Procédure de gestion des clés de cryptage ERTMS

Procédure de gestion des clés de cryptage ERTMS Document d'exploitation Version 1 du 05-12-2013 Applicable à partir du 20-12-2013 RFF (IG IF 6 A 13 n 1) RFN-IG-IF 06 A-13-n 001

Sommaire Article 1. Préambule...5 1.1. Origine de la création du document...5 1.2. Objet...5 1.3. Abréviations utilisées...5 1.4. Glossaire...6 CHAPITRE 1 : GÉNÉRALITÉS...7 Article 101. Rôle du KMS dans l'ertms...7 Article 102. Environnement technique du KMS...7 102.1. Schéma synoptique...7 102.2. Constituants en centre de maintenance des rames...8 102.2.1. Ordinateur fixe de transfert...8 102.2.2. Ordinateur portable de téléchargement...8 102.2.3. Réseaux informatiques...8 102.2.4. Communications entre sites...8 Article 103. Principe de fonctionnement des clés...8 103.1. KMC et clés ERTMS...8 103.2. Attribution, fonction et validité des clés...9 103.2.1. Clé KMAC...9 103.2.2. Clé KTRANS...9 103.3. Durée de validité nominale des clés...9 Article 104. Opérateurs du système...10 104.1. Opérateur du service d acceptation des rames équipées ERTMS sur le RFN...10 104.2. Gestionnaire du KMC...10 104.3. Opérateurs RBC KMAC et KTRANS du GID...10 Article 105. Planification des interventions de gestion des clés...10 105.1. Planning prévisionnel annuel de gestion des clés KMAC...10 105.1.1. Élaboration du planning...10 105.1.2. Règles de planification...11 105.2. Planning mensuel des interventions de gestion des clés KMAC...11 105.2.1. Transmission des demandes...11 105.2.2. Élaboration du planning...11 105.2.3. Règles de planification...12 105.3. Planification spéciale en cas de corruption...12 105.4. Interventions non planifiées...12 105.4.1. Interventions concernées...12 105.4.2. Coordination requise...12 105.4.3. Délai d'intervention...13 CHAPITRE 2 : PROCESSUS D'AUTORISATION...14 Article 201. Identification d'un équipement EVC...14 Article 202. Immatriculation des équipements EVC...14 Article 203. Gestion des demandes d'autorisation de circulation des EF...15 203.1. EF circulant sur le domaine de son KMC d'attache...15 203.2. EF circulant sur un domaine autre que celui géré par son KMC d'attache...15 CHAPITRE 3 : PROCÉDURE RELATIVE À LA GESTION DES CLÉS KMAC DES EVC...16 Article 301. EVC immatriculé et circulant sur le RFN...16 301.1. Création et changement de la clé KMAC...16 301.2. Retransmission des clés KMAC sans changement de la clé KTRANS...16 301.3. Retransmission des clés KMAC après changement de la clé KTRANS...16 301.4. Destruction de la clé KMAC...17 Article 302. EVC immatriculé sur le RFN et circulant sur un autre réseau...17 302.1. Création et changement de la clé KMAC...17 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page iii

302.2. Retransmission des clés KMAC sans changement de la clé KTRANS... 17 302.3. Retransmission des clés KMAC après changement de la clé KTRANS... 17 302.4. Destruction de la clé KMAC... 17 Article 303. Gestion des clés KMAC en dehors des cas d'interventions sur les EVC... 18 303.1. Initialisation des authentifications des trains avant leur mise en service sur le RFN... 18 CHAPITRE 4 : PROCÉDURE RELATIVE AUX OPÉRATIONS KTRANS DES EVC... 19 Article 401. Création d'une clé KTRANS... 19 Article 402. Changement d'une clé KTRANS... 19 Article 403. Retransmission d'une clé KTRANS... 19 CHAPITRE 5 : CORRUPTION DES CLÉS... 20 Article 501. Gestion des avis de corruption des clés... 20 501.1. Évènements liés à la corruption des clés... 20 501.2. Avis à lancer... 20 501.3. Moyens et délais pour la transmission de l'avis... 20 501.4. Déclaration d'une clé corrompue... 20 Article 502. Traitement des clés corrompues... 21 502.1. Disposition générale... 21 502.2. Délais de changement des clés... 21 CHAPITRE 6 : SÉCURITÉ... 22 Article 601. Ordinateur de téléchargement des clés des EVC... 22 Article 602. Réseaux informatiques... 22 Article 603. Sauvegardes locales... 22 Article 604. Locaux accueillant les constituants... 22 Article 605. Protection du risque de copie ou de lecture des clés de cryptage lors des opérations de maintenance ou de dépose... 23 Article 606. Chargement des clés... 23 Article 607. Conservation des clés... 23 607.1. Conditions de conservation... 23 607.2. Sauvegarde locale... 23 ANNEXE 1 CANEVAS DES FICHES TYPES LIÉES À LA GESTION DES CLÉS ERTMS... 25 ANNEXE 2 NOTIFICATION DE PRÉSOMPTION DE CORRUPTION... 31 ANNEXE 3 CANEVAS DU PLANNING MENSUEL D INTERVENTION... 35 Page iv RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Article 1. Préambule Le présent document d'exploitation est élaboré dans le cadre de l'article 10 du décret n 2006-1279 modifié relatif à la sécurité des circulations ferroviaires et à l'interopérabilité du système ferroviaire. Les prescriptions contenues dans ce document sont applicables par les exploitants ferroviaires concernés. 1.1. Origine de la création du document La création de ce document est liée à la mise en service du système de contrôle commande ETCS de niveau 2 sur la ligne à grande vitesse Est Européenne. 1.2. Objet Le présent document a pour objet de définir les conditions d exploitation du système de gestion des clés de cryptage utilisées dans le cadre de l ERTMS (European Rail Traffic Management System) et dénommé KMS (Key Management System). Il décrit : les fonctions du système de gestion des clés de cryptage, le rôle du centre de gestion des clés, dénommé KMC (Key Management Centre), les attributions des intervenants dans les procédures de gestion des clés. 1.3. Abréviations utilisées AFE Agence ferroviaire européenne CNOF Centre national des opérations ferroviaires COPIL Comité de pilotage CIR Carte d interface radio EF Entreprise ferroviaire ERTMS European Rail Traffic Management System (système européen de gestion des circulations) ETCS European Train Control System (système européen de contrôle des trains) EVC European Vital Computer (calculateur embarqué sur les rames pour le système ETCS) GI Gestionnaire d infrastructure GID Gestionnaire d infrastructure délégué GSM-R Global System for Mobile Communications Railway (GSM pour réseaux ferroviaires) KMAC Authentication Key (clé d authentification) KMC Key Management Centre (centre de gestion des clés) KMS Key Management System (système de gestion des clés) KTRANS Transport Key, made of KTRANS1 and KTRANS2 (clé de transport, basée sur KTRANS1 et KTRANS2) K-KMC Shared Key used between KMCs to exchange key material (clé partagée utilisée entre deux KMC pour l échange de matériel cryptographique) LGV EE Ligne à grande vitesse Est Européenne MOA Maîtrise d ouvrage MOE Maîtrise d œuvre RBC Radio Block Center (équipement sol pour les communications radio) RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 5

