Carte d’identité électronique belge

Slides:



Advertisements
Présentations similaires
Erik Weytjens CEO - Certipost
Advertisements

Le langage ASP Les variables d'environnement HTTP avec Request.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.
Guide Share France Web Single Sign On Panorama des solutions SSO.
Séminaire EOLE Dijon Octobre 2008 Eole SSO.
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.
Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot
V.1a E. Berera1 IPv6 IPv6 et la sécurité: Gestion des clés Objectif: Comment distribuer les clés.
1 UML: applications, études de cas ● Processus (Extreme Programming, Unified Process) ● Architectures ● Expression du besoin technique Conception Préliminaire.
SSO : Single Sign ON Authentification unique Il y a 10 ans : Un luxe Il y a 3 ans : Un composant à part entiere Aujourd'hui : Incontournable Demain : Le.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Présentation du programme
Mon Dossier Peter Grouwels Service de communication
FORMATION EPMT ENTRAINEMENT PROFESSIONNEL AUX MÉTIERS DU TERTIARE
Généralisation du document de base électronique
PRESENTATION LETTRE SUIVIE
Téléchargement de fichiers
Diffusion en streaming de vidéos d’assistance au dépannage
1.2 Programmes et données Les programmes comme les données sont stockés dans les mémoires (centrales et périphériques) des ordinateurs Informatique.
Eric b, emmanuel l, damien t
Conférence de presse
Quelques Infos sur LDAP
Microsoft SQL Server La Base de Données des plates formes Windows NT
SIG 7.5 Sécurité des échanges
Présentation Scribe NG Serveur pédagogique.
Réf. CS&S/ISE/DFC/TES,xxxx/-/02
26 octobre 2016 Cahier des charges eID Bart Vrancken.
L'utilisation des certificats à la DR15
Identication & Authentication
Présentation BELPIC Statut
Vincent HURTEVENT – UCBL
Valeur ajoutée de la CIE
Chiffrement de bout en bout
Demande de cartes via internet
Séminaire EOLE Dijon Octobre 2010
Installation et Configuration Internet Information Server (IIS 5)
Sécurité Web Protocole HTTPS.
La carte d’identité électronique au service de l’e-gouvernement wallon
Sécurité - Configuration de
Comment fonctionne RADIUS?
Signer un formulaire 100 % transactionnel.
Cyril Bras Journée « Sécu »
Les plus grandes histoires de succès sont celles de personnes qui, ayant reconnu un problème, l'ont transformé en une opportunité.
Août 2009.
HTTP DNS NTP FTP R231 RJ45 definition HTTP DNS NTP FTP R231 RJ45.
Introduction à la conception de site web
Système d’exploitation
Bureau distant sur Windows Vista /2008 Server
PROJET Système d’Information
SERVEUR MICROSOFT. Un serveur pour quoi faire ? Serveur de Fichiers Serveur d’impression Contrôleur de domaine Serveur web Serveur de base de données.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Applications IoT: composition de micro-services
Observatoire de la Sécurité des Systèmes d'Information et des Réseaux
SUMEHR 20 septembre 2017.
Application par la composition de micro-services
Exposé de système / réseaux IR3
Retour d’expérience CEVIF ESUP Day
Internet : Informations personnelles et identité numérique
SharePoint 2010 au service des Ressources Humaines
Système d’exploitation: Principe IFT6800 – E 2008 Pierre Poulin.
Conception de sites web marchands: TD 2
La mise en ligne de Téléservices
Présentation des missions en entreprise et formation
Présentation PISTE pour les partenaires raccordés en API
Présentation des missions en entreprise
INFRASTRUCTURE À CLÉS PUBLIQUES || PUBLIC KEY INFRASTRUCTURE. | HISSEIN BANAYE HASSAN
Transcription de la présentation:

Carte d’identité électronique belge Ir. Olivier LIBON. FedICT - Architecte Sécurité

