveur de certification de l AC les actions de destruction des supports contenant des clés, des données d activation ou des renseignements personnels sur les abonnés les listes de personnel de l AC 5.1.9 Changement de clé de l AC Lorsque l AC change de clé, elle en informe les titulaires, avec un préavis de 3 mois. 5.1.10 Compromission de la clé privée d une composante En cas de compromission de la clé privée d une AC, son certificat est révoqué et les certificats qu elle a émis sont révoqués automatiquement. En cas de révocation du certificat d une composante de l IGC (AC ou autre), la composante est mise hors service jusqu à la réussite d un nouveau contrôle de conformité après la génération d un nouveau biclé. L AC s engage à communiquer avec un préavis de trois mois son intention de cesser son activité ; L AC s engage à mettre en œuvre tous les moyens dont elle dispose pour informer ses partenaires ainsi que les titulaires de certificats, de ses intentions. 5.1.11 Cessation d activité de l AC portail de l armement L AC portail de l armement en cas de cessation de son activité doit : Communiquer avec trois mois de préavis son intention de cessation d activité. Mettre en œuvre tous les moyens dont elle dispose pour informer ses partenaires et titulaires de ses intentions Révoquer tous les certificats valides qu elle a signés Révoquer ou faire révoquer son certificat Regrouper les archives ainsi que l ensemble des données dont dispose l AEL du portail avec celles de l AC et les remettre à une AC avec laquelle elle a convenu d accords particuliers, ou à l autorité officielle compétente si cela est envisageable. Page 24 sur 32

6 Mesures de contrôles physiques, des procédures et du personnel 6.1 Contrôles physiques 6.1.1 Situation géographique Le site où est implanté l AC et les AEL sont situés chez le prestataire Internet de la Délégation Générale pour l Armement. Au jour de la rédaction de ce document, il s agit de la société Colt Telecom située : 63 bvd Bessières 75017 Paris (Métro : Porte de St Ouen) 6.1.2 Accès physique L accès physique aux locaux d une des composantes de l IC est protégé contre tout accès non autorisé. De plus, pour l AC, la sécurité existante est renforcée par la mise en oeuvre de carte cryptographique En dehors des heures ouvrables, tout accès aux locaux est interdit et les locaux de l AEL sont fermés à clés. 6.1.3 Electricité et air conditionné La prévention physique contre des incidents matériels est effectuée en conformité avec les recommandations des constructeurs de matériels. Le portail de l armement est climatisé ainsi que celle de l'ac du portail de l armement 6.1.4 Expositions à l eau La salle sécurisée est protégée contre les inondations. La salle sécurisée ne comporte pas de point d eau. 6.1.5 Prévention et protection contre le feu La prévention physique et la protection contre le feu sont effectuées en conformité avec les règles en vigueur. Page 25 sur 32

6.1.6 Conservation des médias Les médias sont conservés dans des enceintes sécurisées dont l accès est restreint et contrôlé. Les personnes qui accèdent à ces supports sont habilitées. 6.2 Contrôle des procédures 6.2.1 Rôles de confiance Afin de veiller à la séparation des tâches critiques, on distingue quatre rôles au sein des composantes: portail de l AE Le groupe d administrateur du portail possédant les droits de gestion des certificats Ingénieur Système Administrateur Autorité de certification Ingénieur Système Administrateur Responsable de la sécurité, Plusieurs rôles sont attribués à une même personne, mais de telle sorte que cela ne dégrade pas la sécurité des services offerts. 6.2.2 Nombre de personnes nécessaires à chaque tâche Le nombre de personnes nécessaires à l exécution des différentes tâches de l AC et de l AEL varie selon le type d opération, le nombre et le type des personnes présentes (en tant qu acteurs ou témoins). Ces précisions confidentielles sont apportées dans la DPC. 6.2.2.1 Contrôles du personnel Des mesures de contrôle du personnel permettent d éviter les erreurs, les accidents et les malveillances. 6.2.2.2 Procédures préalables de contrôle L IGC s engage à mettre en oeuvre tous les moyens légaux dont elle dispose pour contrôler l honnêteté et la compétence du personnel de l IC. 6.2.2.3 Formation Les exploitants des composantes sont régulièrement formés aux politiques de sécurité, au plan antisinistre, aux procédures internes, aux logiciels et opérations mises en œuvre dans leurs composantes Page 26 sur 32

