Télécharger la présentation
1
Carte d’identité électronique belge
Ir. Olivier LIBON. FedICT - Architecte Sécurité
2
Agenda FedICT (stratégie eGov belge) FedPKI (initiative PKI belge)
Principes Objectifs Planning FedPKI (initiative PKI belge) Hiérarchie de confiance Certificats Services de confiance BelPIC (carte d’identité électronique) Partie visuelle vs partie électronique Authentification vs Signature Production / Personnalisation Carte / Puce / Données / MiddleWare / Toolkit Applications: aujourd’hui et demain
3
FedICT “stratégie eGov belge”
4
Principes Complexité Administrative Simplification
1 état fédéral Fonctionnaires 3 régions / 3 communautés Entreprises 10 provinces / 589 Communes Citoyens Front-Office: principe de collection unique gestion des identités fédérées (FedPKI) site transactionnel fédéré (FedGATE) échange d ’information fédéré (FedUME) gestion de réseau fédéré (FedMAN) Back-Office: principe des sources authentiques BD/ID unique des citoyens (Registre de Population) BD/ID unique des entreprises (Banque Carrefour des Entreprises) ... ?
5
Objectifs FedPKI FedGATE FedUME FedMAN Citoyens Entreprises
Fonctionnaires FedPKI Cadre de Gestion des Identités unifié FedGATE Site Transactionel fédéré Portail Local FedUME Couche intégration unifiée UME Local FedMAN Réseau TCP/IP unifié Réseau Local MinInt MinFin MinEco MinSoc ... Régions Communautés Communes Provinces
6
Planning FedPKI FedGATE FedUME FedMAN BD Citoyens & Ids uniques
2001 2002 2003 2004 Authentification Autorisation FedPKI Site Static Site Transactionnel FedGATE Syntaxe Sémantique FedUME Réseau IP Services IP FedMAN BD Citoyens & Ids uniques BD Entreprises & Ids unique ... Ids Uniques
7
FedPKI “initiative PKI belge”
8
Hiérarchie de confiance
SelfSign Belgium Root RootSign Belgium Root ARL Admin CA Citizen CA Gov CA CRL CRL CRL Card Admin Cert Admin Hierar Admin Client Auth Elec Sign Data Crypt Server Cert Client Cert Object Cert Admin Auth/Sign
9
Certificats Clés et certificats citoyens
Authentification: Certificat & paire de clés (1024 bits) authentification forte (contrôle d ’accès) authentification sur site web single sign-on (login) etc. Signature: Certificate & paire de clés (1024 bits) non réfutable (équivalent à la signature manuscrite) Signature de Document Signature de Formulaires (Encryption: Certificate & paire de clés) prévu à un stade ultérieur backup/archivage de la clé privée Belgium Root CA Citizen CA Citizen CA Auth Sign Crypt
10
Services de Confiance Enregistrement Requête CPS SLA Auth/Sign Valider
XKMS Enregistrement Requête Registre Population Communes CPS SLA CA Factory Citoyens Sites Sécurisés Auth/Sign Valider OCSP
11
BELPIC “carte d’identité électronique”
12
But de la carte Preuve d’identité Donner à chaque citoyen belge une carte d’identité électronique leur permettant de s’ authentifier au travers d’applications diverses et de signer électroniquement Outil de Signature
13
Identification visuelle du citoyen
Partie Visuelle D’un point de vue visuel: la même information est visible que sur l’ancienne carte: le nom les deux premiers prénoms l’initiale du troisième prénom la nationalité le lieu et la date de naissance le genre la commune de délivrance les dates de début et fin de validité de la carte la dénomination et le numéro de la carte la photo du citoyen la signature du citoyen le numéro de Registre National l’adresse (jusqu’au 31/12/2003) Même fonction que l’ancienne carte Identification visuelle du citoyen
14
Identification électronique du citoyen
Partie électronique D’un point de vue électronique: la puce contient la même information que ce qui est imprimé sur la carte, plus: Le certificat et la clé de d’authentification Le certificat et la clé de signature Les certificats de l’autorité de certification accréditée L’information nécessaire pour la sécurisation de la carte et des données d’identité L’adresse du citoyen Pas de certificat d’encryption Pas de porte-monnaie électronique Pas de données biométriques Conforme à la directive européenne 1999/93/EC Identification électronique du citoyen
15
Authentification forte
Fonctions de la carte Capture des données Authentification forte Signature électronique
16
Capture des données
17
Authentification Sites Web (SSO) Contrôle d’accès … containers
bibliotèques piscine …
18
Signature Matching triplet? 6 1 7 1 6 8 2 2 5 4 3, 4 5 3 Alice Bob
1. Compose message 3. Generate signature 5. Collect certificate 2. Compute hash 4. Collect signature 6. Send message Matching triplet? Alice Alice 6 1 7 hash 1 6 hash CRL 8 2 2 5 4 Alice 3, 4 5 3 Alice Bob 1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash 2. Inspect certificate 4. Check certificate 6. Fetch signature Hash, signature, public key match?