RCI REX RFF RFN SAM SICAM SILAM STI TEE Relevé de constatations immédiates Retour d expérience Réseau ferré de France Réseau ferré national Système d Aide à la Maintenance Système Informatique Central d Aide à la Maintenance Système Informatique Local d Aide à la Maintenance Spécifications Techniques d Interopérabilité Technicentre Est européen 1.4. Glossaire Authentification Contrat d Interopérabilité Corruption légère d une clé KTRANS Corruption lourde d une KTRANS Domaine ETCS Id Fichiers de commande Gestion des clés Immatriculation Un train, pour circuler en ERTMS, doit être authentifié dans les équipements RBC des lignes qu il va parcourir. L opération d authentification consiste à configurer les clés KMAC dans l EVC et tous les RBC requis. La configuration des clés KMAC se fait suivant les principes d attribution des clés définis sur le réseau. Dans tout le document, le terme authentification est lié aux opérations des clés KMAC. Contrat entre deux GI qui définit les conditions de gestion des clés de cryptage permettant la circulation des trains sur leurs réseaux respectifs. Corruption de la clé KTRANS sans qu il n y ait eu lecture ou présomption de lecture des clés KMAC décryptées. C est une corruption de la clé KTRANS accompagnée d une lecture ou présomption de lecture des clés KMAC décryptées. Un domaine est défini par un KMC et l ensemble des entités sol (RBC) utilisant ce KMC pour le management de leur clé ERTMS. Un domaine peut être confondu avec l intégralité du réseau, ou bien correspondre à une partie du réseau, à une ligne, etc. Ce choix est du ressort du gestionnaire d infrastructure. Identifiant d un équipement ERTMS. Il est unique pour chaque type d équipement. Fichiers employés pour le chargement des clés et des commandes associées dans les équipements EVC et RBC. La gestion des clés de cryptage utilisées pour l ERTMS est l ensemble des opérations qui consiste à configurer les équipements EVC et RBC avec les clés privées KMAC correspondantes. Ces opérations sont entre autres la création, la modification, la destruction des clés, leur diffusion, leur chargement dans les équipements, leur conservation, leur protection, etc. Pour réaliser les opérations de gestion des clés KMAC, les équipements EVC et RBC doivent au préalable être immatriculés dans le KMC. L opération d immatriculation consiste à configurer les équipements EVC et RBC avec une clé KTRANS. Dans tout le document, le terme immatriculation est lié aux opérations des clés KTRANS. Page 6 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Chapitre 1 : Généralités Article 101. Rôle du KMS dans l'ertms Dans le système ERTMS, les systèmes bord (EVC) et systèmes sol (RBC) échangent des informations cryptées. Lorsqu un train équipé ERTMS établit une communication avec un RBC, l authenticité des entités mises en communication et l intégrité des informations échangées sont vérifiées. Ces protocoles sont basés sur des techniques de cryptographie qui consistent à coder les données au moyen d une clé secrète connue seulement par les entités communiquant entre elles. La cryptographie met en œuvre plusieurs clés dont la gestion est assurée par un système de gestion dédié à l ERTMS, dénommé KMS. Le KMS gère les clés : d authentification des communications entre bord et sol (KMAC), de transmission des clés entre le gestionnaire du KMC et les services gérant les équipements bord (EVC) et sol (RBC) sur le RFN (KTRANS), de transmission des clés vers les gestionnaires de KMC des autres GI lorsqu un EVC doit communiquer avec les RBC de différents GI (K-KMC). Les règles et conditions de gestion des clés entre deux GI pour la circulation des trains doivent être reprises dans un contrat d interopérabilité passé entre les GI concernés. Article 102. Environnement technique du KMS 102.1. Schéma synoptique Le système de gestion des clés est composé des constituants suivants : RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 7

