La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Carte d’identité électronique belge

Publié parAnne-Claire Roussel Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Carte d’identité électronique belge"— Transcription de la présentation:

1 Carte d’identité électronique belge
Ir. Olivier LIBON. FedICT - Architecte Sécurité

2 Agenda FedICT (stratégie eGov belge) FedPKI (initiative PKI belge)
Principes Objectifs Planning FedPKI (initiative PKI belge) Hiérarchie de confiance Certificats Services de confiance BelPIC (carte d’identité électronique) Partie visuelle vs partie électronique Authentification vs Signature Production / Personnalisation Carte / Puce / Données / MiddleWare / Toolkit Applications: aujourd’hui et demain

3 FedICT “stratégie eGov belge”

4 Principes Complexité Administrative  Simplification
1 état fédéral Fonctionnaires 3 régions / 3 communautés Entreprises 10 provinces / 589 Communes Citoyens Front-Office: principe de collection unique gestion des identités fédérées (FedPKI) site transactionnel fédéré (FedGATE) échange d ’information fédéré (FedUME) gestion de réseau fédéré (FedMAN) Back-Office: principe des sources authentiques BD/ID unique des citoyens (Registre de Population) BD/ID unique des entreprises (Banque Carrefour des Entreprises) ... ?

5 Objectifs FedPKI FedGATE FedUME FedMAN Citoyens Entreprises
Fonctionnaires FedPKI Cadre de Gestion des Identités unifié FedGATE Site Transactionel fédéré Portail Local FedUME Couche intégration unifiée UME Local FedMAN Réseau TCP/IP unifié Réseau Local MinInt MinFin MinEco MinSoc ... Régions Communautés Communes Provinces

6 Planning FedPKI FedGATE FedUME FedMAN BD Citoyens & Ids uniques
2001 2002 2003 2004 Authentification Autorisation FedPKI Site Static Site Transactionnel FedGATE Syntaxe Sémantique FedUME Réseau IP Services IP FedMAN BD Citoyens & Ids uniques BD Entreprises & Ids unique ... Ids Uniques

7 FedPKI “initiative PKI belge”

8 Hiérarchie de confiance
SelfSign Belgium Root RootSign Belgium Root ARL Admin CA Citizen CA Gov CA CRL CRL CRL Card Admin Cert Admin Hierar Admin Client Auth Elec Sign Data Crypt Server Cert Client Cert Object Cert Admin Auth/Sign

9 Certificats Clés et certificats citoyens
Authentification: Certificat & paire de clés (1024 bits) authentification forte (contrôle d ’accès) authentification sur site web single sign-on (login) etc. Signature: Certificate & paire de clés (1024 bits) non réfutable (équivalent à la signature manuscrite) Signature de Document Signature de Formulaires (Encryption: Certificate & paire de clés) prévu à un stade ultérieur backup/archivage de la clé privée Belgium Root CA Citizen CA Citizen CA Auth Sign Crypt

10 Services de Confiance Enregistrement Requête CPS SLA Auth/Sign Valider
XKMS Enregistrement Requête Registre Population Communes CPS SLA CA Factory Citoyens Sites Sécurisés Auth/Sign Valider OCSP

11 BELPIC “carte d’identité électronique”

12 But de la carte Preuve d’identité Donner à chaque citoyen belge une carte d’identité électronique leur permettant de s’ authentifier au travers d’applications diverses et de signer électroniquement Outil de Signature

13 Identification visuelle du citoyen
Partie Visuelle D’un point de vue visuel: la même information est visible que sur l’ancienne carte: le nom les deux premiers prénoms l’initiale du troisième prénom la nationalité le lieu et la date de naissance le genre la commune de délivrance les dates de début et fin de validité de la carte la dénomination et le numéro de la carte la photo du citoyen la signature du citoyen le numéro de Registre National l’adresse (jusqu’au 31/12/2003) Même fonction que l’ancienne carte Identification visuelle du citoyen

14 Identification électronique du citoyen
Partie électronique D’un point de vue électronique: la puce contient la même information que ce qui est imprimé sur la carte, plus: Le certificat et la clé de d’authentification Le certificat et la clé de signature Les certificats de l’autorité de certification accréditée L’information nécessaire pour la sécurisation de la carte et des données d’identité L’adresse du citoyen Pas de certificat d’encryption Pas de porte-monnaie électronique Pas de données biométriques Conforme à la directive européenne 1999/93/EC Identification électronique du citoyen

15 Authentification forte
Fonctions de la carte Capture des données Authentification forte Signature électronique

16 Capture des données

17 Authentification Sites Web (SSO) Contrôle d’accès … containers
bibliotèques piscine

18 Signature Matching triplet? 6 1 7 1 6 8 2 2 5 4 3, 4 5 3 Alice Bob
1. Compose message 3. Generate signature 5. Collect certificate 2. Compute hash 4. Collect signature 6. Send message Matching triplet? Alice Alice 6 1 7 hash 1 6 hash CRL 8 2 2 5 4 Alice 3, 4 5 3 Alice Bob 1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash 2. Inspect certificate 4. Check certificate 6. Fetch signature Hash, signature, public key match?

19 Spécifications de la carte
Standard - ISO/IEC 7816 Format & caractéristiques physiques  format bancaire Signaux et contacts électroniques  RST,GND,CLK,Vpp,Vcc, I/O Commandes et langage d’interrogation (APDU) etc.