Agenda FedICT (stratégie eGov belge) FedPKI (initiative PKI belge) Principes Objectifs Planning FedPKI (initiative PKI belge) Hiérarchie de confiance Certificats Services de confiance BelPIC (carte d’identité électronique) Partie visuelle vs partie électronique Authentification vs Signature Production / Personnalisation Carte / Puce / Données / MiddleWare / Toolkit Applications: aujourd’hui et demain

FedICT “stratégie eGov belge”

Principes Complexité Administrative  Simplification 1 état fédéral Fonctionnaires 3 régions / 3 communautés Entreprises 10 provinces / 589 Communes Citoyens Front-Office: principe de collection unique gestion des identités fédérées (FedPKI) site transactionnel fédéré (FedGATE) échange d ’information fédéré (FedUME) gestion de réseau fédéré (FedMAN) Back-Office: principe des sources authentiques BD/ID unique des citoyens (Registre de Population) BD/ID unique des entreprises (Banque Carrefour des Entreprises) ... ?

Objectifs FedPKI FedGATE FedUME FedMAN Citoyens Entreprises Fonctionnaires FedPKI Cadre de Gestion des Identités unifié FedGATE Site Transactionel fédéré Portail Local FedUME Couche intégration unifiée UME Local FedMAN Réseau TCP/IP unifié Réseau Local MinInt MinFin MinEco MinSoc ... Régions Communautés Communes Provinces

Planning FedPKI FedGATE FedUME FedMAN BD Citoyens & Ids uniques 2001 2002 2003 2004 Authentification Autorisation FedPKI Site Static Site Transactionnel FedGATE Syntaxe Sémantique FedUME Réseau IP Services IP FedMAN BD Citoyens & Ids uniques BD Entreprises & Ids unique ... Ids Uniques

FedPKI “initiative PKI belge”

Hiérarchie de confiance SelfSign Belgium Root RootSign Belgium Root ARL Admin CA Citizen CA Gov CA CRL CRL CRL Card Admin Cert Admin Hierar Admin Client Auth Elec Sign Data Crypt Server Cert Client Cert Object Cert Admin Auth/Sign

Certificats Clés et certificats citoyens Authentification: Certificat & paire de clés (1024 bits) authentification forte (contrôle d ’accès) authentification sur site web single sign-on (login) etc. Signature: Certificate & paire de clés (1024 bits) non réfutable (équivalent à la signature manuscrite) Signature de Document Signature de Formulaires (Encryption: Certificate & paire de clés) prévu à un stade ultérieur backup/archivage de la clé privée Belgium Root CA Citizen CA Citizen CA Auth Sign Crypt

Services de Confiance Enregistrement Requête CPS SLA Auth/Sign Valider XKMS Enregistrement Requête Registre Population Communes CPS SLA CA Factory Citoyens Sites Sécurisés Auth/Sign Valider OCSP

BELPIC “carte d’identité électronique”

But de la carte Preuve d’identité Donner à chaque citoyen belge une carte d’identité électronique leur permettant de s’ authentifier au travers d’applications diverses et de signer électroniquement Outil de Signature

Identification visuelle du citoyen Partie Visuelle D’un point de vue visuel: la même information est visible que sur l’ancienne carte: le nom les deux premiers prénoms l’initiale du troisième prénom la nationalité le lieu et la date de naissance le genre la commune de délivrance les dates de début et fin de validité de la carte la dénomination et le numéro de la carte la photo du citoyen la signature du citoyen le numéro de Registre National l’adresse (jusqu’au 31/12/2003) Même fonction que l’ancienne carte Identification visuelle du citoyen

Identification électronique du citoyen Partie électronique D’un point de vue électronique: la puce contient la même information que ce qui est imprimé sur la carte, plus: Le certificat et la clé de d’authentification Le certificat et la clé de signature Les certificats de l’autorité de certification accréditée L’information nécessaire pour la sécurisation de la carte et des données d’identité L’adresse du citoyen Pas de certificat d’encryption Pas de porte-monnaie électronique Pas de données biométriques Conforme à la directive européenne 1999/93/EC Identification électronique du citoyen