102.2. Constituants en centre de maintenance des rames 102.2.1. Ordinateur fixe de transfert L ordinateur fixe de transfert constitue le support de stockage intermédiaire entre le KMC et l outil de chargement des fichiers de commande des clés KMAC. 102.2.2. Ordinateur portable de téléchargement Cet ordinateur est destiné : au téléchargement des fichiers de commande des clés KMAC en provenance du KMC vers les EVC, au téléchargement des fichiers de commande des clés KTRANS dans les espaces mémoire spécifiques des EVC, à remonter vers le KMC les fichiers de confirmation d exécution de ces commandes en provenance des EVC. 102.2.3. Réseaux informatiques Le système nécessite un réseau informatique entre le site du KMC et l ordinateur fixe de transfert des centres de maintenance des rames équipées ERTMS. Le réseau informatique employé peut être un réseau ouvert. Toutes ces communications se font par des liaisons informatiques permanentes qui permettent l échange bidirectionnel de données. 102.2.4. Communications entre sites Chacun des sites où sont les opérateurs doit être en outre pourvu des moyens de communication suivants : un téléphone, un télécopieur. Article 103. Principe de fonctionnement des clés 103.1. KMC et clés ERTMS Le KMC est une base de données qui regroupe l ensemble des clés du système et qui fournit les fonctions liées à leur gestion et diffusion. Comme schématisé ci-après, le KMC permet de gérer 3 types de clés impliqués dans le système ERTMS : KMAC : clé d authentification des communications entre bord et sol, KTRANS : clé de cryptage pour l échange des clés KMAC entre le gestionnaire du KMC et les entités EVC et RBC, K-KMC : clé de cryptage pour l échange des clés KMAC entre les gestionnaires des KMC de deux GI. Page 8 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

KMC GI des autres lignes en contact Clé de transmission K-KMC Clé de transmission KTRANS Gestionnaire KMC GI donné Clé de transmission KTRANS Opérateur GID RBC Equipement sol Clé d authentification KMAC Opérateur EF EVC Equipement bord 103.2. Attribution, fonction et validité des clés 103.2.1. Clé KMAC Le principe d attribution des clés KMAC retenu prévoit une clé KMAC par EVC, employée pour l ensemble des communications avec les RBC sur un domaine donné. À l initialisation d une session de communication entre un RBC et un EVC, les entités entrant en communication s authentifient au moyen de la clé KMAC, commune et identique entre le sol et le bord. Chaque RBC et chaque EVC doivent disposer de clés KMAC valides et identiques. 103.2.2. Clé KTRANS Le principe d attribution des clés KTRANS retenu prévoit une clé KTRANS propre à chaque communication KMC-RBC et KMC-EVC. La clé KTRANS est utilisée : pour le transfert des clés KMAC entre l'entité gérant le KMC et les entités gérant les RBC (GID) et les EVC (EF), pour l'immatriculation des RBC et des EVC. 103.3. Durée de validité nominale des clés La durée de validité des différentes clés est la suivante : clé KTRANS : permanente dans le cadre de la maintenance préventive, clé KMAC : 99 ans. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 9

Article 104. Opérateurs du système 104.1. Opérateur du service d acceptation des rames équipées ERTMS sur le RFN Au sein de chaque GI, l opérateur de ce service a pour rôle d informer le gestionnaire du KMC : des plages ETCS Id des rames équipées ERTMS des EF, des autorisations de circulation des EF sur le RFN. Il définit le nombre de domaines du RFN. 104.2. Gestionnaire du KMC Le gestionnaire du KMC, mandaté et nommé par le GI, assure le management des clés KMAC, KTRANS et K-KMC. 104.3. Opérateurs RBC KMAC et KTRANS du GID Les opérateurs de l EF en charge de la gestion des clés KMAC d une part et des clés KTRANS des rames équipées ETCS d'autre part sont dénommés respectivement dans la suite du document opérateur EF KMAC et opérateur EF KTRANS. L opérateur EF KMAC a pour rôle de configurer les clés KMAC dans les EVC : il transfère les fichiers de commande des clés KMAC reçus du KMC aux EVC via l ordinateur de téléchargement, il transfère vers le KMC les fichiers de confirmation reçus des EVC, il tient à jour la sauvegarde locale des fichiers de commande des clés KMAC dans le centre de maintenance EVC. L opérateur EF KTRANS a pour rôle de configurer les clés KTRANS dans les EVC et de tenir à jour la sauvegarde locale des fichiers de commande des clés KTRANS dans le centre de maintenance EVC. Article 105. Planification des interventions de gestion des clés 105.1. Planning prévisionnel annuel de gestion des clés KMAC L'objet de cette phase est d'établir un plan de charge annuel de gestion des clés KMAC. 105.1.1. Élaboration du planning L établissement du planning de l année A+1 est de la responsabilité du gestionnaire KMC. Au 01/09 de l année A, l EF transmet au gestionnaire du KMC les prévisions d évolutions qui engendrent des interventions sur les clés KMAC et notamment : nouveau matériel, nouvelles missions, modifications de missions, radiation de matériel, Page 10 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

.. Au 15/09 de l'année A, le gestionnaire du KMC demande à l'ef, s il y a lieu, les adaptations dans le planning prévisionnel qui lui a été adressé. Au 01/10 de l'année A, l EF transmet ses nouvelles prévisions actualisées. Au 15/10 de l'année A, le gestionnaire du KMC diffuse le planning prévisionnel de l année A+1. Interventions : 105.1.2. Règles de planification Il est recommandé de regrouper au maximum les types d interventions au cours d une même planification : création d authentification ou modification d authentification ou suppression d authentification ou, etc. Création clé KMAC : Une marge de 3 semaines doit être respectée entre la date de transmission des fichiers de commande des clés KMAC et la date de première circulation effective de la rame sur le RFN. Maintenance clé KMAC : Une marge de 4 mois entre la date d'intervention et la date de limite de validité de la clé KMAC doit être conservée. 105.2. Planning mensuel des interventions de gestion des clés KMAC L'objet de cette phase est de définir un planning mensuel des interventions pour coordonner tous les intervenants impliqués dans la modification d'une clé KMAC. 105.2.1. Transmission des demandes Les demandes doivent être transmises au gestionnaire du KMC par courrier ou par courriel. Le formalisme des demandes respecte : pour les EVC immatriculés et circulants sur le RFN : la fiche 03.0 de l'annexe 1 du présent document, pour les EVC immatriculés sur un autre réseau et circulant sur le RFN : la fiche 03.1 de l'annexe 1 du présent document, pour les notifications d intervention sur un EVC immatriculé sur le RFN et circulant sur un autre réseau : la fiche 03.2 de l'annexe 1 du présent document. 105.2.2. Élaboration du planning L établissement du planning mensuel est de la responsabilité du gestionnaire du KMC. Le planning mensuel des interventions est destiné à valider les prévisions du planning annuel et à coordonner tous les intervenants impliqués dans la modification d une clé KMAC utilisée pour les communications entre RBC et EVC. Le planning mensuel, établi au cours du mois M-1, est appliqué en respectant les échéances de transmission des informations reprises ci-dessous : à S-3 : les EF adressent les demandes d intervention au gestionnaire KMC, à S-2 : les EF reçoivent du gestionnaire KMC le planning prévisionnel pour avis, à S : le gestionnaire KMC après adaptation diffuse le planning. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 11