19
Spécifications de la carte
Standard - ISO/IEC 7816 Format & caractéristiques physiques format bancaire Signaux et contacts électroniques RST,GND,CLK,Vpp,Vcc, I/O Commandes et langage d’interrogation (APDU) etc.
20
Aspects sécurité Visuels Electroniques Rainbow and guilloche printing
Changeable Laser Image (CLI) Optical Variable Ink (OVI) Alphagram Relief and UV print Laser engraving Electroniques SHA-1 RSA SPA/DPA/… resistent EAL5+ certified …
21
Spécifications de la puce
Caractéristiques de la puce: Cryptoflex JavaCard 32K CPU (processeur): Micro-controlleur 16 bit Crypto-processeur: 1100 bit Crypto-Engine (RSA computation) 112 bit Crypto-Accelerator (DES computation) ROM (OS): 136 kB (GEOS Java Virtual Machine) EEPROM (Applic + Data): 32 KB (Cristal Applet) RAM (memory): 5 KB “GEOS” JVM Crypto (DES,RSA) ROM (Operating System) “CRISTAL” Applet CPU EEPROM (File System= applications + data) I/O ID data, Keys, Certs. RAM (Memory)
22
Spécifications de données
Structure de répertoire (PKCS#15) Dir (BelPIC): clés et certificats (protégé par code PIN) clés de CA : 2048 bits clés de citoyens: 1024 bits Signatures RSA / SHA-1 Certificats X.509 v3 format standard (pour applications génériques) Microsoft CryptoAPI ( Windows) PKCS#11 ( UNIX/Linux & MacOS) Dir (ID): information d’identité étendue nom, prénom, etc. adresse photo etc. format propriétaire (pour applications dédicacées) BelPIC ID Clé Base ... ID Clé Auth Cert Auth ADR Clé Sign Cert Sign PIC ... Cert CA ... Cert Root
23
Spécifications logicielles
Windows Generic Applics Non Win Generic Applics BelPIC Specific Applics Logicielles pour carte et lecteurs Pilote de carte PKCS#15 pour applications dédicacées carte accédée comme un système de fichier pas de gestion des clés (pas de PIN) pour la police, la poste, les banques, etc PKCS#11 pour applications génériques uniquement clés et certficats accessibles permet l ’authentification et la signature pour Netscape, Linux, Unix, etc MS-CSP pour applications Microsoft pour Microsoft Explorer, Outlook, etc Pilote de lecteurs la plupart est générique (partie orange) une petite partie est spécifique (partie verte) MS-CSP (Microsoft interface) PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O
24
Spécifications du Tookit
Sign Plugin Auth Proxy Data Capture Toolkits Kit de capture des données GetIdentity GetAddress GetPicture GetVersion ... Proxy d’authentification Déclenche l’authentification forte Valide les Certificates Retourne le contenu des Certificats … Plugin de signature supporte les signatures PDF/XML Valide les Certificats Verifie les Signatures MS-CSP (Microsoft interface) Toolkit PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O
25
Merci ! Pour plus d’info
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.