Carte d’identité électronique belge Ir. Olivier LIBON. FedICT - Architecte Sécurité

Agenda FedICT (stratégie eGov belge) FedPKI (initiative PKI belge) Principes Objectifs Planning FedPKI (initiative PKI belge) Hiérarchie de confiance Certificats Services de confiance BelPIC (carte d’identité électronique) Partie visuelle vs partie électronique Authentification vs Signature Production / Personnalisation Carte / Puce / Données / MiddleWare / Toolkit Applications: aujourd’hui et demain

FedICT “stratégie eGov belge”

Principes Complexité Administrative  Simplification 1 état fédéral Fonctionnaires 3 régions / 3 communautés Entreprises 10 provinces / 589 Communes Citoyens Front-Office: principe de collection unique gestion des identités fédérées (FedPKI) site transactionnel fédéré (FedGATE) échange d ’information fédéré (FedUME) gestion de réseau fédéré (FedMAN) Back-Office: principe des sources authentiques BD/ID unique des citoyens (Registre de Population) BD/ID unique des entreprises (Banque Carrefour des Entreprises) ... ?

Objectifs FedPKI FedGATE FedUME FedMAN Citoyens Entreprises Fonctionnaires FedPKI Cadre de Gestion des Identités unifié FedGATE Site Transactionel fédéré Portail Local FedUME Couche intégration unifiée UME Local FedMAN Réseau TCP/IP unifié Réseau Local MinInt MinFin MinEco MinSoc ... Régions Communautés Communes Provinces

Planning FedPKI FedGATE FedUME FedMAN BD Citoyens & Ids uniques 2001 2002 2003 2004 Authentification Autorisation FedPKI Site Static Site Transactionnel FedGATE Syntaxe Sémantique FedUME Réseau IP Services IP FedMAN BD Citoyens & Ids uniques BD Entreprises & Ids unique ... Ids Uniques

FedPKI “initiative PKI belge”

Hiérarchie de confiance SelfSign Belgium Root RootSign Belgium Root ARL Admin CA Citizen CA Gov CA CRL CRL CRL Card Admin Cert Admin Hierar Admin Client Auth Elec Sign Data Crypt Server Cert Client Cert Object Cert Admin Auth/Sign

Certificats Clés et certificats citoyens Authentification: Certificat & paire de clés (1024 bits) authentification forte (contrôle d ’accès) authentification sur site web single sign-on (login) etc. Signature: Certificate & paire de clés (1024 bits) non réfutable (équivalent à la signature manuscrite) Signature de Document Signature de Formulaires (Encryption: Certificate & paire de clés) prévu à un stade ultérieur backup/archivage de la clé privée Belgium Root CA Citizen CA Citizen CA Auth Sign Crypt

Services de Confiance Enregistrement Requête CPS SLA Auth/Sign Valider XKMS Enregistrement Requête Registre Population Communes CPS SLA CA Factory Citoyens Sites Sécurisés Auth/Sign Valider OCSP

BELPIC “carte d’identité électronique”

But de la carte Preuve d’identité Donner à chaque citoyen belge une carte d’identité électronique leur permettant de s’ authentifier au travers d’applications diverses et de signer électroniquement Outil de Signature

Identification visuelle du citoyen Partie Visuelle D’un point de vue visuel: la même information est visible que sur l’ancienne carte: le nom les deux premiers prénoms l’initiale du troisième prénom la nationalité le lieu et la date de naissance le genre la commune de délivrance les dates de début et fin de validité de la carte la dénomination et le numéro de la carte la photo du citoyen la signature du citoyen le numéro de Registre National l’adresse (jusqu’au 31/12/2003) Même fonction que l’ancienne carte Identification visuelle du citoyen