Jour d intervention : 105.2.3. Règles de planification Les dates d intervention doivent être planifiées au plus tard la veille d une période de fermeture du service de gestion du KMC pour permettre de gérer les situations dégradées. (Ex : en cas de semaine de travail du lundi au vendredi, aucune intervention ne sera prévue le vendredi). Interventions : Les créations et les mises à jour d authentification peuvent être regroupées durant une même intervention. Intervention impérative : Le gestionnaire du KMC doit indiquer dans le planning mensuel si l intervention est impérative ou non. Une intervention impérative est une intervention qui conduit à un dépassement de la durée de validité des clés si elle n est pas effectuée dans les délais prévus. Le suivi de la réalisation est effectué selon le canevas du planning mensuel figurant en annexe 3. 105.3. Planification spéciale en cas de corruption Le gestionnaire du KMC informe les services concernés par la corruption des clés des interventions à réaliser et des délais de réalisation correspondants. Les services concernés, ainsi informés : constituent dans les meilleurs délais un programme prévisionnel respectant les règles de planification et les délais maximums autorisés pour le changement des clés en cas de corruption, transmettent au gestionnaire du KMC leur programme prévisionnel, reçoivent du gestionnaire du KMC un programme spécial d intervention élaboré à partir des programmes prévisionnels, transmettent le programme spécial d'intervention, pour avis, aux services avec lesquels les interventions doivent être coordonnées, émettent les remarques nécessaires dans un délai de deux semaines à compter de la réception de l'information, peuvent demander la tenue d une réunion ou d'une téléconférence de coordination pour adapter les interventions. 105.4. Interventions non planifiées 105.4.1. Interventions concernées Il s'agit notamment de la rediffusion de l immatriculation ou de l authentification d un EVC ou d un RBC sur le RFN suite à une avarie de matériel dans les cas où il n existe pas de sauvegarde locale. 105.4.2. Coordination requise Pour les interventions non planifiées, aucune coordination globale n est nécessaire entre le KMC, le GID chargé de l entretien et les EF. Le gestionnaire du KMC et le service demandeur se coordonnent directement. Page 12 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

105.4.3. Délai d'intervention Les interventions peuvent débuter dans un délai de 96 h à partir de la date de la demande établie. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 13

Chapitre 2 : Processus d'autorisation Afin de pouvoir circuler sur un domaine donné, l EF doit recevoir une autorisation de la part du GI de ce domaine. Le processus aboutissant à l autorisation comprend les phases suivantes : identification des équipements, immatriculation des équipements, gestion des demandes d autorisation de circulation de l EF au GI du domaine emprunté, notification par le GI au KMC concerné. La notification constitue pour le gestionnaire du KMC, l autorisation donnée par le GI de délivrer les clés adéquates (KTRANS, KMAC, K-KMC). Article 201. Identification d'un équipement EVC L ETCS Id est l identifiant unique d un équipement ERTMS. La gestion et l attribution des plages de numéro des ETCS Id, aux EF et aux GI, sont de la responsabilité de l Agence Ferroviaire Européenne (AFE). La valeur des ETCS Id EVC est laissée au choix de l EF à condition que le numéro attribué soit unique et inclus dans la plage allouée par l AFE. L EF est en charge de la gestion des numéros ETCS Id de ses EVC. La destruction des numéros ETCS Id EVC est de la responsabilité des EF. Les numéros ETCS Id détruits ne sont pas réutilisables par les EF sauf accord dérogatoire du gestionnaire du KMC. Article 202. Immatriculation des équipements EVC Les équipements doivent être immatriculés par le gestionnaire KMC sur demande de l EF. L'EF adresse sa demande au KMC de son choix qui est alors dénommé KMC "d attache". L opération d immatriculation consiste à configurer les équipements EVC avec une clé KTRANS délivrée par le KMC d attache. La configuration des clés KTRANS a lieu suivant les principes d attribution des clés définis sur le réseau. La procédure est décrite au chapitre 4. Page 14 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Article 203. Gestion des demandes d'autorisation de circulation des EF 203.1. EF circulant sur le domaine de son KMC d'attache L EF indique au GI (ou à son représentant) les plages ETCS Id de ses EVC (annexe 1 fiche n 01.0) lors de la mise en circulation de son matériel. Le GI (ou son représentant) transmet au gestionnaire du KMC une notification (annexe 1 fiche n 01.1) des autorisations de circulation qu i l a délivrées à l EF (nouvelles autorisations, extension des autorisations, suppressions des autorisations, etc.). Le gestionnaire du KMC reçoit la notification et : met à jour la liste nationale des entreprises ferroviaires pour le KMS et la transmet au GI ou à son représentant, intègre dans les plannings d intervention les répercutions lorsqu il y a une restriction d autorisation. L EF fait sa demande de circulation au gestionnaire du KMC (annexe 1 fiche n 03.0). L EF reçoit du gestionnaire KMC les fichiers de commande des clés KMAC selon la procédure décrite à l article 301. 203.2. EF circulant sur un domaine autre que celui géré par son KMC d'attache L EF indique au GI (ou à son représentant) les plages ETCS Id de ses EVC (annexe 1 fiche n 01.0) lors de la mise en circulation de son matériel. L EF fait la demande de circulation auprès du KMC gérant le domaine emprunté. Le GI concerné accepte la demande ou la refuse. En cas d acceptation, le gestionnaire KMC du domaine emprunté génère les fichiers de commande des clés KMAC selon la procédure décrite à l article 302 et les transfère au gestionnaire du KMC "d attache" qui les transmet à l EF. En cas de refus, celui-ci devra être justifié. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 15