6.2.2.4 Sanctions pour des actions non-autorisées L AC portail de l armement décide des sanctions à appliquer lorsqu un personnel abuse de ses droits ou effectue une opération non conforme à ses attributions. 6.2.2.5 Contrôle du personnel contractant Le personnel contractant respecte les mêmes conditions que celles énoncées dans les rubriques précédentes. 6.2.2.6 Documentation fournie au personnel Les documents dont dispose le personnel sont les suivants : Politique de certification, Procédures internes de fonctionnement, Documents constructeurs des matériels et logiciels utilisés. Page 27 sur 32

7 Contrôle technique de sécurité 7.1 Génération et installation des certificats 7.1.1 Génération de certificat Le certificat est généré par l AC. L AC signe les certificats de signature directement dans un module cryptographique évalué FIPS 140-2 Level 2. 7.1.2 Délivrance de la clé publique d une AC La délivrance de la clé publique d une AC à ses partenaires (utilisateurs finaux, autres composantes de l IGC ou autres IGC avec lesquelles existent des croisements de certification) est effectuée par un lien HTTP. La clé publique de l AC est accessible sur le portail de l armement 7.1.3 Transmission de la clé publique à une AC La délivrance de la clé publique des utilisateurs à l AC est effectuée au travers d une requête de certification signée à l aide de la clé privée correspondant à la clé publique (PKCS#10 ou SPKAC). Cette opération s effectue lors de l enregistrement auprès de l AEL du portail, soit par extraction du PKCS#10 ou SPKAC de la carte à puce, s il s agit de clé de certification sur ressource matérielle, soit par génération du PKCS#10 ou SPKAC par l AEL dans le cas de clé de certification logicielle, ce PKCS#10 ou SPKAC étant ensuite transmis par réseau à l AC. 7.1.4 Fourniture de la clé publique de validation d une AC aux utilisateurs Les clés publiques des AC sont diffusées sous la forme de certificat numérique X509 V3 auprès du portail de l armement qui les rend disponibles aux utilisateurs. 7.1.5 Taille des clés La taille des clés publiques d AC utilisées à des fins d authentification et de signature est de 2048 bits. La taille des clés publiques d utilisateur utilisées à des fins d authentification et de signature est de 1024 bits. Page 28 sur 32

7.1.6 Mode de génération de clé La génération de clé del AC est réalisée par une ressource cryptographique qui a été évalué FIPS 140-2 Level 2 Les clefs des utilisateurs société sont générées depuis leur navigateur ou depuis un dispositif de carte à puce. Selon la politique interne de la société. Pour les Personnes Publiques les biclés sont produits par la carte à puce 7.1.7 Protection de clé privée Les clés privées des titulaires, destinées à des certificats de signature, sont sous la responsabilité pleine et entière des titulaires. 7.1.8 Méthode de protection de la clé d AC, La clé privée de l'ac est conservée sous forme chiffrée sur le disque dur d'un serveur. Seul l'équipement cryptographique (NCipher) est capable de déchiffrer la clé privée de l'ac, cette opération n'étant effectuée qu'à l'intérieur du crypto processeur. 7.1.9 Autres aspects de la gestion des certificats 7.1.9.1 Archivage des clés publiques Les clés publiques ne sont pas archivées séparément des certificats. Les certificats des utilisateurs sont archivés et conservés par l AC pendant la durée de vie. 7.1.9.2 Durée de vie des certificats Les certificats des utilisateurs ont une durée de vie de 3 ans. La vie des certificats serveurs s arrête à la fin de leur période de validité. Le certificat de l AC Racine a une durée de vie 48 ans Les certificats des AC subordonnées ont une durée de vie de 12 ans Page 29 sur 32