Identification électronique du citoyen Partie électronique D’un point de vue électronique: la puce contient la même information que ce qui est imprimé sur la carte, plus: Le certificat et la clé de d’authentification Le certificat et la clé de signature Les certificats de l’autorité de certification accréditée L’information nécessaire pour la sécurisation de la carte et des données d’identité L’adresse du citoyen Pas de certificat d’encryption Pas de porte-monnaie électronique Pas de données biométriques Conforme à la directive européenne 1999/93/EC Identification électronique du citoyen

Authentification forte Fonctions de la carte Capture des données Authentification forte Signature électronique

Capture des données

Authentification Sites Web (SSO) Contrôle d’accès … containers bibliotèques piscine …

Signature Matching triplet? 6 1 7 1 6 8 2 2 5 4 3, 4 5 3 Alice Bob 1. Compose message 3. Generate signature 5. Collect certificate 2. Compute hash 4. Collect signature 6. Send message Matching triplet? Alice Alice 6 1 7 hash 1 6 hash CRL 8 2 2 5 4 Alice 3, 4 5 3 Alice Bob 1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash 2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public key match?

Spécifications de la carte Standard - ISO/IEC 7816 Format & caractéristiques physiques  format bancaire Signaux et contacts électroniques  RST,GND,CLK,Vpp,Vcc, I/O Commandes et langage d’interrogation (APDU) etc.

Aspects sécurité Visuels Electroniques Rainbow and guilloche printing Changeable Laser Image (CLI) Optical Variable Ink (OVI) Alphagram Relief and UV print Laser engraving Electroniques 12345678 SHA-1 RSA SPA/DPA/… resistent EAL5+ certified …

Spécifications de la puce Caractéristiques de la puce: Cryptoflex JavaCard 32K CPU (processeur): Micro-controlleur 16 bit Crypto-processeur: 1100 bit Crypto-Engine (RSA computation) 112 bit Crypto-Accelerator (DES computation) ROM (OS): 136 kB (GEOS Java Virtual Machine) EEPROM (Applic + Data): 32 KB (Cristal Applet) RAM (memory): 5 KB “GEOS” JVM Crypto (DES,RSA) ROM (Operating System) “CRISTAL” Applet CPU EEPROM (File System= applications + data) I/O ID data, Keys, Certs. RAM (Memory)

Spécifications de données Structure de répertoire (PKCS#15) Dir (BelPIC): clés et certificats (protégé par code PIN) clés de CA : 2048 bits clés de citoyens: 1024 bits Signatures RSA / SHA-1 Certificats X.509 v3 format standard (pour applications génériques) Microsoft CryptoAPI ( Windows) PKCS#11 ( UNIX/Linux & MacOS) Dir (ID): information d’identité étendue nom, prénom, etc. adresse photo etc. format propriétaire (pour applications dédicacées) BelPIC ID Clé Base ... ID Clé Auth Cert Auth ADR Clé Sign Cert Sign PIC ... Cert CA ... Cert Root

Spécifications logicielles Windows Generic Applics Non Win Generic Applics BelPIC Specific Applics Logicielles pour carte et lecteurs Pilote de carte PKCS#15  pour applications dédicacées carte accédée comme un système de fichier pas de gestion des clés (pas de PIN) pour la police, la poste, les banques, etc PKCS#11  pour applications génériques uniquement clés et certficats accessibles permet l ’authentification et la signature pour Netscape, Linux, Unix, etc MS-CSP  pour applications Microsoft pour Microsoft Explorer, Outlook, etc Pilote de lecteurs la plupart est générique (partie orange) une petite partie est spécifique (partie verte) MS-CSP (Microsoft interface) PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O

Spécifications du Tookit Sign Plugin Auth Proxy Data Capture Toolkits Kit de capture des données GetIdentity GetAddress GetPicture GetVersion ... Proxy d’authentification Déclenche l’authentification forte Valide les Certificates Retourne le contenu des Certificats … Plugin de signature supporte les signatures PDF/XML Valide les Certificats Verifie les Signatures MS-CSP (Microsoft interface) Toolkit PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O

Merci ! Pour plus d’info www.fedict.be