Chapitre 3 : Procédure relative à la gestion des clés KMAC des EVC Article 301. EVC immatriculé et circulant sur le RFN 301.1. Création et changement de la clé KMAC L opérateur EF KMAC, qui reçoit du gestionnaire KMC les fichiers de commande des clés KMAC : vérifie que les EVC sont prêts à être configurés, contacte l opérateur des RBC KMAC pour l autoriser à déclencher le chargement des fichiers de commande des clés KMAC dans les RBC. L opérateur EF KMAC, informé du chargement des clés KMAC des RBC : configure les EVC, récupère et vérifie les fichiers de confirmation, transmet les fichiers de confirmation valides au gestionnaire KMC. L opérateur EF KMAC reçoit du gestionnaire KMC la liste nationale des équipements ERTMS pour le KMS. 301.2. Retransmission des clés KMAC sans changement de la clé KTRANS L opérateur EF KMAC réalise une demande (annexe 1 fiche n 03.0) de rediffusion des clés KMAC des EVC après application de ses procédures maintenance. L opérateur EF KMAC, qui reçoit du gestionnaire du KMC les fichiers de commande des clés KMAC : configure les EVC, récupère et vérifie les fichiers de confirmation, transmet les fichiers de confirmation valides au gestionnaire KMC si demandé. 301.3. Retransmission des clés KMAC après changement de la clé KTRANS L opérateur EF KMAC, qui reçoit du gestionnaire KMC les fichiers de commande régénérés des clés KMAC : configure les EVC, récupère et vérifie les fichiers de confirmation, transmet les fichiers de confirmation valides au gestionnaire KMC. L opérateur EF KMAC reçoit du gestionnaire KMC la liste nationale des équipements ERTMS pour le KMS. Page 16 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

301.4. Destruction de la clé KMAC Le gestionnaire du KMC transfère les fichiers de commande à l opérateur EF KMAC. L opérateur EF KMAC qui reçoit du gestionnaire KMC les fichiers de commande des clés KMAC : détruit les clés des EVC, récupère et vérifie les fichiers de confirmation, transmet les fichiers de confirmation valides au gestionnaire KMC. L opérateur EF KMAC reçoit du gestionnaire KMC la liste nationale des équipements ERTMS pour le KMS. Article 302. EVC immatriculé sur le RFN et circulant sur un autre réseau 302.1. Création et changement de la clé KMAC L opérateur EF KMAC, qui reçoit du gestionnaire KMC d attache les fichiers de commande des clés KMAC : configure les EVC, récupère et vérifie les fichiers de confirmation, transmet les fichiers de confirmation valides au gestionnaire KMC d attache. L opérateur EF KMAC reçoit du gestionnaire KMC la liste nationale des équipements ERTMS pour le KMS. 302.2. Retransmission des clés KMAC sans changement de la clé KTRANS Se reporter à l article 301.2 du présent document dans le cas d un EVC immatriculé et circulant sur le RFN. 302.3. Retransmission des clés KMAC après changement de la clé KTRANS Se reporter à l article 301.3 du présent document dans le cas d un EVC immatriculé et circulant sur le RFN. 302.4. Destruction de la clé KMAC Le gestionnaire KMC et l opérateur EF KMAC s entendent s il y a besoin de transmettre les fichiers de commande de la destruction des clés KMAC. L opérateur EF KMAC, qui reçoit du gestionnaire KMC les fichiers de commande de la destruction des clés KMAC : détruit les clés des EVC, récupère et vérifie les fichiers de confirmation, transmet les fichiers de confirmation valides au gestionnaire KMC. L opérateur EF KMAC reçoit du gestionnaire KMC la liste nationale des équipements ERTMS pour le KMS. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 17

