Visite de la World Bank et pays MENA aufedict Les outils de l eid: confiance, efficacité et sécurité en ligne Sylvie Lacroix Directeur, Associée
Message eids, et les cartes eid en particulier, peuvent s avérer être le socle d opportunités formidables pour securiser et renforcer la société électronique et les métiers qu elle supporte Le cadre légal est en place Ex. Règlement EU 910/2014 sur les eid et services de confiance Le cadre technique est mature; les technologies sont totalement intégrées dans les applications courantes. Ex.:
Identification Physique Authentification Signature Comment les eid rendent-elles ces opportunités possibles? X V Citoyen Z Date naissance jj/mm/aaaa Ville Capture données Services de validation
Cadre technique: cryptographie et signatures numériques La carte héberge 2 paires (auth./signature) de clés crypto par citoyen Clé privée: code secret utilisé par une fonction mathematique pour rendre une donnée inintelligible (çàd. chiffrer la donnée). 1100101 Clé publique: code public utilisé par la fonction mathematique inverse pour retrouver la donnée de départ à partir de la donnée chiffrée. 0100001 Les «astuces»: Créer une paire est facile, il est quasi impossible de déduire le secret à.p. du public Une paire de clé differente et unique pour chaque citoyen signer text?!$*?!$* text vérifier? = text Si oui,?!$* a été créé par la personne qui possède le secret 1100101 apparié à 0100001 Ce principe sous-tend: L authentification La signature (non-répudation)
Principes de base de la confiance dans le système Signature: la confiance repose sur la garantie que PK 0100001 appartient au citoyen une entité reconnue (ex. contractée par gouvernement), appellée Authorité de Certification (CA), certifie le lien {clé publique citoyen} en un Certificat PK. Le certificat est une déclaration signée par la CA La signature de la CA est garantie parce que sa clé publique est publiée au journal officiel, par ex. La CA a les droits pour valider les infos sur les citoyens (ex. via le Reg. Nat.) Cert.: la confiance repose dans les qualités de la CA & des services de certification : Politiques CA: cryptographie, dispositifs CA, dispositifs utilisateurs (pour protéger clé privée) sûrs, personnel de confiance, possibilité de révoquer et publier le status de révocation des certificats (çàd. services de validation ), assurances, Politiques CA: confiance repose sur le niveau d assurance sur la CA (audit cadre légal)
Cadre juridique européen Règlement EU 910/2014 sur l identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur: un nouveau cadre législatif pour eid, e-signatures et autres services de confiance. eid Services de confiance signature, cachet, auth. web, edépôt, horadatage Reconnaissance mutuelle / pour secteur public génériques - techn. neutres - Valeur juridique moins prévisible qualifiés - Standards de réf. - Exigences fortes (supervision, audit) - Prévisibilité juridique; ex. équivalence signature manuscrite, reconnaissance mutuelle & internationale
Convergence technique et juridique (1/2) Signature électronique : données sous forme électronique, qui sont jointes ou associées logiquement à d autres données sous forme électronique et que le signataire utilise pour signer Signature électronique avancée: (a) est liée au signataire de manière univoque (paire PK unique) (b permet d identifier le signataire (certificat PK); (c) a été créée à l aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif (PK protégée en un dispositif sûr); et (d) liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable (intrinsèque à techno PK: signature jamais vérifiée si données modifiées) Signature électronique qualifiée: est une AdES avec un certificat qualifié et un dispositif de création de signature qualifié (ex.carte à puce certifée conforme à certains profiles de protection )