Authentification forte Fonctions de la carte Capture des données Authentification forte Signature électronique

Capture des données

Authentification Sites Web (SSO) Contrôle d’accès … containers bibliotèques piscine …

Signature Matching triplet? 6 1 7 1 6 8 2 2 5 4 3, 4 5 3 Alice Bob 1. Compose message 3. Generate signature 5. Collect certificate 2. Compute hash 4. Collect signature 6. Send message Matching triplet? Alice Alice 6 1 7 hash 1 6 hash CRL 8 2 2 5 4 Alice 3, 4 5 3 Alice Bob 1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash 2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public key match?

Spécifications de la carte Standard - ISO/IEC 7816 Format & caractéristiques physiques  format bancaire Signaux et contacts électroniques  RST,GND,CLK,Vpp,Vcc, I/O Commandes et langage d’interrogation (APDU) etc.

Aspects sécurité Visuels Electroniques Rainbow and guilloche printing Changeable Laser Image (CLI) Optical Variable Ink (OVI) Alphagram Relief and UV print Laser engraving Electroniques 12345678 SHA-1 RSA SPA/DPA/… resistent EAL5+ certified …

Spécifications de la puce Caractéristiques de la puce: Cryptoflex JavaCard 32K CPU (processeur): Micro-controlleur 16 bit Crypto-processeur: 1100 bit Crypto-Engine (RSA computation) 112 bit Crypto-Accelerator (DES computation) ROM (OS): 136 kB (GEOS Java Virtual Machine) EEPROM (Applic + Data): 32 KB (Cristal Applet) RAM (memory): 5 KB “GEOS” JVM Crypto (DES,RSA) ROM (Operating System) “CRISTAL” Applet CPU EEPROM (File System= applications + data) I/O ID data, Keys, Certs. RAM (Memory)

Spécifications de données Structure de répertoire (PKCS#15) Dir (BelPIC): clés et certificats (protégé par code PIN) clés de CA : 2048 bits clés de citoyens: 1024 bits Signatures RSA / SHA-1 Certificats X.509 v3 format standard (pour applications génériques) Microsoft CryptoAPI ( Windows) PKCS#11 ( UNIX/Linux & MacOS) Dir (ID): information d’identité étendue nom, prénom, etc. adresse photo etc. format propriétaire (pour applications dédicacées) BelPIC ID Clé Base ... ID Clé Auth Cert Auth ADR Clé Sign Cert Sign PIC ... Cert CA ... Cert Root

Spécifications logicielles Windows Generic Applics Non Win Generic Applics BelPIC Specific Applics Logicielles pour carte et lecteurs Pilote de carte PKCS#15  pour applications dédicacées carte accédée comme un système de fichier pas de gestion des clés (pas de PIN) pour la police, la poste, les banques, etc PKCS#11  pour applications génériques uniquement clés et certficats accessibles permet l ’authentification et la signature pour Netscape, Linux, Unix, etc MS-CSP  pour applications Microsoft pour Microsoft Explorer, Outlook, etc Pilote de lecteurs la plupart est générique (partie orange) une petite partie est spécifique (partie verte) MS-CSP (Microsoft interface) PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O

Spécifications du Tookit Sign Plugin Auth Proxy Data Capture Toolkits Kit de capture des données GetIdentity GetAddress GetPicture GetVersion ... Proxy d’authentification Déclenche l’authentification forte Valide les Certificates Retourne le contenu des Certificats … Plugin de signature supporte les signatures PDF/XML Valide les Certificats Verifie les Signatures MS-CSP (Microsoft interface) Toolkit PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O

Merci ! Pour plus d’info www.fedict.be