Article 303. Gestion des clés KMAC en dehors des cas d'interventions sur les EVC 303.1. Initialisation des authentifications des trains avant leur mise en service sur le RFN L opérateur EF KMAC, qui reçoit du gestionnaire KMC les fichiers de commande des clés KMAC : configure les EVC, récupère et vérifie les fichiers de confirmation, transmet les fichiers de confirmation valides au gestionnaire KMC. L opérateur EF KMAC reçoit du gestionnaire KMC la liste nationale des équipements ERTMS pour le KMS. Page 18 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Chapitre 4 : Procédure relative aux opérations KTRANS des EVC Article 401. Création d'une clé KTRANS L EF communique au gestionnaire KMC, au moins 3 semaines avant la circulation effective, une demande de configuration (annexe 1 fiche n 02.0 ) des clés KTRANS pour EVC. Lorsqu il s agit de la première demande pour une EF, cette demande est accompagnée d un protocole d échange des clés KTRANS défini dans le Contrat d Interopérabilité. L opérateur EF KTRANS, qui reçoit du gestionnaire du KMC les fichiers de commande des clés KTRANS : configure les EVC, transmet les fichiers de confirmation valides au gestionnaire KMC. L opérateur EF KTRANS reçoit du gestionnaire KMC la liste nationale des équipements ERTMS pour le KMS. Il met à jour sa base de sauvegarde locale de fichiers de commande. Article 402. Changement d'une clé KTRANS L opérateur EF KTRANS, qui reçoit du gestionnaire KMC les fichiers de commande des nouvelles clés KTRANS : configure les EVC, transmet les fichiers de confirmation valides au gestionnaire KMC. L opérateur EF KTRANS reçoit du gestionnaire du KMC la liste nationale des équipements ERTMS pour le KMS. Il peut mettre à jour sa base de sauvegarde locale de fichiers de commande. Nota : le renouvellement de l immatriculation impose de reconfigurer les clés KMAC des EVC au moyen de la nouvelle clé KTRANS (voir chapitre 5 corruption des clés). Article 403. Retransmission d'une clé KTRANS L opérateur EF KTRANS établit une demande au gestionnaire KMC (annexe 1 fiche n 02.0) pour rediffusion des fichiers de commande de la clé KTRANS. L opérateur EF KTRANS, qui reçoit du gestionnaire KMC les fichiers de commande des clés KTRANS : configure les EVC, transmet les fichiers de confirmation valides au gestionnaire du KMC. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 19

Chapitre 5 : Corruption des clés Article 501. Gestion des avis de corruption des clés 501.1. Évènements liés à la corruption des clés Les événements détectés sont : le vol des clés KMAC, KTRANS et K-KMC sous forme non cryptées : o vol effectif, o présomption suite à accès non autorisé aux données. la lecture d une base de données comportant les clés non cryptées, les menaces extérieures portant sur les clés de cryptage. 501.2. Avis à lancer Dans tous les cas de corruption, les avis (fiche 4.0 annexe 2) sont envoyés au gestionnaire KMC. La fiche 4.0 de l annexe 2 reprend les informations sur le cas de corruption détectée. Dans tous les cas, le gestionnaire KMC avise les EF. Les informations transmises entre gestionnaires de KMC au niveau international sont reprises dans le Contrat d Interopérabilité. 501.3. Moyens et délais pour la transmission de l'avis Toutes les transmissions d informations pour ces procédures se font normalement par télécopie ou courriel. Une pré-information est faite par téléphone. Elle est confirmée par télécopie ou courriel dans les plus brefs délais et au plus tard 12 h après la pré-information. Le délai maximum de transmission de l'avis est, entre le moment de la découverte effective de l événement et la prise de connaissance par le destinataire défini ci-devant, de 96 h. Dans le cas des clés K-KMC et KMAC d un autre réseau, le délai est défini dans le Contrat d Interopérabilité. 501.4. Déclaration d'une clé corrompue Pour être considérée corrompue, une clé doit être déclarée comme telle par le responsable de la clé défini dans le Contrat d Interopérabilité. Pour les clés KMAC et KTRANS du RFN, le délai est de 48 heures à partir de la réception d un avis. Page 20 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Article 502. Traitement des clés corrompues 502.1. Disposition générale Toute clé déclarée corrompue et concernant la circulation des trains sur le RFN doit être changée. Suite à l avis de corruption, le gestionnaire KMC en liaison avec l EF détermine le niveau de corruption (légère, lourde) et définit les mesures à prendre. Les EF s engagent à changer les clés selon les instructions données par le gestionnaire KMC dans les délais repris à l article 502.2. Le processus de rétablissement des clés débute à la déclaration de la corruption des clés. 502.2. Délais de changement des clés Les délais courent à partir de la déclaration de corruption de la clé par le(s) responsable(s) désigné(s). Le changement doit se faire dans un délai maximal de 4 mois dans le cas de : corruption de clés KMAC du RFN, corruption légère de clés KTRANS, corruption lourde de clés KTRANS. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 21

