1 Impacts organisationnels du déploiement des certificats de personnes TCS Jean-François GUEZOU
2 TCS : Terena Certificate Services Projet européen Education/Recherche regroupement de 25 pays Autriche Belgique Croatie Chypre République Tchèque Danemark Espagne Finlande France Grande-Bretagne Grèce Hongrie Irlande Italie Israel Lituanie Malte Norvège Pays-Bas Pologne Portugal Roumani e Serbie Slovénie Suède
3 Terena Certificate Services TCS certificats serveur depuis octobre certificats pour 340 établissements Réponse au besoin Simplicité d'accès Gratuité
4 Certificats de personne TCS Depuis novembre 2010 Usages : Signature / chiffrement du courriel ou authentification Objectif : Simplicité pour l'utilisateur final Extensions du certificat : ● Extended Key Usage : TLS client authentication, protection ● Key Usage (Critical) : digitalSignature, keyEncipherment, dataEncipherment
5
6 Les certificats Signataire C= NL O= ''TERENA'' CN= ''TERENA Personal CA'' Validité : 3 ans Possesseur C= FR O= nom établissement OU (optionnel) = composante établissement CN= prénom nom de la personne SAN= courriels
7 La délégation de confiance COMODO UTN-UserFirst AC racine TERENA TCS personal CA RENATER Etablissement Usager AC signataire Autorité d'Enregistrement
8 Les engagements de l'établissement Respecter et faire respecter la CP/CPS Opérer un IdP inscrit dans la Fédération E/R Maintenir à jour le référentiel d'identités Vérifier en face à face l'identité des ayants droit Bien informer/former les utilisateurs Assurer le support aux utilisateurs Proscrire le chiffrement (sauf gestion locale d'un séquestre)
9 Les engagements de chacun La CP/CPS est un document qui contient La politique de certification La déclaration des pratiques de certification Elle Engage toutes les parties dont les utilisateurs finaux Information nécessaire de chacun Documents techniques en anglais
10 La qualité du référentiel d'identités Authentification au portail via la fédération d'identité Education-Recherche Mode d'alimentation/provisioning du référentiel d'identités ? Gestion des habilitations ? Modalités de modification des informations du référentiel ? Et le déprovisioning ?
11 L'importance du support Un support aux utilisateurs adapté au contexte Plusieurs OS Plusieurs versions des logiciels clients Logiciels à magasins autonomes Des procédures à documenter Que faire en cas de perte ou compromission Que faire en cas de départ Des formations sans doute nécessaires Bonne pratiques Archivage, protection
12 Le chiffrement Chiffrement techniquement possible, mais est-ce raisonnable ? Conserver la possibilité de recouvrement des données chiffrées Recouvrement => S équestre des clés Pas de séquestre de clés au niveau de l'Autorité de Certification Certificats obtenus directement par l'utilisateur final Complexité pour l'établissement + =
13 Conclusion Un choix à faire : Diffusion en masse de certificats pour tous Impact organisationnel conséquent Respect contraignant des procédures Coût du déploiement à évaluer Diffusion sur projet ciblé Population restreinte Procédures liées à un projet
14 Questions