8 Profils des certificats et listes de certificats révoqués 8.1 Profil du certificat Les certificats concernés par cette PC incluent les champs de base et des extensions définis dans la recommandation X.509 v3 (norme 9594-8) (RFC 3280). Les certificats sont réservés à des usages de signature électroniques et à des usages d authentification. EXTENSIONS DES CERTIFICATS Version (version du certificat) Numéro de série (du certificat) Algorithme de signature Emetteur (identité de l'ac qui a émis le certificat V3 Numéro de série du certificat Sha1RSA CN=E-ACHATS, O=portail armement, c=fr CN (Common Name) = Nom de l'ac qui a émis le certificat O (Organization name) = portail armement C ( Country Name) = FR Valide à partir du Valide jusqu'au Objet Date de génération du certificat Date de fin de validité du certificat Uid = identifiant sur le portail de l armement E = adresse mail du titulaire du certificat CN (Common Name) = Prénom et Nom du titulaire du certificat OU (Organisational Unit Name) = identifie le type de certificat : societe ou Personne Publiques OU (Organization Unit name) = de quelle AC subordonnées dépend le porteur du certificat : E-ACHATS O (Organization name) = portail armement C ( Country Name) = FR Page 30 sur 32

Clé publique NetscapeCertType Clé publique associée au certificat du titulaire de certificat Authentification de client SSL SMIME(AO) NetscapeComment Certificat de signature Identificateur de la clé du sujet,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Identificateur de la clé de l'autorité Autre nom de l'objet Autre nom de l'émetteur ID de la clé =,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Nom RFC822 = email du titulaire Nom RFC822 = email de l'émetteur Utilisation avancée de la clé Authentification de client WWW TLS (1.3.6.1.5.5.7.3.2) Signature de code (1.3.6.1.5.5.7.3.3) Stratégie de certificat Stratégie de certificat : Point de distribution de la liste de révocation de certificats Protection de courrier électronique (1.3.6.1.5.5.7.3.4) identifiant de la politique de certification : OID Contrainte de base type d'objet = Entité finale Contrainte de longueur de chemin d'accès = aucun Utilisation de la clé Signature numérique chiffrement de données clef de chiffrement Non-répudiation Algorithme d'empreinte numérique SHA1 Empreinte numérique,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Page 31 sur 32

8.1.1 Identifiants d algorithmes Les identifiants d algorithmes sont ceux prévus par la PC-type du MINEFI. 8.1.2 contraintes de nom Le nom de type ASN1 contenu dans un certificat est imposé par le portail de l armement 8.1.3 Identifiant de politique de certification Le nom identifiant de cette politique est : A COMPLETER! La référence est : «01042005» est la date de création du document. L OID de l organisation DGA a été attribué et enregistré par l AFNOR ou IANA : Les OID des PC dépendant de la DGA ont la forme suivante : L OID de la PC portail de l armement : A COMPLETER! 8.1.4 Profils des LCR Les LCR incluent les champs de la version 2 de la norme X509 sur les LCR, ainsi que des extensions prévues par la CISSI. Ces champs sont : version : version de la LCR signature : signature de l AC pour authentifier la LCR issuer : nom de l AC qui signe la LCR thisupdate : date de publication de la LCR nextupdate : date de publication de la prochaine mise à jour de la LCR authoritykeyidentifier (champ renseigné contenant un identifiant unique (keyidentifier) CRLNumber : Elle contient le numéro de série de la LCR revokedcertificates : séquence des certificats révoqués avec pour chacun les champs suivants o o o usercertificate : numéro de série du certificat révoqué revocationdate : date de révocation du certificat crlextensions : liste des extensions de la LCR Les extensions de la LCR décrites ci-dessous sont conformes au RFC 3280 Page 32 sur 32