Chapitre 6 : Sécurité Article 601. Ordinateur de téléchargement des clés des EVC Cet ordinateur permet, via une interface opérateur, de charger les fichiers de commande des clés KMAC et KTRANS des EVC. L accessibilité à cette fonctionnalité doit être contrôlée au moyen d un identifiant et mot de passe. L ordinateur de téléchargement est relié, par des connexions dédiées ponctuelles, d un côté à l ordinateur fixe de transfert du centre de maintenance des EVC et de l autre côté à l EVC lui même. La lecture de la mémoire de l EVC doit être protégée par un identifiant et un mot de passe personnels. Article 602. Réseaux informatiques Tous les ordinateurs pouvant disposer à un moment ou à un autre d une clé ETCS de niveau 2 (KMAC, KTRANS ou K-KMC) ne doivent être connectés à un réseau informatique que si toutes les mesures sont prises pour qu il ne puisse y avoir d intrusion dans les ordinateurs. Article 603. Sauvegardes locales Les fichiers de commande des clés KTRANS et K-KMC, conservés en sauvegarde locale, doivent être sécurisés contre le vol, la copie et la lecture. Le niveau de sécurité doit être cohérent avec la protection mise en œuvre dans l échange des fichiers de commande KMAC. Les fichiers de commande des clés KMAC, conservés en sauvegarde locale, sont a minima contrôlés en accès avec un historique des accès. Afin de limiter l impact d une corruption de clé, les sauvegardes KMAC ne doivent pas être conservées sur un même support et dans un même lieu que les sauvegardes des fichiers de commande des clés KTRANS et K-KMC. Article 604. Locaux accueillant les constituants Tous les ordinateurs pouvant disposer, à un moment ou à un autre, d une clé (KMAC, KTRANS ou K-KMC) sont implantés dans un local dont l accès est sécurisé, contrôlé et nominatif. Seul le personnel autorisé doit avoir accès à ces locaux. Cette prescription ne s applique toutefois pas aux ordinateurs de téléchargement des EVC dont l utilisation nécessite d'accéder au matériel roulant. Page 22 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Article 605. Protection du risque de copie ou de lecture des clés de cryptage lors des opérations de maintenance ou de dépose Tous les équipements ou médias ayant mémorisé des clés KTRANS ou K-KMC (composants RBC, composants EVC, ordinateurs de transfert et supports de stockage) doivent au moment de la maintenance ou de la dépose être protégés du risque de copie et de lecture des clés. Les mémoires des équipements ou des supports de stockage doivent être effacées. L effacement des données doit être obtenu par un formatage physique. Si cela n est pas possible, le support accueillant ou ayant accueilli des clés de cryptage doit être détruit pour que toute copie ou lecture ne soit physiquement plus possible. Article 606. Chargement des clés Les fichiers de commande des clés KMAC ne doivent pas être présents sur les ordinateurs de chargement des EVC et des RBC plus longtemps que la durée nécessaire aux opérations de configuration des équipements. Les fichiers de commande des clés KTRANS ne doivent pas être présents sur l ordinateur de téléchargement des EVC plus longtemps que la durée nécessaire aux opérations de configuration des EVC. Ils doivent impérativement être effacés dès lors que le chargement de la clé KTRANS est valide. Le mode de transmission des clés KTRANS ne peut avoir lieu par réseau informatique. La transmission est garantie par un opérateur habilité. Les fichiers de commande des clés KTRANS doivent être protégés contre l'accès de toute personne non habilitée dès réception au centre de maintenance des rames équipées ERTMS. Cette exigence doit être maintenue tout au long des procédures de chargement, de changement ou de retransmission. Article 607. Conservation des clés 607.1. Conditions de conservation Les différentes entités concernées ne sont autorisées à conserver les fichiers de commande des clés que si toutes les mesures sont prises pour qu il ne puisse y avoir d intrusion dans les mémoires des ordinateurs. Dans le cas contraire, elles ont obligation de détruire les fichiers de commande des clés après chargement. 607.2. Sauvegarde locale Chacun des intervenants assure la gestion de la sauvegarde locale : procédures, sauvegarde, protection, mise à jour, etc. Les sauvegardes locales sont mises à jour uniquement à la réception de la liste nationale des équipements ERTMS pour le KMS, elle-même mise à jour pour les interventions réalisées. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 23

Annexe 1 Canevas des fiches types liées à la gestion des clés ERTMS RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 25

Page 26 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Remarque générale : le format des canevas est informatif, seul le continu est obligatoire. Fiche 01.0 Information des plages ETCS Id allouées Fiche 01.0 Information des plages ETCS Id allouées Cadre à remplir par l EF Entreprise Ferroviaire Plages ETCS Id allouées aux EVC du matériel mis en circulation (en décimal) Type de matériel Réseau d immatriculation Date et signature de l EF Fiche 01.1 Notification d autorisation de circulation sur le RFN Fiche 01.1 Notification d Autorisation de circulation sur le RFN Entreprise Ferroviaire Cadre à remplir par le GI plages ETCS Id allouées aux engins autorisés Lignes autorisées Réseau d immatriculation Teneur de la notification* Date et signature du gestionnaire d infrastructure (* Retrait d autorisation, nouvelle autorisation, restrictions de circulation) RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 27

Fiche 02.0 Demande de clé KTRANS pour EVC Entreprise Ferroviaire demandeur Nombre d EVC concernés ETCS Id EVC Lieu de chargement des clés Fiche 02.0 Demande de clé KTRANS pour EVC Cadre à remplir par le demandeur N matériel N rame Motif de la demande* Date de transmission Date de 1 ère circulation [décimal] [JJ-MM-AA] [JJ-MM-AA] Date de la demande et signature du demandeur (* : suivant cas d exploitation) Fiche 03.0 Demande de clé KMAC pour EVC immatriculé et circulant sur le RFN Fiche 03.0 Demande de clé KMAC pour EVC immatriculé et circulant sur le RFN Entreprise Ferroviaire demandeur Nombre d EVC concernés ETCS Id EVC [décimal] N Matériel Cadre à remplir par le demandeur Motif de la Parcours demande* Origine Destination Transmission fichier Date et heure Chargement Date et heure 1 ère circulation Date et heure Date de la demande et signature du demandeur (*suivant cas d exploitation) Page 28 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Fiche 03.1 Demande de clé KMAC pour EVC immatriculé sur un autre réseau et circulant sur le RFN Fiche 03.1 Demande de clé KMAC pour EVC immatriculé sur un autre réseau et circulant sur le RFN [décimal] Cadre à remplir par le demandeur Entreprise Ferroviaire demandeur Réseau d enregistrement du demandeur Nombre d EVC concernés KMC responsable ETCS Id EVC N matériel Motif de la demande* Parcours Origine Destination Transmission Date et heure Chargement Date et heure 1 ère circulation Date et heure Date et signature du demandeur (*suivant cas d exploitation) RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 29

Fiche 03.2 Notification d intervention sur un EVC immatriculé sur le RFN et circulant sur un autre réseau Fiche 03.2 Notification d intervention sur un EVC immatriculé sur le RFN et circulant sur un autre réseau Cadre à remplir par le demandeur Entreprise Ferroviaire Nombre d EVC concernés KMC Nbr de RBC ETCS Id N Motif de la Transmission concerné concerné EVC Matériel demande * Date et heure [décimal] Chargement Date et heure 1 ère circulation Date et heure Date de l information et signature de l Entreprise Ferroviaire (*suivant cas d exploitation) Page 30 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Annexe 2 Notification de présomption de corruption RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 31