QCSP abc - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - QCSP xyz - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - QCSP abc - IssuingSupervised CA s AKI - QCSPs: - Issuing Supervised CA s AKI QCSPs: - QCSP abc - Issuing Supervised CA s AKI QCSPs: - - Issuing Supervised CA s AKI - QCSPs: QCSP abc - Issuing Supervised CA s AKI QCSPs: - - Issuing CA s QCSP AKI - abc - IssuingSupervised CA s AKI - QCSPs: - Issuing Supervised CA s AKI QCSPs: - QCSP abc - Issuing Supervised CA s AKI QCSPs: - - Issuing Supervised CA s AKI - QCSPs: QCSP abc - Issuing Supervised CA s AKI QCSPs: - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing QCSP CA s AKI abc - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - Issuing QCSP abc CA s- AKI Issuing - CA s AKI - QCSP abc - Issuing CA s AKI - Issuing QCSP abc CA s- AKI Issuing - CA s AKI - - Issuing QCSP CA s AKI abc - Issuing CA s AKI - QCSP abc - Issuing CA s AKI - Issuing QCSP abc CA s- AKI Issuing - CA s AKI - QCSP abc - Issuing CA s AKI - Issuing QCSP abc CA s- AKI Issuing - CA s AKI - - Issuing QCSP CA sxyz AKI -- Issuing CA s- AKI Issuing - CA s AKI - - Issuing QCSP xyz CA s- AKI Issuing - CA s AKI - Issuing CA s AKI - - Issuing QCSP CA sxyz AKI -- Issuing CA s AKI - - Issuing QCSP CA sxyz AKI -- Issuing CA s- AKI Issuing - CA s AKI - - Issuing QCSP xyz CA s- AKI Issuing - CA s AKI - Issuing CA s AKI - - Issuing QCSP CA sxyz AKI -- Issuing CA s AKI - QCSP xyz - Issuing CA s AKI - Issuing CA s AKI -- Issuing CA s - Issuing AKI - QCSP CA s AKI xyz - Issuing CA s- AKI Issuing - CA s- AKI Issuing - CA s AKI - Issuing - QCSP CA s AKI xyz - Issuing CA s- AKI Issuing - CA s AKI -- Issuing CA s QCSP AKI xyz - - Issuing CA s AKI - Issuing CA s AKI -- Issuing CA s - Issuing AKI - QCSP CA s AKI xyz - Issuing CA s- AKI Issuing - CA s- AKI Issuing - CA s AKI - Issuing - QCSP CA s AKI xyz - Issuing CA s- AKI Issuing - CA s AKI -- Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing QCSP CA s AKI xyz - Issuing CA s AKI - QCSP xyz - Issuing CA s AKI - Issuing QCSP xyz CA s- AKI Issuing - CA s AKI - QCSP xyz - Issuing CA s AKI - Issuing QCSP xyz CA s- AKI Issuing - CA s AKI - - Issuing QCSP CA s AKI xyz - Issuing CA s AKI - QCSP xyz - Issuing CA s AKI - Issuing QCSP xyz CA s- AKI Issuing - CA s AKI - QCSP xyz - Issuing CA s AKI - Issuing QCSP xyz CA s- AKI Issuing - CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - - Issuing CA s AKI - Convergence technique et juridique (2/2) Signature numérique: technologie adéquate pour signatures électroniques équivalentes aux manuscrties, authentification web et cachet personnes morales, pour autant que: - CA, certificats émis et dispositifs de signature soient qualifiés Validation et confiance en ces qualifications peuvent se déduire automatiquement via: - listes de confiance (de CAs supervisées) établies par les états membres - & la liste des listes, point d accès central au niveau européen. LOTL Member States National Trusted Lists for supervised / accredited CSPs
Application
Doux rêves ou réalité? Des parties prenantes importantes «parlent» PKI, eids et cartes à puce depuis des années (MS, Apple, Adobe, ) Des parties prenantes importantes développent l intégration des listes de confiance EU et endossent les standards EU pour audit des CAs Listes de confiance et «trust stores» sont des concepts similaires à utiliser en parallèle. Ex.: Besoin de vérifier qu une AdES est qualifiée tec.: le certificat est-il qualifié? votre apps vérifie la liste de confiance Besoin de surfer en sécurité tec.: le certificat est-il «EV»? «barre verte» dans le navigateur (la CA est reconnue et présente dans le «trust store» du navigateur) les critères d entrée dans les «trust store» des navigateurs: audits QCA acceptés (ETSI 101 456 102 042 et mises à jour) - Beacuoup d outils disponibles (ex. de la CE) pour intégration par les PMEs des esignature et authentification, en toute confiance et légalité clairement une réalité pas d excuse pour ne pas utiliser ces outils
Questions? information de contact Olivier DELOS (CISSP, CISA) Mobile: +32 477 78 79 74 Email: olivier.delos@sealed.be Web: www.sealed.be Sylvie LACROIX (CISA) Mobile: +32 477 78 79 75 Email: sylvie.lacroix@sealed.be Web: www.sealed.be