20 Aspects sécurité Visuels Electroniques Rainbow and guilloche printing
Changeable Laser Image (CLI) Optical Variable Ink (OVI) Alphagram Relief and UV print Laser engraving Electroniques SHA-1 RSA SPA/DPA/… resistent EAL5+ certified

21 Spécifications de la puce
Caractéristiques de la puce: Cryptoflex JavaCard 32K CPU (processeur): Micro-controlleur 16 bit Crypto-processeur: 1100 bit Crypto-Engine (RSA computation) 112 bit Crypto-Accelerator (DES computation) ROM (OS): 136 kB (GEOS Java Virtual Machine) EEPROM (Applic + Data): 32 KB (Cristal Applet) RAM (memory): 5 KB “GEOS” JVM Crypto (DES,RSA) ROM (Operating System) “CRISTAL” Applet CPU EEPROM (File System= applications + data) I/O ID data, Keys, Certs. RAM (Memory)

22 Spécifications de données
Structure de répertoire (PKCS#15) Dir (BelPIC): clés et certificats (protégé par code PIN) clés de CA : 2048 bits clés de citoyens: 1024 bits Signatures RSA / SHA-1 Certificats X.509 v3 format standard (pour applications génériques) Microsoft CryptoAPI ( Windows) PKCS#11 ( UNIX/Linux & MacOS) Dir (ID): information d’identité étendue nom, prénom, etc. adresse photo etc. format propriétaire (pour applications dédicacées) BelPIC ID Clé Base ... ID Clé Auth Cert Auth ADR Clé Sign Cert Sign PIC ... Cert CA ... Cert Root

23 Spécifications logicielles
Windows Generic Applics Non Win Generic Applics BelPIC Specific Applics Logicielles pour carte et lecteurs Pilote de carte PKCS#15  pour applications dédicacées carte accédée comme un système de fichier pas de gestion des clés (pas de PIN) pour la police, la poste, les banques, etc PKCS#11  pour applications génériques uniquement clés et certficats accessibles permet l ’authentification et la signature pour Netscape, Linux, Unix, etc MS-CSP  pour applications Microsoft pour Microsoft Explorer, Outlook, etc Pilote de lecteurs la plupart est générique (partie orange) une petite partie est spécifique (partie verte) MS-CSP (Microsoft interface) PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O

24 Spécifications du Tookit
Sign Plugin Auth Proxy Data Capture Toolkits Kit de capture des données GetIdentity GetAddress GetPicture GetVersion ... Proxy d’authentification Déclenche l’authentification forte Valide les Certificates Retourne le contenu des Certificats Plugin de signature supporte les signatures PDF/XML Valide les Certificats Verifie les Signatures MS-CSP (Microsoft interface) Toolkit PKCS#11 (Certificate & Keys Management) PIN (pin logic library) PKCS#15 OpenSC (Generic SC Interface) DLL (C-reader DLL) PC/SC (Generic SC Reader Interface) Driver (Specific SC Reader Interface) I/O

25 Merci ! Pour plus d’info

Télécharger ppt "Carte d’identité électronique belge"

Présentations similaires

Erik Weytjens CEO - Certipost

Erik Weytjens CEO - Certipost
Le langage ASP Les variables d'environnement HTTP avec Request.

Le langage ASP Les variables d'environnement HTTP avec Request.
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.

Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.
Guide Share France Web Single Sign On Panorama des solutions SSO.

Guide Share France Web Single Sign On Panorama des solutions SSO.
Séminaire EOLE Dijon 23-24 Octobre 2008 Eole SSO.

Séminaire EOLE Dijon Octobre 2008 Eole SSO.
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.

LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.

La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.
Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot

Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot
V.1a E. Berera1 IPv6 IPv6 et la sécurité: Gestion des clés Objectif: Comment distribuer les clés.

V.1a E. Berera1 IPv6 IPv6 et la sécurité: Gestion des clés Objectif: Comment distribuer les clés.
1 UML: applications, études de cas ● Processus (Extreme Programming, Unified Process) ● Architectures ● Expression du besoin technique Conception Préliminaire.

1 UML: applications, études de cas ● Processus (Extreme Programming, Unified Process) ● Architectures ● Expression du besoin technique Conception Préliminaire.
SSO : Single Sign ON Authentification unique Il y a 10 ans : Un luxe Il y a 3 ans : Un composant à part entiere Aujourd'hui : Incontournable Demain : Le.

SSO : Single Sign ON Authentification unique Il y a 10 ans : Un luxe Il y a 3 ans : Un composant à part entiere Aujourd'hui : Incontournable Demain : Le.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.

1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Présentation du programme

Présentation du programme
Mon Dossier Peter Grouwels Service de communication

Mon Dossier Peter Grouwels Service de communication
FORMATION EPMT ENTRAINEMENT PROFESSIONNEL AUX MÉTIERS DU TERTIARE

FORMATION EPMT ENTRAINEMENT PROFESSIONNEL AUX MÉTIERS DU TERTIARE
Généralisation du document de base électronique

Généralisation du document de base électronique
PRESENTATION LETTRE SUIVIE

PRESENTATION LETTRE SUIVIE

Présentations similaires

Annonces Google