Page 32 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Fiche 04.0 Notification d une présomption de corruption Service Émetteur Service Destinataire Service Informé Fiche 04.0 Notification d une présomption de corruption Service concerné par l événement Nom du service et numéro de téléphone pour joindre en opérationnel DESCRIPTION DE L ÉVÉNEMENT Lieu de l événement Pk, gare, commune, etc Date de l événement Heure, jour, mois et année Vol Type de détection Menace Éléments descriptifs de la détection Phase durant laquelle la détection a eu lieu Échange Chargement Conservation [Tout élément permettant au gestionnaire du KMC de juger du vol effectif : constatations déclaration à la police etc.] CAUSES CONNUES TYPE D INFORMATION ET VOLUME CONCERNE Clés KMAC Fichier de commande de la sauvegarde [Nombre] ou [sans objet si 0] Fichier de commande lors de l échange [Nombre] ou [sans objet si 0] Clés non cryptées [Nombre] ou [sans objet si 0] Clés KTRANS Fichier de commande de la sauvegarde [Nombre] ou [sans objet si 0] Fichier de commande lors de l échange [Nombre] ou [sans objet si 0] Clés non cryptées [Nombre] ou [sans objet si 0] Fichiers de commande des clés KMAC lus par une personne non autorisée [oui ou non] & [Nombre] RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 33

Fiche 04.0 Notification d une présomption de corruption IDENTIFICATION DES CLÉS CONCERNÉES [L émetteur de la fiche renseigne les éléments permettant d identifier les clés concernées. Ces éléments peuvent être : Les noms des fichiers concernés, Identification des RBC : ETCS Id, localisation, autre, Identification des EVC : ETCS Id, numéro de matériel, dépôt d attache, Autre : libre] Date de la notification et signature de l émetteur Page 34 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Annexe 3 Canevas du planning mensuel d intervention RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 35

Page 36 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Opération EVC RBC pour ETCS Id Dépôts Nombre 1 ETCS Id Etabliss t 2097153 P.-sur-M. SNCF - EF 2154607 TEE 3 2097154 P.-sur-M. 2097155 P.-sur-M. 2097153 P.-sur-M. SNCF - EF 2154608 TEE 3 2097154 P.-sur-M. 2097155 P.-sur-M. Intervention Création KMAC Création KMAC Trans. Fichier 04/01/07 04/01/07 Chargement fichier 05/01/07 à partir de 17h 05/01/07 à partir de 17h Trans. confirmation 06/01/07 06/01/07 Autorisation sortie EVC Par EF après chargement Par EF après chargement Fin de l opération 06/01/07 06/01/07 Pour rappel, les interventions liées aux clés KTRANS ne sont pas planifiées, elles peuvent néanmoins être reprises dans le planning tel que présenté ci-dessous. INFRA - - 1 2097159 P.-sur-M. Création KTRANS SNCF - EF 2154607 TEE - - - Création KTRANS SNCF - EF 2154608 TEE - - - Création KTRANS 10/01/07 04/01/07 04/01/07 12/01/07 à partir de 12h 05/01/07 à partir de 17h 05/01/07 à partir de 17h 13/01/07-13/01/07 Sans objet - 06/01/07 Sans objet - 06/01/07 RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013 Page 37

Fiche d identification Titre Nature du texte Elaborateur Procédure de gestion des clés de cryptage ERTMS Document d'exploitation Direction de la sécurité du réseau - Service Documentation de sécurité RFN-IG-IF 06 A-13-n 001 Référence RFF Version en cours / date Version 1 du 05-12-2013 Date d application Applicable à partir du 20-12-2013 Élaboration / Approbation Christian ROESSLER Rédacteur Vérificateur Approbateur 05-12-2013 Bernard CHARVET Christian COCHET Textes abrogés Néant Textes de référence EEIG 05E537 "Offline Key Management FIS" UNISIG "EURORADIO FIS" La spécification technique d'interopérabilité relative aux sous-systèmes "contrôlecommande et signalisation" du système ferroviaire transeuropéen adoptée le 25 janvier 2012 par la décision 2012/88/UE de la Commission européenne et publiée au Journal officiel de l'union européenne n L51 du 23 février 2012, Textes interdépendants EEIG 04E518 "KMS Operational Aspects" RFN IG TR 4 D 3 n 1 "Incidents et accidents Avis, mesures conservatoires et enquête" RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013

Distribution RFF Service gestionnaire des trafics et des circulations GID chargé de l'entretien Entreprises ferroviaires Autres exploitants Centres de formation EPSF Autres Direction de la sécurité du réseau - Service Documentation de sécurité Direction de la sécurité du réseau - Service Autorisations de sécurité Direction de la sécurité du réseau - Service Exploitation et équipements de sécurité Direction commerciale Direction de la programmation des capacités Direction de la production des sillons Direction juridique - Unité infrastructure, accès au réseau et régulation directions régionales prestataires de gestion d'infrastructure Direction de la Circulation Ferroviaire entreprises titulaires d une attestation de sécurité et exerçant des activités relatives à la gestion de l'infrastructure Direction de la Production Industrielle Direction de la Maintenance du Réseau Direction Projets Système Ingénierie entreprises titulaires d une attestation de sécurité et exerçant des activités relatives à l'entretien de l'infrastructure entreprises ferroviaires titulaires d un certificat de sécurité délivré par l'epsf toutes entreprises titulaires d une attestation de sécurité et exploitant des services de transport Titulaires d'autorisation portant sur la sécurité intervenant sur le RFN UNECTO associations de chemins de fer touristiques centres agréés par l'epsf Département Référentiels Ministère chargé des transports - Direction des services de transport - Bureau de la sécurité et de l'interopérabilité des transports guidés Agence ferroviaire européenne Résumé Le présent document d'exploitation définit les conditions de gestion des clés de cryptage du système contrôle commande ERTMS applicables sur le réseau ferré national. RFN-IG-IF 06 A-13-n 001- Version 1 du 05-12-2013